Konfigurieren des sicheren Zugriffs auf das Firewall-Management-Center mit Duo SSO

Aktualisiert:26. Juli 2023
Dokument-ID:220639

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie das Secure Firewall Management Center (FMC) für den Verwaltungszugriff für die Authentifizierung über Single Sign-On (SSO) konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
    ・ Grundlegendes Verständnis von Single Sign-On und SAML
    ・ Verständnis der Konfiguration auf dem Identity Provider (iDP)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
    ・ Cisco Secure Firewall Management Center (FMC) Version 7.2.4
    ・ Duo als Identitätsanbieter

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Diese iDPs werden unterstützt und für die Authentifizierung getestet:
    Okta
    ・ OneLogin
    ・ PingID
    ・ Azure AD
    ・ Sonstige (alle iDP, die SAML 2.0 entsprechen)

    note-icon

    Hinweis: Keine neue Lizenz erforderlich. Diese Funktion kann sowohl im lizenzierten als auch im Evaluierungsmodus verwendet werden.


    Einschränkungen und Einschränkungen
    Dies sind bekannte Einschränkungen für die SSO-Authentifizierung für den FMC-Zugriff:
    ・ SSO kann nur für die globale Domäne konfiguriert werden.
    ・ FMC-Geräte, die am HA-Paar teilnehmen, erfordern eine individuelle Konfiguration.
    ・ Nur lokale/AD-Administratoren können SSO auf FMC konfigurieren (SSO-Administratoren können SSO-Einstellungen auf FMC nicht konfigurieren/aktualisieren).

    Netzwerkdiagramm

    Network Diagram

    Konfigurationsschritte beim Identitätsanbieter (Duo)

    Navigieren Sie im Dashboard zu Anwendungen:

    Beispiel-URL: https://admin-debXXXXX.duosecurity.com/applications

    Navigate to the Applications Tab

    Wählen Sie Anwendung schützen aus.

    Select Protect an Application

    Suchen Sie nach einem generischen SAML-Dienstanbieter.

    Search for Generic SAML Service Provider

    Zertifikat und XML herunterladen

    Download Certificate and XML

    Konfigurieren des Dienstanbieters

    Geben Sie die SAML-Einstellungen ein:
    URL für einmalige Anmeldung: https://<fmc URL>/saml/acs
    Zielgruppen-URI (SP-Element-ID): https://<fmc URL>/saml/metadaten
    Standard-Relaystatus: /ui/login

    Configure Service Provider


    Konfigurieren Sie die Apply-Richtlinie für alle Benutzer.

    Configure Apply Policy to All Users

    Detaillierte Anwendung einer Richtlinie.

    Wählen Sie die erforderliche Administratorgruppe aus der entsprechenden benutzerdefinierten Richtlinie aus.

    Detailed Apply a Policy

    Konfigurieren Sie die erforderlichen Verwaltungseinstellungen.

    Configure Necessary Administrative Settings

    Anwendung speichern

    Save Application


    Konfigurationsschritte im Secure Firewall Management Center


    Melden Sie sich mit Administratorrechten beim FMC an. Navigieren Sie zu System > Users.

    Firewall Management Center Users

    Klicken Sie auf Single Sign-On (Einmalige Anmeldung), wie in dieser Abbildung dargestellt.

    Activate Single Sign-On


    Aktivieren Sie die Option für einmaliges Anmelden (standardmäßig deaktiviert).

    Enable the Single Sign-On


    Klicken Sie auf SSO konfigurieren, um die SSO-Konfiguration auf FMC zu starten.

    Configure SSO to Begin SSO Configuration on FMC


    Wählen Sie den SAML-Anbieter des Firewall Management Centers aus. Klicken Sie auf Next (Weiter).


    Für die Zwecke dieser Demonstration wird Andere verwendet.

    Select Firewall Management Center SAML Provider

    Sie können auch "XML-Datei hochladen" wählen und die zuvor von Duo Configuration abgerufene XML-Datei hochladen.

    Upload XML File


    Nach dem Hochladen der Datei zeigt das FMC die Metadaten an. Klicken Sie auf Weiter, wie in diesem Bild dargestellt.

    FMC displays Metadata


    Überprüfen der Metadaten Klicken Sie auf Speichern, wie in diesem Bild dargestellt.

    Verify the Metadata

    Konfigurieren Sie die Rollenzuordnung/Standardbenutzerrolle unter Erweiterte Konfiguration.

    Configure the Role Mapping/Default User Role


    Klicken Sie zum Testen der Konfiguration auf Konfiguration testen, wie in diesem Bild dargestellt.

    Test the Configuration

    Beispiel einer erfolgreichen Testverbindung.

    Example of a Successful Test Connection


    Klicken Sie auf Apply, um die Konfiguration zu speichern.

    Save the Configuration


    SSO wurde erfolgreich aktiviert.

    SSO Enabled Successfully

    Überprüfung


    Navigieren Sie in Ihrem Browser zur FMC-URL: https://<fmc URL>. Klicken Sie auf Single Sign-On.

    Navigate to the FMC URL from your Browser

    Sie werden zur Anmeldeseite für iDP (Duo) weitergeleitet. Geben Sie Ihre SSO-Anmeldeinformationen an. Klicken Sie auf Anmelden.

    DUO Single Sign-On


    Wenn dies erfolgreich ist, können Sie sich anmelden und die FMC-Standardseite anzeigen.
    Navigieren Sie in FMC zu System > Users, um den SSO-Benutzer anzuzeigen, der der Datenbank hinzugefügt wurde.

    User Database

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    26-Jul-2023
    Erstveröffentlichung

    Beigetragen von

    • Tristan Conner
      Information Security Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.