Configurer AnyConnect SSO avec le mappage Duo et LDAP sur Secure Firewall

Mis à jour:28 juillet 2023
ID du document:220672

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit un exemple de configuration pour AnyConnect Single Sign-On (SSO) avec Duo et mappage LDAP pour l'autorisation sur le pare-feu sécurisé.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Client de mobilité sécurisée Cisco AnyConnect
    • Cisco Secure Firepower Threat Defense (FTD)
    • Cisco Secure Firewall Management Center (FMC)
    • Notions de base sur la sécurité duo
    • SAML (Security Assertion Markup Language)
    • Configuration des services Active Directory (AD) sur Microsoft Windows Server

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • Cisco Secure FMC version 7.4.0
    • Cisco Secure FTD version 7.4.0
    • Proxy d'authentification duo
    • Client AnyConnect Secure Mobility version 4.10.06079
    • Windows Server 2016, configuré en tant que serveur AD

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    DUO SSO Traffic FlowFlux de trafic DUO SSO

    Flux De Trafic Duo

    1. AnyConnect Client initie une connexion de réseau privé virtuel (VPN) SSL (Secure Sockets Layer) à Cisco Secure FTD.
    2. Secure FTD redirige le navigateur intégré dans le client AnyConnect vers Duo SSO pour l'authentification SAML.
    3. L'utilisateur AnyConnect se connecte avec les informations d'identification Active Directory sur site principales.
    4. L'authentification unique duo effectue l'authentification principale via un proxy d'authentification duo sur site vers Active Directory sur site.
    5. Une fois l'authentification principale réussie, Duo SSO commence l'authentification à deux facteurs (2FA).
    6. L'utilisateur AnyConnect complète Duo 2FA.
    7. Duo SSO redirige l'utilisateur vers le FTD avec un message de réponse indiquant la réussite.

    SAML avec LDAP externe

    L'autorisation externe de l'utilisateur SAML dépend de la valeur NameID renvoyée par le fournisseur d'identités. Le pare-feu sécurisé mappe le champ NameID au nom d'utilisateur et ce nom d'utilisateur peut être utilisé pour interroger LDAP.

    note-icon

    Remarque : la configuration utilisée dans ce document permet aux utilisateurs qui appartiennent à un groupe AD d'établir une connexion VPN d'accès à distance (RA). La connexion est interdite pour les utilisateurs de différents groupes Active Directory non définis sur la carte.

    Configurations

    Configuration du portail Admin Duo

    Configurez un fournisseur d'identité AD ou SAML qui peut être utilisé comme source d'authentification principale pour Duo SSO.

    En outre, vous avez besoin d'un proxy d'authentification double (recommandé trois serveurs proxy d'authentification pour une haute disponibilité) qui soit accessible à votre fournisseur d'identité AD ou SAML sur site.

    Pour plus d'informations, référez-vous à Authentification unique duo.

    Étape 1. Configurez Cisco Secure FTD sur le portail d'administration Duo.

    • Connectez-vous au portail d'administration Duo et accédez à Applications > Protect an Application.
    • Recherchez FTD avec le type de protection de 2FA with SSO hosted by Duo.
    • Cliquer Protectà l'extrême droite afin de configurer le VPN FTD de Cisco.

    Duo Protect ApplicationApplication Duo Protect

    Étape 2. Configurez les informations du fournisseur de services sur le portail d'administration Duo.

    Ces attributs sont utilisés :

    • URL de base Cisco Firepower : fj-ftdv.example.com
    • Nom du profil de connexion : SSO-AD_Split-tunnel
    • Attribut de messagerie : 

    Duo Service ProviderFournisseur de services duo

    note-icon

    Remarque : l'attribut Mail peut être défini sur . Si c'est le cas, la configuration de ldap-naming-attribute modifications de userPrincipalName par  sAMAccountName sur le Cisco Secure FTD.

    Étape 3. Cliquez sur le bouton Save à la fin de la page afin d'enregistrer la configuration.

    Étape 4. Naviguez jusqu'à Users > Add User comme l'illustre l'image :

    Duo Add UserDuo Ajouter un utilisateur

    Étape 5. Complétez la zone vide avec toutes les informations nécessaires pour le nouvel utilisateur.

    Duo User InformationInformations utilisateur Duo

    note-icon

    Remarque : les données de nom d'utilisateur et de messagerie doivent correspondre aux informations fournies dans le serveur Active Directory.

