المقدمة
يوضح هذا المستند كيفية دمج Duo مع مصادقة "جهاز إدارة الأمان" (SMA) و Azure for Security Assurance Markup Language (SAML).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- حساب Azure نشط: يجب أن يكون لديك اشتراك Azure والوصول إلى وحدة تحكم Azure AD لإعداد التكامل مع Duo (ترخيص مجاني)
- مزود الخدمة (SP) الذي يدعم SAML: يجب أن يكون لديك تطبيق أو نظام يدعم مصادقة SAML وتم تكوينه للعمل مع Azure AD كموفر الهوية.
- معلومات التكوين: يجب أن يكون لديك معلومات تكوين محددة ل SP و Duo، مثل معرفات كيان SAML، وعنوان URL الخاص بإستجابة SAML، ومفتاح أمان SAML.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco SMA
- سحابة Azure
- Duo
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
Duo هو موفر خدمة مصادقة ثنائي العوامل يضيف طبقة أمان إلى مصادقة SAML.
في سيناريو نموذجي، يعمل Azure كموفر الهوية (IdP) وخدمة خارجية، مثل تطبيق ويب أو نظام معلومات، ويعمل كحماية SMA للأمان.
سيبدو تدفق مصادقة SAML مع Duo و Azure كما يلي:
- يحاول المستخدم الوصول إلى SMA الخاصة بالأمان ويعاد توجيهه إلى Azure لتسجيل الدخول.
- يطلب Azure مصادقة المستخدم ويستخدم Duo للتحقق من هوية المستخدمين من خلال عامل مصادقة ثان (Call، SMS، Hardware Token، WebAuth).
- وبمجرد التصديق عليها، ترسل Azure إستجابة SAML إلى SMA والتي تتضمن معلومات التخويل والتأكيدات حول المستخدم.
- يتحقق SMA من إستجابة SAML ويسمح للمستخدم بالوصول إلى المورد المحمي إذا كان ذلك صحيحا.
- وخلاصة القول، فإن SAML مع Duo و Azure تتيح مصادقة المستخدم الآمنة والمركزية عبر الأنظمة والأنظمة الأساسية المختلفة، واستخدام مزيج من مصادقة كلمة المرور ومصادقة ثنائية العوامل لزيادة الأمان.
![SAML for Security Management Appliance with Duo and Azure](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-00.png)
ملاحظات هامة
- SAML هو معيار أمان يمكن المستخدم من المصادقة والتفويض عبر الأنظمة والأنظمة الأساسية المختلفة.
- IdP هي الهوية التي تخزن جميع معلومات المستخدمين للسماح بالمصادقة (وهذا يعني أن Duo لديه جميع معلومات المستخدم لتأكيد طلب المصادقة والموافقة عليه).
- SP بكلمات بسيطة، إنه التطبيق.
ملاحظة: يعمل هذا فقط مع Azure كمصدر مصادقة SAML.
التكوين
1. تكوين تسجيل الدخول الأحادي
انتقل في مدخل الإدارة إلى Single Sign-on > Duo Central > Add source
.
![Duo Central Source Configuration](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-01.png)
ثم حدد Add SAML Identity Provider
كما هو موضح في الصورة.
![SAML Selection](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-02.png)
هنا في هذا الجزء، تجد جميع المعلومات التي تحتاج إليها لدمج Duo مع Azure للدمج مع SMA.
الاحتفاظ بالمعلومات الموجودة في نوافذ أخرى لاستخدامها في عملية التكامل في هذه الأثناء، يمكنك تكوين المعلمات في Azure.
![SAML Information](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-03.png)
![SAML Attributes](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-04.png)
![SSO Configuration part on DUO](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-05.png)
الآن، بعد التحقق من المعلومات الموجودة لديك في جزء تكامل SAML Azure (Duo Admin Portal)، يجب تسجيل الدخول ضمن مدخل Azure على الويب https://portal.azure.com/.
البحث عن Azure Active Directory
في شريط البحث في الأعلى كما هو موضح في الصورة.
