在通过FMC管理的FTD上配置具有SAML身份验证的AnyConnect

下载选项

  • PDF     (818.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (547.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (538.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 10 月 30 日
文档 ID:216268

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍通过FMC管理的FTD上的安全断言标记语言(SAML)身份验证。 

    先决条件

    要求

    建议掌握下列主题的相关知识:

    • Firepower管理中心(FMC)上的AnyConnect配置
    • SAML和metatada.xml值

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Firepower威胁防御(FTD)版本6.7.0
    • FMC版本6.7.0
    • 来自AD服务器的ADFS,带SAML 2.0

    注意:如果可能,请使用NTP服务器来同步FTD和IdP之间的时间。否则,请验证时间是否已在它们之间手动同步。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    此配置允许AnyConnect用户与SAML身份服务提供商建立VPN会话身份验证。

    SAML当前的一些限制包括:

    • FTD上的SAML支持身份验证(版本6.7及更高版本)和授权(版本7.0及更高版本)。
    • 不支持DAP评估中可用的SAML身份验证属性(类似于从AAA服务的RADIUS授权响应中发送的RADIUS属性)。
    • ASA在DAP策略上支持启用SAML的隧道组。但是,您无法使用SAML身份验证检查用户名属性,因为用户名属性由SAML身份提供程序进行屏蔽。

    • 由于带有嵌入式浏览器的AnyConnect在每次VPN尝试时都会使用新的浏览器会话,因此,如果IdP使用HTTP会话cookie来跟踪登录状态,则用户每次都必须重新进行身份验证。

    • 在本例中, Force Re-Authentication 设置 Configuration > Remote Access VPN > Clientless SSL VPN Access > Advanced > Single Sign On Servers 对AnyConnect发起的SAML身份验证没有影响。

    此处提供的链接中介绍了更多限制或SAML。 

    SAML 2.0的准则和限制

    这些限制适用于ASA和FTD:SAML 2.0的准则和限制。

    注意:要在FTD上实施的所有SAML配置都可以在IdP提供的metadata.xml文件中找到。

    配置

    本节介绍如何在FTD上使用SAML身份验证配置AnyConnect

    获取SAML IdP参数

    此图像显示SAML IdP metadata.xml文件。从输出中,您可以获取使用SAML配置AnyConnect配置文件所需的所有值:

    Metadata Ready

    通过FMC在FTD上进行配置

    步骤1:在FMC上安装并注册IdP证书。导航至 Devices > Certificates.

    Configuration on the FTD via FMC

    第二步:点击 Add.选择要注册到此证书的FTD。在Cert Enrollment下,点击加号+号。

    如果 Add Cert Enrollment 部分,使用任意名称作为IdP证书的标签。点击 Manual.

    查看 CA OnlySkip Check CA标志字段。

    粘贴 base64 格式IdP CA证书。

    点击 Save 然后单击 Add.

    Select the FTD to Enroll in the Certificate

    第三步:配置SAML服务器设置。导航至 Objects > Object Management > AAA Servers > Single Sign-on Server.然后,选择 Add Single Sign-on Server.

    Configure the SAML Server Settings

    第四步:基于 metadata.xml 文件,请配置SAML值 New Single Sign-on Server.

    SAML Provider Entity ID: entityID from metadata.xml
    SSO URL: SingleSignOnService from metadata.xml.
    Logout URL: SingleLogoutService from metadata.xml.
    BASE URL: FQDN of your FTD SSL ID Certificate.
    Identity Provider Certificate: IdP Signing Certificate.
    Service Provider Certificate: FTD Signing Certificate.

    New single Sign-On Server

    第五步:配置 Connection Profile 使用此身份验证方法。导航至 Devices > Remote Access  然后编辑您当前的 VPN Remote Access 配置.