    Étape 6. Add Phone afin d'ajouter le numéro de téléphone de l'utilisateur. Ceci est nécessaire pour que l'utilisateur s'authentifie via 2FA avec Duo Push.

    Duo Add PhoneDuo Ajouter un téléphone

    Étape 7. Activez Duo Mobile pour l'utilisateur en question.

    Activate Duo Mobile PhoneActiver le téléphone portable Duo

    note-icon

    Remarque : assurez-vous que Duo Mobile est installé sur l'appareil de l'utilisateur final :

    Étape 8. Générez le code d'activation Duo Mobile.

    Duo Activation CodeCode D'Activation Duo

    Étape 9. Envoyez des instructions par SMS.

    Duo SMSSMS Duo

    Étape 10. Cliquez sur le lien envoyé par SMS, et l'application Duo est liée au compte d'utilisateur dans la section Device info.

    Duo Info SectionSection Info Duo

    Étape 11. Répétez le processus pour tous les utilisateurs à ajouter.

    Étape 12. Récupérer les métadonnées d'application :

    • Naviguez jusqu'à Applications  et cliquez sur l'application Service Provider créée à l'étape 1.
    • Copiez le Identity Provider Entity ID URL, SSO URL,et Logout URL à partir des métadonnées.

    Duo IdP InformationInformations IDp duo

    Étape 13. Téléchargez le Identity Provider Certificate.

    Duo Download IdP CertificateCertificat IdP de téléchargement Duo

    Configuration sur le FTD via FMC

    Étape 1. Installez et inscrivez le certificat du fournisseur d'identité (IdP) sur le FMC.

    • Naviguez jusqu'à Devices > Certificates.

    FMC Certificate 1Certificat FMC 1

    • Cliquer Add. Sélectionnez le FTD pour vous inscrire à ce certificat.
    • Dans la Add Cert Enrollment , utilisez n'importe quel nom comme étiquette pour le certificat IdP.
    • Cliquer Manual.
    • Vérifiez la CA only et Skip Check for CA flag fields.
    • Collez le certificat CA IDp au format base64.
    • Cliquez sur Save, puis sur Add.

    FMC Cert EnrollmentInscription au certificat FMC

    Étape 2. Configurez les paramètres du serveur SAML :

    • Naviguez jusqu'à Objects > Object Management > AAA Servers > Single Sign-on Server.
    • Choisir Add Single Sign-on Server.

    FMC SSOFMC SSO

    • En fonction des métadonnées collectées auprès de Duo, configurez les valeurs SAML sur le nouveau serveur SSO :
    • ID d'entité du fournisseur d'identités : entityID de l'application Duo
    • URL SSO : Service SSO de l'application Duo
    • URL de déconnexion : SingleLogoutService de l'application Duo
    • URL de base : FQDN de votre certificat d'ID SSL FTD
    • Certificat du fournisseur d'identité : Certificat de signature IdP
    • Certificat du fournisseur de services : certificat de signature FTD

    FMC SSO InformationInformations FMC SSO

    note-icon

    Remarque : Request Timeout est défini sur 300, car la transmission Duo est envoyée pendant le processus d'authentification et une interaction de l'utilisateur est nécessaire. Modifiez le Request Timeout selon la conception du réseau.

    Étape 3. Configurez le serveur REALM/LDAP.

    • Naviguez jusqu'à Integration > Other Integrations.

    FMC RealmDomaine FMC

    • Cliquez sur Ajouter un nouveau domaine.

    FMC Add RealmAjouter un domaine FMC

    • Fournissez les détails du serveur et du répertoire Active Directory. Click OK.

    Pour les besoins de cette démonstration :

    • Name : ActiveDirectory_SSO
    • Type : AD
    • Domaine principal AD : example.com
    • Nom d'utilisateur : administrator@example.com
    • Mot de passe : 
    • DN de base : DC=exemple, DC=com
    • Nom de domaine du groupe : DC=example, DC=com

    FMC Realm InformationInformations sur le domaine FMC

    note-icon

    Remarque : LDAPS (LDAP sur SSL) peut être utilisé. Le port doit être modifié de 389 à 636.

    note-icon

    Remarque : le serveur AD doit disposer de données utilisateur qui ont été téléchargées vers Duo.

    Étape 4. Créez des stratégies de groupe selon vos besoins.

    • Naviguez jusqu'à Objects > Object Management > VPN > Group Policy.
    • CliquerAdd Group Policy .
    • Créez une stratégie de groupe avec ses paramètres respectifs.