![Azure Active Directory](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-06.png)
انتقل إلى Enterprise Applications
كما هو موضح في الصورة.
![Enterprise Applications](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-07.png)
تحديد New Application
كما هو موضح في الصورة.
![Enterprise Applications - Create Application](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-08.png)
تحديد Create your own application
، أختر اسم التطبيق الخاص بك وحدد Integrate any other application you don't find in the gallery (Non-Gallery)
وانقر فوق Create
.
![Enterprise Applications - Create Own Application](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-09.png)
الآن، أضف المستخدمين. (يمكن إستخدام المستخدمين الذين تمت إضافتهم هنا فقط في وقت تسجيل الدخول الموحد (SSO).
تحديد Assign Users and Groups
كما هو موضح في الصورة.
![Azure Assigning Users to the App](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-10.png)
تحديد Add user/group
كما هو موضح في الصورة.
![Users Assigned](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-11.png)
ملاحظة: يمكنك إضافة مجموعات فقط إذا كان AD مرخصا، إذا لم يكن ذلك ممكنا بعد ذلك إستخدام المستخدمين.
بعد إضافة المستخدمين أو المجموعات، تبدأ بتكوين SSO.
- تحديد
Set Up Single Sign-on
- تحديد
SAML
![Azure - Setup SSO - SAML](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-12.png)
بعد ذلك، تحتاج إلى تكوين تسجيل الدخول إلى Azure المستند إلى Duo SAML باستخدام بيانات تكامل SAML Azure في مدخل إدارة Duo.
![Azure SSO Setup with DUO](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-13.png)
تحديد Edit
تحت Basic SAML Configuration
كما هو موضح في الصورة.
![Azure Basic SAML Configuration](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-14.png)
![Duo Configuration needed in Azure](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-15.png)
بعد نسخ البيانات من Duo لمعرف الكيان وعنوان URL لخدمة المستهلك للتأكيد إلى Azure فيIdentifier (Entity ID)
و Reply URL (Assertion Consumer Service URL)
,
انتهيت.
![Azure Basic SAML Configuration Done](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-16.png)
الآن، حدد Edit
من أجل Attributes & Claims
.
Delete the previous configuration
وإضافة التكوين التالي إلى Attributes & Claims
.
![Azure Basic SAML Configuration Attributes and Claims](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-17.png)
وأنت لديك شيء من هذا القبيل:
![Attributes and Claims Setup](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-18.png)
لإنهاء التكوين، تحتاج إلى تنزيل الشهادة ضمن شهادات SAML، وتحميلها إلى مدخل مسؤول Duo على تكوين SAML الخاص بك.
![Azure Certificate Download](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-19.png)
انقر Choose File
وحدد الترخيص الذي تريد تنزيله كما هو موضح في الصورة السابقة. (هذا تحت تطبيق Duo الخاص بك في لوحة الإدارة).
![Duo Certificate Upload](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-20.png)
لقد أنهيت الآن تكوين SAML بين Duo و Azure.
تحذير: الاختبار في Azure لا يعمل، إنه يفشل (يرجى عدم المحاولة).
![Do not run Test](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-21.png)
2. تكوين AD Sync لمزامنة المستخدمين من Azure ثنائية (إختياري)
هذه الخطوة إختيارية ولكنها تساعد على مزامنة المجموعات من Azure إلى Duo. يمكنك تخطي هذه الخطوة إذا لم ترغب في القيام بذلك.
انتقل إلىUsers > Directory Sync > Add New Sync > Azure AD
كما هو موضح في الصورة.
![Directory Sync Integration](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-22.png)
بعد ذلك، يتم إعادة توجيهك إلى New Azure AD Sync
. نختار Add New Connection
، ثم انقر Continue
.
![Directory Sync Setup for Azure](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-23.png)
يجب أن تقوم بالمصادقة في Azure لقبول الاتفاقيات والحقوق.
![Duo Login for Rights](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-24.png)
![Rights to accept](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-25.png)
حددGroups
التي تريد دمجها.
