概要
このドキュメントでは、管理アクセス用にシングルサインオン(SSO)で認証するようにSecure Firewall Management Center(FMC)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
・シングルサインオンとSAMLの基本的な知識
・アイデンティティプロバイダー(iDP)の設定の理解
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
・ Cisco Secure Firewall Management Center(FMC)バージョン7.2.4
・ IDプロバイダーとしてのDuo
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
次のiDPがサポートされ、認証がテストされています。
・オクタ
・ OneLogin
・ PingID
・ Azure AD
・その他(SAML 2.0に準拠するiDP)
注:新しいライセンス要件はありません。この機能は、ライセンスモードと評価モードで動作します。
制限と制限
FMCアクセスのSSO認証に関する既知の制限事項と制限事項を次に示します。
・ SSOはグローバル・ドメインに対してのみ構成できます。
・ HAペアに参加するFMCデバイスは、個別に設定する必要があります。
・ FMCでSSOを設定できるのはローカル/AD管理者のみです(SSO管理者ユーザはFMCでSSO設定を構成/更新できません)。
ネットワーク図
![Network Diagram](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-00.png)
アイデンティティプロバイダー(Duo)の設定手順
ダッシュボードから、Applicationsに移動します。
URLの例:https://admin-debXXXXX.duosecurity.com/applications
![Navigate to the Applications Tab](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-01.png)
Protect an Applicationを選択します。
![Select Protect an Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-02.png)
Generic SAML Service Providerを検索します。
![Search for Generic SAML Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-03.png)
証明書とXMLのダウンロード
![Download Certificate and XML](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-04.png)
サービスプロバイダーを設定します。
SAML設定を入力します。
シングルサインオンURL:https://<fmc URL>/saml/acs
対象ユーザーURI (SPエンティティID): https://<fmc URL>/saml/metadata
デフォルトのリレー状態: /ui/login
![Configure Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-05.png)
Apply Policy to All Usersを設定します。
![Configure Apply Policy to All Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-06.png)
「ポリシーの適用」の詳細
適切なカスタムポリシーから必要な管理者グループを選択します。
![Detailed Apply a Policy](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-07.png)
必要な管理設定を行います。
![Configure Necessary Administrative Settings](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-08.png)
アプリケーションの保存
![Save Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-09.png)
Secure Firewall Management Centerでの設定手順
管理者権限でFMCにログインします。System > Usersの順に移動します。
![Firewall Management Center Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-10.png)
次の図に示すように、[シングルサインオン]をクリックします。
![Activate Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-11.png)
[シングルサインオン]オプションを有効にします(デフォルトでは無効)。
![Enable the Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-12.png)
Configure SSOをクリックして、FMCでのSSO設定を開始します。
![Configure SSO to Begin SSO Configuration on FMC](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-13.png)
Firewall Management Center SAMLプロバイダーを選択します。[Next] をクリックします。
このデモンストレーションでは、「その他」を使用します。
![Select Firewall Management Center SAML Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-14.png)
また、Upload XML fileを選択して、Duo Configurationから以前に取得したXMLファイルをアップロードすることもできます。
![Upload XML File](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-15.png)
ファイルがアップロードされると、FMCにメタデータが表示されます。次の図に示すように、Nextをクリックします。
![FMC displays Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-16.png)
メタデータを確認します。次の図に示すように、Saveをクリックします。
![Verify the Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-17.png)
Advanced Configurationの下でRole Mapping/Default User Roleを設定します。
![Configure the Role Mapping/Default User Role](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-18.png)
設定をテストするには、次の図に示すようにTest Configurationをクリックします。
![Test the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-19.png)
テスト接続の成功例を示します。
![Example of a Successful Test Connection](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-20.png)
Applyをクリックして、設定を保存します。
![Save the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-21.png)
SSOが正常に有効になります。
![SSO Enabled Successfully](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-22.png)
確認
ブラウザからFMCのURL(https://<fmc URL>)に移動します。Single Sign-Onをクリックします。
![Navigate to the FMC URL from your Browser](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-23.png)
iDP(Duo)ログインページが表示されます。SSOクレデンシャルを入力します。Sign inをクリックします。
![DUO Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-24.png)
正常に完了すると、ログインしてFMCのデフォルトページを表示できます。
FMCで、System > Usersの順に移動し、データベースに追加されたSSOユーザを表示します。
![User Database](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-25.png)