    Dans le cadre de cette démonstration, trois stratégies de groupe ont été configurées :

    1. La stratégie de groupe SSO_LDAP_ADMINS est le groupe pour les utilisateurs qui appartiennent à la AnyConnect Admins groupe.

    Group Policy 1Stratégie de groupe 1

    2. SSO_LDAP_USERS La stratégie de groupe est le groupe pour les utilisateurs qui appartiennent à la AnyConnect Users groupe.

    Group Policy 2Stratégie de groupe 2

    3. Le NO_ACCESS La stratégie de groupe est le groupe pour les utilisateurs qui n'appartiennent à aucune des stratégies de groupe précédentes. Il possède la  Simultaneous Login Per User doit être défini sur 0.

    Group Policy 3Stratégie de groupe 3

    Étape 5. Configurer le mappage des attributs LDAP

    • Naviguez jusqu'à Devices > VPN > Remote Access.
    • Sélectionnez la configuration VPN d'accès à distance actuelle.
    • Naviguez jusqu'à Advanced > LDAP Attribute Mapping.
    • Cliquez sur le signe plus + signer et ajouter un nouveau LDAP Attribute Mapping .

    • Fournir le LDAP Attribute Name et la Cisco Attribute Name. Cliquer Add Value Map.

    Pour les besoins de cette démonstration, la configuration de mappage d'attribut LDAP :

    • Nom d'attribut LDAP : memberOf
    • Nom d'attribut Cisco : Group-Policy

    LDAP Attribute MapMappage des attributs LDAP

    • Fournir le LDAP Attribute Value et la Cisco Attribute Value. Cliquer OK .

    Pour les besoins de cette démonstration :

    Valeur d'attribut LDAP : CN=Administrateurs AnyConnect, CN=Utilisateurs, DC=exemple, DC=com
    Valeur d'attribut Cisco : SSO_LDAP_ADMINS

    Valeur d'attribut LDAP : CN=Utilisateurs AnyConnect, CN=Utilisateurs, DC=exemple, DC=com
    Valeur d'attribut Cisco : SSO_LDAP_USERS

    Configure LDAP Attribute MapConfigurer le mappage d'attributs LDAP

    Étape 6. Configurez le Connection Profile.

    • Naviguez jusqu'à Devices > Remote Accesspuis modifiez votre configuration d'accès à distance VPN actuelle.
    • Créez un nouveau profil de connexion avec ses attributs. Sélectionnez la NO_ACCESSStratégie de groupe comme stratégie de groupe pour ce profil de connexion.

    FMC Connection Profile 1Profil de connexion FMC 1

    • Sélectionnez la  AAA s'affiche. Sous la Authentication Method , choisissez SAML, et pour Authorization Server , choisissez le serveur AD qui a été créé à l'étape 3.

    FMC Connection Profile AAAProfil de connexion FMC AAA

    warning-icon

    Avertissement : VPN client embedded browser est sélectionné comme expérience de connexion SAML. Si Default OS Browser est sélectionné, alors examinez les restrictions mentionnées dans Support for an AnyConnect VPN SAML External Browser.

    • Créez un alias de groupe pour mapper les connexions à ce profil de connexion. Il s’agit de la balise que les utilisateurs peuvent voir dans le menu déroulant du logiciel AnyConnect.

    FMC Group AliasAlias de groupe FMC

    • Cliquez sur OK et enregistrez la configuration VPN complète du profil de connexion.

    Étape 7. Configurer FlexConfig Policy afin de modifier l'attribut d'appellation LDAP.

    Comme l'attribut Courrier du fournisseur de services est défini sur Adresse e-mail, ldap-naming-attribute pour le serveur AD doit être modifié à partir de sAMAccountName par  userPrincipalName.

    note-icon

    Remarque : si le fournisseur d'identité envoie NameID évaluer comme sAMAccountName, cette étape n'est pas nécessaire. 

    • Naviguez jusqu'à Devices > FlexConfig puis choisissez ou créez le FlexConfig Policy afin d'effectuer des modifications.
    • Cliquer FlexConfig Object afin d'ajouter un nouvel objet.

    FMC FlexConfig ObjectFMC FlexConfig, objet

    • Modifiez le ldap-naming-attributeexpéditeur sAMAccountName par  userPrincipalname.

    Add FlexConfig ObjectAjouter un objet FlexConfig

    • Cliquez sur Save.