![Directory Sync Synchronize - Group Selection](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-26.png)
قبل ذلك، يمكنك وضع علامة على خانة الاختيار للسماح لك بإرسال البريد الإلكتروني للتسجيل، أو الانتظار حتى يقوم المستخدم بتسجيل الدخول إلى التطبيق وتتم مطالبته بالتسجيل في Duo.
![Directory Sync - Enrollment Email](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-27.png)
ويختار Save
.
3. تكوين تطبيق تسجيل الدخول الأحادي الثنائي ل SMA
يرجى الرجوع إلى تسجيل الدخول الأحادي لمزودي خدمة SAML العامين | الأمان الثنائي.
قم بإنشاء التطبيق في Duo لدمج SMA.
Navigate to Applications > Protect an Application
- البحث عن
Generic SAML Service Provider
.
- نختار
Protect
.
![Configure Generic SAML Service Providers App](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-28.png)
في هذا الجزء، تقوم بتكوين بعض المتغيرات لموفر الخدمة واستجابة SAML التي تشارك SP و IDp.
يمكنك تكوين الجزء الأكثر أهمية للمعرف للسماح للمستخدمين بالمصادقة وإرسال المعلمات الصحيحة في SAML.
![DUO Service Provider Configuration](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-29.png)
- معرف الكيان: يتم إستخدام معرف كيان مزود الخدمة لتحديد موفر الخدمة بشكل فريد. تنسيق معرف كيان موفر الخدمة هو عادة URI.
- عميل التأكيد: نقطة نهاية مزود الخدمة التي تتلقى تأكيدات SAML وتعالجها. عنوان URL الخاص ب SAML Confirmation Consumer Service (ACS) للتطبيق الخاص بك.
- عنوان URL لتسجيل دخول موفر الخدمة: الموقع الذي يتم فيه إرسال تأكيد SAML مع HTTP POST. غالبا ما يشار إلى هذا باسم URL خدمة العملاء لتأكيد SAML (ACS) للتطبيق الخاص بك.
- تنسيق معرف الاسم: يحدد قواعد وقيود معالجة SAML لعبارة موضوع التأكيد. أستخدم القيمة الافتراضية ل 'غير محدد' ما لم يتطلب التطبيق تنسيقا محددا بشكل صريح.
Sign response
و Sign assertion
يلزم وضع علامة على كل من SMA و Duo.
![Sign Response and Sign Assertion](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-30.png)
- اسم السمة: يعتمد اسم السمة على السمات التي تم تكوينها لموفر الهوية. بحث الجهاز عن إدخالات مطابقة اسم السمة في حقل تعيين المجموعة، وهذا إختياري. إذا لم تقم بتكوينه، فسيبحث الجهاز عن إدخالات مطابقة لكافة السمات في حقل تعيين المجموعة.
- دور مزود الخدمة: اكتب ما تريد أن يكون هذا فقط لعمل المطابقة مع
group name in the directory
في SMA.
- مجموعات ثنائية: تم دمج المجموعة ليتم إستخدامها ضمن مرحلة المصادقة بين SMA و Duo. (تذكر أن المجموعات التي سيتم إستخدامها للمصادقة هي ثنائية وليست في SMA).
![Role Attributes](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-31.png)
4. تكوين SMA لاستخدام SAML
انتقل إلى System Administration > SAML
كما هو موضح في الصورة.
![SAML Add Service Provider](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-32.png)
نختار Add Service Provider
.
![SMA SAML Configuration](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-33.png)
ملاحظة: تذكر أن هذه المعلمة يجب أن تكون متطابقة في SMA و Duo.
- معرف الكيان: يتم إستخدام معرف كيان مزود الخدمة لتحديد موفر الخدمة بشكل فريد. تنسيق معرف كيان موفر الخدمة هو عادة URL.
![SMA Entity ID](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-34.png)
- URL لمستهلك التأكيد: URL لمستهلك التأكيد هو URL الذي يجب أن يرسل موفر الهوية تأكيد SAML بعد المصادقة الناجحة. يجب أن يكون عنوان URL الذي تستخدمه للوصول إلى واجهة ويب ل SMA الخاص بك هو نفس عنوان URL لمستهلك التأكيد. تحتاج إلى هذه القيمة أثناء تكوين إعدادات SMA على Duo.
