简介
本文档介绍如何使用Azure作为身份提供程序(idP)配置Firepower管理中心(FMC)单点登录(SSO)。
先决条件
要求
Cisco 建议您了解以下主题:
- 对Firepower管理中心的基本了解
- 对单点登录的基本了解
使用的组件
本文档中的信息基于以下软件版本:
- 思科Firepower管理中心(FMC)版本6.7.0
- Azure - IdP
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
SAML术语
安全断言标记语言(SAML)是实现SSO的最常见底层协议。一家公司维护着一个登录页面,在其后是身份库和各种身份验证规则。它可以轻松配置任何支持SAML的Web应用,允许您登录所有Web应用。它还有安全优势,既不强制用户为其需要访问的每个Web应用维护(并可能重复使用)密码,也不向这些Web应用暴露密码。
SAML的配置必须在两个位置完成:IdP和SP。需要配置IdP,使其了解当用户想要登录到特定SP时向何处发送以及如何发送。需要配置SP,使其知道可以信任由IdP签名的SAML断言。
以下是SAML核心的几个术语的定义:
-
身份提供程序(IdP) -执行身份验证的软件工具或服务(通常由登录页和/或控制面板可视化);检查用户名和密码、验证帐户状态、调用双因素和其他身份验证。
-
服务提供商(SP) -用户尝试获取访问权限的Web应用程序。
-
SAML断言-通过HTTP通过浏览器重定向发送的断言用户身份和其他属性的消息
IdP配置
SAML断言的规范、包含的内容以及格式设置方式由SP提供,并在IdP处设置。
- EntityID - SP的全局唯一名称。格式不尽相同,但是看到此值格式化为URL的现象越来越常见。
示例:https://<FQDN-or-IPaddress>/saml/metadata
- Attributes -属性的数量和格式可能差别很大。 通常至少有一个属性nameID,它通常是尝试登录的用户的用户名。
- SAML签名算法- SHA-1或SHA-256。SHA-384或SHA-512不太常见。此算法与X.509证书结合使用在此处提到。
SP配置
与以上部分相反,本节介绍IdP提供的信息并在SP上设置。
- 颁发者URL - IdP的唯一标识符。格式化为包含有关IdP信息的URL,以便SP可以验证其收到的SAML断言是从正确的IdP发出的。
FMC上的SAML
FMC中的SSO功能是从6.7开始引入的。新功能简化了FMC授权(RBAC),因为它将现有信息映射到FMC角色。它适用于所有FMC UI用户和FMC角色。目前,它支持SAML 2.0规范以及这些支持的IDP
-
OKTA
-
OneLogin
-
PingID
-
Azure AD
-
其他(符合SAML 2.0的任何IDP)
限制与问题说明
-
只能为全局域配置SSO。
-
HA对中的FMC需要单独配置。
-
只有本地/AD管理员可以配置单一登录。
- 不支持从Idp启动的SSO。
配置
身份提供程序上的配置
步骤1:登录到Microsoft Azure。导航到Azure Active Directory > Enterprise Application。
- 第二步:在“非库应用程序”下创建新应用程序,如此图中所示:
第三步:编辑创建的应用程序,然后导航到Set up single sign on > SAML,如下图所示。
第四步:编辑基本SAML配置并提供FMC详细信息:
- FMC URL:https://<FMC-FQDN或IP地址>
- 标识符(实体ID):https://<FMC-FQDN或IP地址>/saml/metadata
- 回复URL:https://<FMC-FQDN-or-IPaddress>/saml/acs
- 登录URL:https://<FMC-QDN-or-IPaddress>/saml/acs
- 中继状态:/ui/login
将其余内容保留为默认值-对于基于角色的访问,将进一步讨论这一点。
这标志着身份提供程序配置的结束。下载用于FMC配置的联合元数据XML。
Firepower管理中心上的配置
步骤1:登录FMC,导航到设置>用户>单一登录并启用SSO。选择Azure作为提供程序。
第二步:在此处上载从Azure下载的XML文件。它会自动填充所需的所有详细信息。
第三步:验证配置并单击Save,如下图所示。
高级配置-使用Azure的RBAC
若要使用各种角色类型来映射到FMC的角色,您需要编辑Azure上的应用程序清单来向角色分配值。默认情况下,这些角色具有空值。
步骤1:导航到创建的应用程序,然后单击单一登录。
第二步:编辑用户属性和声明。添加名称为“roles”的新声明,然后选择值为user.assignedroles。
第三步:导航到<Application-Name> > Manifest。 编辑清单。文件采用JSON格式,默认用户可供复制。例如-此处创建了2个角色:用户和分析师。
第四步:导航到<Application-Name> > Users and Groups。编辑用户并分配新创建的角色,如下图所示。
第四步:登录FMC并在SSO中编辑高级配置。对于,Group Member Attribute:将在应用程序清单中提供的显示名称分配给角色。
完成此操作后,您可以登录到其指定角色。
验证
步骤1:从浏览器导航至FMC URL:https://<FMC URL>。单击Single Sign-On,如下图所示。
然后,系统会将您重定向到Microsoft登录页面,并且成功登录将返回FMC默认页面。
第二步:在FMC上,导航到系统>用户,查看添加到数据库的SSO用户。
故障排除
验证SAML身份验证,这是成功授权所实现的工作流程(此映像为实验室环境):
浏览器SAML日志
FMC SAML日志
在FMC上验证SAML日志,网址为/var/log/auth-daemon.log