Introduzione
In questo documento viene descritto come configurare il centro di gestione Secure Firewall (FMC) in modo che esegua l'autenticazione tramite Single Sign-On (SSO) per l'accesso di gestione.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
· Conoscenza di base di Single Sign-On e SAML
· Informazioni sulla configurazione del provider di identità (iDP)
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
· Cisco Secure Firewall Management Center (FMC) versione 7.2.4
· Duo come provider di identità
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Questi iDP sono supportati e testati per l'autenticazione:
· Okta
· OneLogin
PingID
· Azure AD
· Altri (qualsiasi iDP conforme a SAML 2.0)
Nota: non sono richieste nuove licenze. Questa funzione funziona sia in modalità di valutazione che in modalità con licenza.
Limitazioni e restrizioni
Si tratta di limitazioni e restrizioni note per l'autenticazione SSO per l'accesso FMC:
· SSO può essere configurato solo per il dominio globale.
· I dispositivi FMC che fanno parte di una coppia HA richiedono una configurazione individuale.
· Solo gli amministratori locali/AD possono configurare SSO su FMC (gli utenti amministratori SSO non possono configurare/aggiornare le impostazioni SSO su FMC).
Esempio di rete
![Network Diagram](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-00.png)
Procedura di configurazione sul provider di identità (Duo)
Dal dashboard, passare a Applicazioni:
URL di esempio: https://admin-debXXXXX.duosecurity.com/applications
![Navigate to the Applications Tab](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-01.png)
Selezionare Proteggi applicazione.
![Select Protect an Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-02.png)
Cerca provider di servizi SAML generico.
![Search for Generic SAML Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-03.png)
Scarica certificato e XML.
![Download Certificate and XML](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-04.png)
Configurare Service Provider.
Immettere le impostazioni SAML:
URL Single Sign-On: https://<URL fmc>/saml/acs
URI gruppo di destinatari (ID entità SP): https://<URL fmc>/saml/metadata
RelayState predefinito: /ui/login
![Configure Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-05.png)
Configurare Applica criterio a tutti gli utenti.
![Configure Apply Policy to All Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-06.png)
Dettagli applicazione di un criterio.
Scegliere il gruppo di amministratori necessario dal criterio personalizzato appropriato.
![Detailed Apply a Policy](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-07.png)
Configurare le impostazioni amministrative necessarie.
![Configure Necessary Administrative Settings](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-08.png)
Salva applicazione.
![Save Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-09.png)
Procedura di configurazione per Secure Firewall Management Center
Accedere al CCP con privilegi di amministratore. Passare a Sistema > Utenti.
![Firewall Management Center Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-10.png)
Fare clic su Single Sign-On, come illustrato nell'immagine.
![Activate Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-11.png)
Attivare l'opzione Single Sign-On (disattivata per impostazione predefinita).
![Enable the Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-12.png)
Fare clic su Configura SSO per avviare la configurazione dell'SSO in FMC.
![Configure SSO to Begin SSO Configuration on FMC](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-13.png)
Selezionare il provider SAML di Centro gestione firewall. Fare clic su Next (Avanti).
Ai fini della presente dimostrazione, viene utilizzato Altro.
![Select Firewall Management Center SAML Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-14.png)
È inoltre possibile scegliere Carica file XML e caricare il file XML recuperato in precedenza da Duo Configuration.
![Upload XML File](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-15.png)
Una volta caricato il file, il FMC visualizza i metadati. Fare clic su Next (Avanti), come mostrato nell'immagine.
![FMC displays Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-16.png)
Verificare i metadati. Fare clic su Save (Salva), come mostrato nell'immagine.
![Verify the Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-17.png)
Configurare il Mapping ruoli/Ruolo utente predefinito in Configurazione avanzata.
![Configure the Role Mapping/Default User Role](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-18.png)
Per eseguire il test della configurazione, fare clic su Test della configurazione, come mostrato nell'immagine.
![Test the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-19.png)
Esempio di connessione di prova riuscita.
![Example of a Successful Test Connection](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-20.png)
Fare clic su Apply (Applica) per salvare la configurazione.
![Save the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-21.png)
L'SSO è stato abilitato.
![SSO Enabled Successfully](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-22.png)
Verifica
Accedere all'URL FMC dal browser: https://<fmc URL>. Fare clic su Single Sign-On.
![Navigate to the FMC URL from your Browser](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-23.png)
Viene visualizzata la pagina di accesso iDP (Duo). Fornire le credenziali SSO. Fare clic su Accedi.
![DUO Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-24.png)
Se l'operazione ha esito positivo, è possibile accedere e visualizzare la pagina predefinita di FMC.
In FMC, selezionare System > Users per visualizzare l'utente SSO aggiunto al database.
![User Database](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-25.png)