![SMA Assertion Consumer URL](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-35.png)
- شهادة SP: هذه هي الشهادة الخاصة باسم المضيف الذي قمت بتكوين عنوان URL لمستهلك التأكيد الخاص به.
![SMA SAML Certificate](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-36.png)
سيكون من الأفضل لو أستخدمت openssl
على Windows أو Linux. إذا كنت تريد تكوين شهادة موقعة ذاتيا يمكنك عمل ذلك مع الخطوة التالية أو يمكنك إستخدام شهادتك:
1. قم بإنشاء المفتاح الخاص. يساعد ذلك على تمكين التشفير أو فك التشفير.
openssl genrsa -out domain.key 2048
2. إنشاء طلب توقيع شهادة (CSR).
openssl req -key domain.key -new -out domain.csr
3. قم بإنشاء الشهادة الموقعة ذاتيا.
openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt
إذا كنت تريد المزيد من الأيام، يمكنك تغيير القيمة بعد -days
.
ملاحظة: تذكر، من خلال أفضل الممارسات، أنه لا يجب عليك تطبيق أكثر من 5 سنوات على الشهادات.
بعد ذلك، لديك الشهادة والمفاتيح التي تريد تحميلها على SMA في الخيار تحميل الشهادة والمفتاح.
ملاحظة: إذا كنت تريد تحميل الشهادة بتنسيق PKCS #12، فمن الممكن إنشاؤها بعد الخطوة 3.
اختياري
openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx
لتفاصيل المؤسسة، يمكنك ملؤها كما تريد وتحديد إرسال
انتقل إلىSystem Administration > SAML > Add Identity Provider
كما هو موضح في الصورة.
![SAML Import IdP Metadata](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-37.png)
في هذه الخطوة، لديك خياران، يمكنك تحميل تلك المعلومات يدويا أو عبر ملف XML.
انتقل إلى التطبيق الخاص بك في Duo وقم بتنزيل ملف بيانات تعريف IdP.
![DUO Download IdP Metadata](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-38.png)
بعد تنزيل الملف، يمكنك تحميله فقط في خيار بيانات تعريف IDp في SMA.
![SAML Upload IdP Metadata](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-39.png)
للحصول على الخطوة الأخيرة ضمن SMA، انتقل إلى System Administration > Users > External Authentication > SAML
. ثم قم بتكوين المعلمات التالية لتبدو بنفس تكوين Duo.
![Role Attributes DUO and SMA](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-40.png)
Attribute Name = Attribute Name for Match the Group Map Service Provider Role = Group Mapping
وبعد ذلك، يمكنك تنفيذ التغييرات والتأكد مما إذا كان عملية النشر لديك تعمل كما هو متوقع!
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
لاختبار التكوين الخاص بك، حدد Use Single Sign on
كما هو موضح في الصورة.
![SMA Login](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-41.png)
يطلب منك تسجيل الدخول إلى Microsoft كما هو موضح في الصورة.
![Office 365 Login](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-42.png)
بعد ذلك، إذا كان المستخدم لديك مسجلا، فيجب مطالبتك بتكوين اسم مستخدم وكلمة مرور في Duo للمصادقة، وبعد ذلك، تحتاج إلى تحديد طريقة المصادقة.
إذا لم يكن المستخدم مسجلا لديك وكان لديك النهج المكون لتسجيل مستخدم غير مسجل، يتم نقلك إلى عملية التسجيل وطريقة المصادقة بعد ذلك، كما هو الحال في المثال التالي.
![Duo Push](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-43.png)
إذا تم تكوين كل شيء وتصحيحه، فقد قمت بتسجيل الدخول بنجاح.
![Logged in SMA](/c/dam/en/us/support/docs/security/email-security/220410-configure-saml-for-security-management-a-44.png)
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.