将Azure作为身份提供程序配置FMC SSO

下载选项

PDF (2.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.4 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 8 月 12 日

文档 ID:216515

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用Azure作为身份提供程序(idP)配置Firepower管理中心(FMC)单点登录(SSO)。

先决条件

要求

Cisco 建议您了解以下主题：

对Firepower管理中心的基本了解
对单点登录的基本了解

使用的组件

本文档中的信息基于以下软件版本：

思科Firepower管理中心(FMC)版本6.7.0
Azure - IdP

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

SAML术语

安全断言标记语言(SAML)是实现SSO的最常见底层协议。一家公司维护着一个登录页面，在其后是身份库和各种身份验证规则。它可以轻松配置任何支持SAML的Web应用，允许您登录所有Web应用。它还有安全优势，既不强制用户为其需要访问的每个Web应用维护（并可能重复使用）密码，也不向这些Web应用暴露密码。

SAML的配置必须在两个位置完成：IdP和SP。需要配置IdP，使其了解当用户想要登录到特定SP时向何处发送以及如何发送。需要配置SP，使其知道可以信任由IdP签名的SAML断言。

以下是SAML核心的几个术语的定义：

身份提供程序(IdP) -执行身份验证的软件工具或服务（通常由登录页和/或控制面板可视化）；检查用户名和密码、验证帐户状态、调用双因素和其他身份验证。
服务提供商(SP) -用户尝试获取访问权限的Web应用程序。
SAML断言-通过HTTP通过浏览器重定向发送的断言用户身份和其他属性的消息

IdP配置

SAML断言的规范、包含的内容以及格式设置方式由SP提供，并在IdP处设置。

EntityID - SP的全局唯一名称。格式不尽相同，但是看到此值格式化为URL的现象越来越常见。
示例：https://<FQDN-or-IPaddress>/saml/metadata

断言消费者服务(ACS)验证器-正则表达式(regex)形式的安全措施，用于确保SAML断言发送到正确的ACS。这仅在SP启动的登录期间起作用，其中SAML请求包含ACS位置，因此，此ACS验证程序将确保SAML请求提供的ACS位置是合法的。
示例：https://<FQDN-or-IPaddress>/saml/acs

Attributes -属性的数量和格式可能差别很大。通常至少有一个属性nameID，它通常是尝试登录的用户的用户名。

SAML签名算法- SHA-1或SHA-256。SHA-384或SHA-512不太常见。此算法与X.509证书结合使用在此处提到。

截图：2020-11-11，上午11:37:19

SP配置

与以上部分相反，本节介绍IdP提供的信息并在SP上设置。

颁发者URL - IdP的唯一标识符。格式化为包含有关IdP信息的URL，以便SP可以验证其收到的SAML断言是从正确的IdP发出的。

SAML SSO终端/服务提供商登录URL - SP在此使用SAML请求重定向时，发起身份验证的IdP终端。
示例：https://login.microsoftonline.com/023480840129412-824812/saml2

SAML SLO（单一注销）终结点-一个IdP终结点，当SP在此重定向时(通常在单击注销后)关闭IdP会话。
示例：https://access.wristbandtent.com/logout

FMC上的SAML

FMC中的SSO功能是从6.7开始引入的。新功能简化了FMC授权(RBAC)，因为它将现有信息映射到FMC角色。它适用于所有FMC UI用户和FMC角色。目前，它支持SAML 2.0规范以及这些支持的IDP

OKTA
OneLogin
PingID
Azure AD
其他（符合SAML 2.0的任何IDP）

限制与问题说明

只能为全局域配置SSO。
HA对中的FMC需要单独配置。
只有本地/AD管理员可以配置单一登录。
不支持从Idp启动的SSO。

配置

身份提供程序上的配置

步骤1:登录到Microsoft Azure。导航到Azure Active Directory > Enterprise Application。

屏幕截图2020-11-11，下午1:00.55

第二步：在“非库应用程序”下创建新应用程序，如此图中所示：

屏幕截图2020-11-11，下午1:03:08

第三步：编辑创建的应用程序，然后导航到Set up single sign on > SAML，如下图所示。

屏幕截图2020-11-11，下午1:04:40

第四步：编辑基本SAML配置并提供FMC详细信息：

FMC URL：https://<FMC-FQDN或IP地址>
标识符（实体ID）：https://<FMC-FQDN或IP地址>/saml/metadata
回复URL：https://<FMC-FQDN-or-IPaddress>/saml/acs
登录URL：https://<FMC-QDN-or-IPaddress>/saml/acs
中继状态：/ui/login

屏幕截图2020-11-11，下午1:07.01

将其余内容保留为默认值-对于基于角色的访问，将进一步讨论这一点。

这标志着身份提供程序配置的结束。下载用于FMC配置的联合元数据XML。

Firepower管理中心上的配置

步骤1:登录FMC，导航到设置>用户>单一登录并启用SSO。选择Azure作为提供程序。

屏幕截图2020-11-11，下午1:10:09

第二步：在此处上载从Azure下载的XML文件。它会自动填充所需的所有详细信息。

屏幕截图2020-11-11，下午1:11:20

第三步：验证配置并单击Save，如下图所示。

屏幕截图2020-11-11，下午1:12:42

高级配置-使用Azure的RBAC

若要使用各种角色类型来映射到FMC的角色，您需要编辑Azure上的应用程序清单来向角色分配值。默认情况下，这些角色具有空值。

步骤1:导航到创建的应用程序，然后单击单一登录。

屏幕截图2020-08-14，下午6:47.29

第二步：编辑用户属性和声明。添加名称为“roles”的新声明，然后选择值为user.assignedroles。

屏幕截图2020-08-14，下午6:43.53

第三步：导航到<Application-Name> > Manifest。编辑清单。文件采用JSON格式，默认用户可供复制。例如-此处创建了2个角色：用户和分析师。

屏幕截图：2020-08-14，下午6:49:28

第四步：导航到<Application-Name> > Users and Groups。编辑用户并分配新创建的角色，如下图所示。

屏幕截图：2020-08-14，下午6:51:48

第四步：登录FMC并在SSO中编辑高级配置。对于，Group Member Attribute：将在应用程序清单中提供的显示名称分配给角色。

屏幕截图：2020-08-14，下午6:54:17

完成此操作后，您可以登录到其指定角色。

验证

步骤1:从浏览器导航至FMC URL：https://<FMC URL>。单击Single Sign-On，如下图所示。

屏幕截图2020-11-11，下午1:18:16

然后，系统会将您重定向到Microsoft登录页面，并且成功登录将返回FMC默认页面。

第二步：在FMC上，导航到系统>用户，查看添加到数据库的SSO用户。

屏幕截图2020-11-11，下午1:44:19

故障排除

验证SAML身份验证，这是成功授权所实现的工作流程（此映像为实验室环境）：

浏览器SAML日志

屏幕截图2020-11-11，下午1:15:12

FMC SAML日志

在FMC上验证SAML日志，网址为/var/log/auth-daemon.log

屏幕截图2020-11-11，下午1:16:15

修订历史记录

版本	发布日期	备注
2.0	12-Aug-2024	首次公开发布
1.0	10-Dec-2020	初始版本

由思科工程师提供

舒巴姆·巴蒂
思科专业服务