使用Duo SSO配置Secure Firewall Management Center Access

已更新: 2023 年 7 月 26 日
文档 ID:220639

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置安全防火墙管理中心(FMC),使其通过单点登录(SSO)进行管理访问身份验证。

    先决条件

    要求

    Cisco 建议您了解以下主题:
    ·对单点登录和SAML的基本了解
    ·了解身份提供程序(iDP)上的配置

    使用的组件

    本文档中的信息基于以下软件版本:
    ·思科安全防火墙管理中心(FMC)版本7.2.4
    · Duo作为身份提供者

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    这些iDP受支持并经过身份验证测试:
    · Okta
    · OneLogin
    · PingID
    · Azure AD
    ·其他(符合SAML 2.0的任何iDP)

    note-icon

    注意:无新许可证要求。此功能在许可模式和评估模式下工作。


    限制和限制
    以下是FMC访问SSO身份验证的已知限制和限制:
    ·只能为全局域配置SSO。
    ·参与HA对的FMC设备需要单独配置。
    ·只有本地/AD管理员可以配置FMC上的SSO(SSO管理员用户无法配置/更新FMC上的SSO设置)。

    网络图

    Network Diagram

    身份提供程序(双核)的配置步骤

    从控制面板导航至应用:

    示例url:https://admin-debXXXXX.duosecurity.com/applications

    Navigate to the Applications Tab

    选择保护应用

    Select Protect an Application

    搜索通用SAML服务提供商

    Search for Generic SAML Service Provider

    下载证书和XML。

    Download Certificate and XML

    配置服务提供商。

    输入SAML设置:
    单点登录URL:https://<fmc URL>/saml/acs
    受众URI(SP实体ID):https://<fmc URL>/saml/metadata
    默认RelayState: /ui/login

    Configure Service Provider


    配置对所有用户应用策略

    Configure Apply Policy to All Users

    详细应用策略

    从相应的自定义策略中选择所需的管理员组。

    Detailed Apply a Policy

    配置必要的管理设置。

    Configure Necessary Administrative Settings

    保存应用。

    Save Application


    Secure Firewall Management Center的配置步骤


    使用管理员权限登录FMC。导航到System > Users。

    Firewall Management Center Users

    单击单点登录,如图所示。

    Activate Single Sign-On


    启用Single Sign-On选项(默认情况下禁用)。

    Enable the Single Sign-On


    单击Configure SSO开始在FMC上配置SSO。

    Configure SSO to Begin SSO Configuration on FMC


    选择防火墙管理中心SAML提供程序。单击 Next。


    在本演示中,使用“其他”。

    Select Firewall Management Center SAML Provider

    您还可以选择上传XML文件,并上传之前从Duo配置检索的XML文件。

    Upload XML File


    文件上传后,FMC将显示元数据。单击下一步,如图所示。

    FMC displays Metadata


    验证元数据。单击Save,如下图所示。

    Verify the Metadata

    在Advanced Configuration下配置Role Mapping/Default User Role。

    Configure the Role Mapping/Default User Role


    要测试配置,请点击测试配置,如下图所示。

    Test the Configuration

    显示的测试连接成功的示例。

    Example of a Successful Test Connection


    单击Apply保存配置。

    Save the Configuration


    已成功启用SSO。

    SSO Enabled Successfully

    验证


    从浏览器导航至FMC URL:https://<fmc URL>。单击Single Sign-On

    Navigate to the FMC URL from your Browser

    系统会将您引导至iDP(双核)登录页面。提供您的SSO凭据。单击登录

    DUO Single Sign-On


    如果成功,您可以登录并查看FMC默认页面。
    在FMC中,导航到System > Users以查看添加到数据库的SSO用户。

    User Database

    修订历史记录

    版本 发布日期 备注
    1.0
    26-Jul-2023
    初始版本

    提供者

    • Tristan Conner
      信息安全工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品