    Configure the Connection Profile

    第六步:点击加号+并添加其他连接配置文件。

    Add Another Connection Profile

    步骤 7.创建新的连接配置文件并添加适当的VPN、池或DHCP服务器。

    Create the New Connection Profile and Add the Proper VPN, Pool or DHCP Server

    步骤 8 选择AAA选项卡。在 Authentication Method 选项,选择SAML。

    Authentication Server 选项中,选择在步骤4中创建的SAML对象。

    Select the AAA Tab

    步骤 9 创建组别名以将连接映射到此连接配置文件。这是用户可以在AnyConnect软件下拉菜单上看到的标记。

    配置完成后,单击OK并保存完整的SAML身份验证VPN配置。

    Create a Group Alias to Map the Connections to this Connection Profile

    步骤 10导航至 Deploy > Deployment 并选择适当的FTD以应用SAML身份验证VPN更改。

    步骤 11 向IDP提供FTD metadata.xml文件,以便将FTD添加为受信任设备。

    在FTD CLI上,运行命令 show saml metadata SAML_TG 其中,SAML_TG是在步骤7中创建的连接配置文件的名称。

    这是预期输出:

    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> en
    Password:
    firepower# show saml metadata SAML_TG

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <EntityDescriptor entityID="https://ftd.lab.local/saml/sp/metadata/SAML_TG" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>MIIF1zCCBL+gAwIBAgITYAAAABN6dX+H0cOFYwAAAAAAEzANBgkqhkiG9w0BAQsF
    ADBAMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxEzARBgoJkiaJk/IsZAEZFgNsYWIx
    EjAQBgNVBAMTCU1TMjAxMi1DQTAeFw0yMDA0MTEwMTQyMTlaFw0yMjA0MTEwMTQy
    MTlaMCMxCzAJBgNVBAYTAkNSMRQwEgYDVQQDDAsqLmxhYi5sb2NhbDCCASIwDQYJ
    KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKfRmbCfWk+V1f+YlsIE4hyY6+Qr1yKf
    g1wEqLOFHtGVM3re/WmFuD+4sCyU1VkoiJhf2+X8tG7x2WTpKKtZM3N7bHpb7oPc
    uz8N4GabfAIw287soLM521h6ZM01bWGQ0vxXR+xtCAyqz6JJdK0CNjNEdEkYcaG8
    PFrFUy31UPmCqQnEy+GYZipErrWTpWwbF7FWr5u7efhTtmdR6Y8vjAZqFddigXMy
    EY4F8sdic7btlQQPKG9JIaWny9RvHBmLgj0px2i5Rp5k1JIECD9kHGj44O5lBEcv
    OFY6ecAPv4CkZB6CloftaHjUGTSeVeBAvXBK24Ci9e/ynIUNJ/CM9pcCAwEAAaOC
    AuUwggLhMBYGA1UdEQQPMA2CCyoubGFiLmxvY2FsMB0GA1UdDgQWBBROkmTIhXT/
    EjkMdpc4aM6PTnyKPzAfBgNVHSMEGDAWgBTEPQVWHlHqxd11VIRYSCSCuHTa4TCB
    zQYDVR0fBIHFMIHCMIG/oIG8oIG5hoG2bGRhcDovLy9DTj1NUzIwMTItQ0EsQ049
    V0lOLTVBME5HNDkxQURCLENOPUNEUCxDTj1QdWJsaWMlMjBLZXklMjBTZXJ2aWNl
    cyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPWxhYixEQz1sb2NhbD9j
    ZXJ0aWZpY2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U/b2JqZWN0Q2xhc3M9Y1JMRGlz
    dHJpYnV0aW9uUG9pbnQwgbkGCCsGAQUFBwEBBIGsMIGpMIGmBggrBgEFBQcwAoaB
    mWxkYXA6Ly8vQ049TVMyMDEyLUNBLENOPUFJQSxDTj1QdWJsaWMlMjBLZXklMjBT
    ZXJ2aWNlcyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPWxhYixEQz1s
    b2NhbD9jQUNlcnRpZmljYXRlP2Jhc2U/b2JqZWN0Q2xhc3M9Y2VydGlmaWNhdGlv
    bkF1dGhvcml0eTAOBgNVHQ8BAf8EBAMCBaAwPQYJKwYBBAGCNxUHBDAwLgYmKwYB
    BAGCNxUIgYKsboLe0U6B4ZUthLbxToW+yFILh4iaWYXgpQUCAWQCAQMwSwYDVR0l
    BEQwQgYIKwYBBQUHAwEGCCsGAQUFBwMHBggrBgEFBQcDBgYIKwYBBQUIAgIGCCsG
    AQUFBwMFBggrBgEFBQcDAgYEVR0lADBfBgkrBgEEAYI3FQoEUjBQMAoGCCsGAQUF
    BwMBMAoGCCsGAQUFBwMHMAoGCCsGAQUFBwMGMAoGCCsGAQUFCAICMAoGCCsGAQUF
    BwMFMAoGCCsGAQUFBwMCMAYGBFUdJQAwDQYJKoZIhvcNAQELBQADggEBAKQnqcaU
    fZ3kdeoE8v2Qz+3Us8tXxXaXVhS3L5heiwr1IyUgsZm/+RLJL/zGE3AprEiITW2V
    Lmq04X1goaAs6obHrYFtSttz/9XlTAe1KbZ0GlRVg9LblPiF17kZAxALjLJHlCTG
    5EQSC1YqS31sTuarm4WPDJyMShc6hlUpswnCokGRMMgpx2GmDgv4Zf8SzJJ0NI4y
    DgMozuObwkNUXuHbiLuoXwvb2Whm11ysidpl+V9kp1RYamyjFUo+agx0E+L1zp8C
    i0YEwYKXgKk3CZdwJfnYQuCWjmapYwlLGt5S59Uwegwro6AsUXY335+ZOrY/kuLF
    tzR3/S90jDq6dqk=
    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </KeyDescriptor>
    <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://ftd.lab.local/+CSCOE+/saml/sp/acs?tgname=SAML_TG" />
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://ftd.lab.local/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://ftd.lab.local/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
    </EntityDescriptor>

    从FTD向IdP提供metadata.xml并且它作为受信任设备后,可以执行VPN连接下的测试。

    验证

    使用如下所示的命令验证VPN AnyConnect连接是使用SAML作为身份验证方法建立的:

    firepower# show vpn-sessiondb detail AnyConnect
    Session Type: AnyConnect Detailed
    Username : xxxx  Index : 4
    Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx : 12772 Bytes Rx : 0
    Pkts Tx : 10 Pkts Rx : 0
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    Group Policy : SAML_GP Tunnel Group : SAML_TG
    Login Time : 18:19:13 UTC Tue Nov 10 2020
    Duration : 0h:03m:12s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : c0a80109000040005faad9a1
    Security Grp : none Tunnel Zone : 0
    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1
    AnyConnect-Parent:
    Tunnel ID : 4.1
    Public IP : 192.168.1.104
    Encryption : none Hashing : none
    TCP Src Port : 55130 TCP Dst Port : 443
    Auth Mode : SAML
    Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
    Client OS : linux-64
    Client OS Ver: Ubuntu 20.04.1 LTS (Focal Fossa)
    Client Type : AnyConnect
    Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
    Bytes Tx : 6386 Bytes Rx : 0
    Pkts Tx : 5 Pkts Rx : 0
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    SSL-Tunnel:
    Tunnel ID : 4.2
    Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
    Encryption : AES-GCM-256 Hashing : SHA384
    Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
    Encapsulation: TLSv1.2 TCP Src Port : 55156
    TCP Dst Port : 443 Auth Mode : SAML
    Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
    Client OS : Linux_64
    Client Type : SSL VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
    Bytes Tx : 6386 Bytes Rx : 0
    Pkts Tx : 5 Pkts Rx : 0
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    DTLS-Tunnel:
    Tunnel ID : 4.3
    Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
    Encryption : AES-GCM-256 Hashing : SHA384
    Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
    Encapsulation: DTLSv1.2 UDP Src Port : 40868
    UDP Dst Port : 443 Auth Mode : SAML
    Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
    Client OS : Linux_64
    Client Type : DTLS VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
    Bytes Tx : 0 Bytes Rx : 0
    Pkts Tx : 0 Pkts Rx : 0
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    故障排除

    FTD CLI上的某些验证命令可用于对SAML和远程访问VPN连接进行故障排除,如括号所示:

    firepower# show run webvpn
    firepower# show run tunnel-group
    firepower# show crypto ca certificate
    firepower# debug webvpn saml 25

    注意:您也可以从AnyConnect用户PC对DART进行故障排除。

    修订历史记录

    版本 发布日期 备注
    3.0
    30-Oct-2023
    更新的简介、替换文本、PII和格式。
    2.0
    13-Sep-2022
    添加了机器翻译HTML、次要格式和结构、次要语法和标点。
    1.0
    31-Aug-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • 若瑟·大卫·布雷内斯·莫拉莱斯
      技术咨询工程师
    • 塞萨尔·伊万·蒙特鲁维奥·拉米雷斯
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品