    Étape 8. Naviguez jusqu'à Deploy > Deployment et choisissez le FTD approprié afin d'appliquer la configuration.

    Vérifier

    Extrait du débogage LDAP debug ldap 255, il peut être observé qu'il y a une correspondance sur le mappage d'attribut LDAP pour l'utilisateur Admin :

    [26] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=admin_user@example.com]
        Scope   = [SUBTREE]

    
    
      [20] 
     memberOf: value = CN=AnyConnect Admins,CN=Users,DC=example,DC=com [20] 
     mapped to Group-Policy: value = SSO_LDAP_ADMINS [20] 
     mapped to LDAP-Class: value = SSO_LDAP_ADMINS

    Lancez show vpn-sessiondb anyconnect afin de s'assurer que l'utilisateur est dans le groupe défini.

    firepower# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : admin_user@example.com
Index        : 6
Public IP    : XX.XX.XX.XX
Protocol     : AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none
Hashing      : AnyConnect-Parent: (1)none
Bytes Tx     : 0                      Bytes Rx     : 0

    Group Policy : SSO_LDAP_ADMINSTunnel Group : SSO_AD_Split-tunnel Login Time : 19:37:28 UTC Thu Jul 20 2023 Duration : 0h:01m:33s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0a1f7c490000600064b98cf8 Security Grp : none Tunnel Zone : 0. Extrait du débogage LDAP debug ldap 255, il peut être observé qu'il y a une correspondance sur le mappage d'attribut LDAP pour l'utilisateur test :

    [29] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=test_user@example.com]
        Scope   = [SUBTREE]

    
    
      [29] 
     memberOf: value = CN=AnyConnect Users,CN=Users,DC=example,DC=com [29] 
     mapped to Group-Policy: value = SSO_LDAP_USERS [29] 
     mapped to LDAP-Class: value = SSO_LDAP_USERS 

    Lancez show vpn-sessiondb anyconnect afin de s'assurer que l'utilisateur est dans le bon groupe.

    firepower# show vpn-sessiondb anyconnect                                   

Session Type: AnyConnect

Username     : test_user@example.com
Index        : 6
Public IP    : XX.XX.XX.XX
Protocol     : AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none
Hashing      : AnyConnect-Parent: (1)none
Bytes Tx     : 0                      Bytes Rx     : 0
Group Policy : SSO_LDAP_USERS        Tunnel Group : SSO_AD_Split-tunnel
Login Time   : 19:37:28 UTC Thu Jul 20 2023
Duration     : 0h:08m:07s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a1f7c490000600064b98cf8
Security Grp : none                   Tunnel Zone  : 0  

    Extrait du débogage LDAP debug ldap 255, il peut être observé qu'il n'y a pas de correspondance sur le mappage d'attribut LDAP pour NOACCESS Utilisateur et avec débogage webvpn qui NO_ACCESS La stratégie de groupe est sélectionnée, l'utilisateur ne peut donc pas s'authentifier.

    [32] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=noaccess_user@example.com]
        Scope   = [SUBTREE]

    
    
      User Policy Access-Lists: user_acl[0] = NULL user_acl[1] = NULL tunnel policy attributes: 1 Filter-Id(11) 8 "" 2 Session-Timeout(27) 4 0 3 Idle-Timeout(28) 4 30 4 Simultaneous-Logins(4098) 4 0 5 Primary-DNS(4101) 4 IP: 0.0.0.0 6 Secondary-DNS(4102) 4 IP: 0.0.0.0 7 Primary-WINS(4103) 4 IP: 0.0.0.0 8 Secondary-WINS(4104) 4 IP: 0.0.0.0 9 Tunnelling-Protocol(4107) 4 96 10 Banner(4111) 0 0x000014e304401888 ** Unresolved Attribute ** 11 Group-Policy(4121) 9 
      "NO_ACCESS" 

    Dépannage

    La plupart des dépannages SAML impliquent une mauvaise configuration qui peut être trouvée en vérifiant la configuration SAML ou les débogages :

    • debug webvpn saml 255
    • debug webvpn 255
    • debug webvpn anyconnect 255
    • debug webvpn session 255
    • debug webvpn request 255

    Pour les problèmes d'autorisation de mappage LDAP, les débogages utiles sont les suivants :

    • debug aaa common 255
    • debug ldap 255 

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    28-Jul-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Fernando Gerardo Jimenez Avendano
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits