使用Azure作為身份提供程式配置FMC SSO

簡介

本文檔介紹如何使用Azure作為身份提供程式(idP)配置Firepower管理中心(FMC)單一登入(SSO)。

必要條件

需求

思科建議您瞭解以下主題：

• 對Firepower管理中心有基本的瞭解
• 對單一登入的基本瞭解 

採用元件

本檔案中的資訊是根據以下軟體版本：

• Cisco Firepower管理中心(FMC)版本6.7.0
• Azure - IdP

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

SAML術語

安全斷言標籤語言(SAML)是最常使SSO成為可能的基礎協定。公司維護單一登入頁面，在其後是身份庫和各種驗證規則。它可以輕鬆配置任何支援SAML的Web應用，允許您登入所有Web應用。此外，它的安全優勢在於，既不強制使用者為需要訪問的每個Web應用維護（並可能重複使用）密碼，也不向這些Web應用公開密碼。

SAML的配置必須在兩個位置完成：在IdP和SP。需要配置IdP，使其知道當使用者要登入到特定SP時，向何處傳送以及如何傳送這些使用者。需要配置SP，使其知道可以信任由IdP簽名的SAML斷言。 

SAML核心的幾個術語的定義：

• 身份提供程式(IdP) -執行身份驗證的軟體工具或服務（通常由登入頁和/或儀表板顯示）；檢查使用者名稱和密碼、驗證帳戶狀態、呼叫雙因素身份驗證以及其他身份驗證。 
  
  

• 服務提供商(SP) -使用者嘗試獲取訪問許可權的Web應用程式。 
  
  

• SAML Assertion -透過瀏覽器重新導向透過HTTP傳送的訊息，可宣告使用者的身分和其他屬性

IdP配置

SAML斷言的規範、包含的內容以及格式化方式由SP提供，並在IdP中設定。 

• EntityID - SP的全局唯一名稱。格式不盡相同，但此值格式化為URL的情況越來越常見。
  示例： https://<FQDN或IP地址>/saml/metadata

• 斷言消費者服務(ACS)驗證器-正規表示式(regex)形式的安全措施，用於確保SAML斷言傳送到正確的ACS。只有在SP啟動的登入期間，SAML請求才包含ACS位置，因此，此ACS驗證程式可以確保SAML請求提供的ACS位置是合法的。
  示例： https://<FQDN或IP地址>/saml/acs

• Attributes -屬性的數目和格式可能相差很大。 通常至少會有一個屬性nameID，它通常是嘗試登入的使用者使用者名稱。

• SAML簽名演算法- SHA-1或SHA-256。SHA-384或SHA-512不太常見。此演演算法會搭配此處提到的X.509憑證使用。

SP配置

與上面部分相反，本節介紹IdP提供的資訊並設定在SP上。 

• 頒發者URL - IdP的唯一識別符號。格式化為包含有關IdP資訊的URL，以便SP可以驗證其收到的SAML斷言是否由正確的IdP發出。

• SAML SSO終結點/服務提供商登入URL -一個IdP終結點，當SP在此透過SAML請求重定向時啟動身份驗證。
  範例： https://login.microsoftonline.com/023480840129412-824812/saml2

• SAML SLO（單一註銷）終結點-一個IdP終結點，當SP在此處重定向時它會關閉您的IdP會話，通常是在按一下註銷之後。
  範例： https://access.wristbandtent.com/logout

FMC上的SAML 

FMC中的SSO功能是從6.7開始引入的。新功能簡化了FMC授權(RBAC)，因為它將現有資訊對映到FMC角色。它適用於所有FMC UI使用者和FMC角色。目前，它支援SAML 2.0規範以及這些支援的IDP

• 歐克塔

• OneLogin

• PingID

• Azure AD

• 其他（符合SAML 2.0的任何IDP）

限制和警告

• 只能為全局域配置SSO。

• HA配對中的FMC需要個別組態。

• 只有本地/AD管理員可以配置單一登入。

• 不支援從Idp起始的SSO。

設定

辨識提供者上的組態 

步驟 1.登入到Microsoft Azure。導航到Azure Active Directory > Enterprise Application。

• 步驟 2.在「非庫應用程式」下建立新應用程式，如此圖中所示：

步驟 3.編輯建立的應用程式，然後導航到Set up single sign on > SAML，如下圖所示。

步驟 4.編輯基本SAML配置並提供FMC詳細資訊： 

• FMC URL： https://<FMC-FQDN或IP地址>
  
• 識別符號（實體ID）：https://<FMC-FQDN或IP地址>/saml/metadata
  
• 回覆URL： https://<FMC-FQDN或IP地址>/saml/acs
  
• 登入URL：https://<FMC-QDN-or-IPaddress>/saml/acs
  
  
• RelayState：/ui/login

保留其餘內容為預設值-對於基於角色的訪問，將進一步討論這一點。

這標誌著身份提供程式配置的結束。下載用於FMC配置的聯合後設資料XML。

Firepower管理中心上的配置

步驟 1.登入FMC，導航到設定>使用者>單一登入，然後啟用SSO。選擇Azure作為提供程式。 

步驟 2.在此處上傳從Azure下載的XML檔案。它會自動填入所有需要的詳細資訊。 

步驟 3.驗證配置並按一下Save，如下圖所示。

高級配置- RBAC with Azure

若要使用各種角色型別來對映到FMC的角色，您需要編輯Azure上的應用程式清單，以向角色分配值。依預設，角色具有空值。

步驟 1.導航到建立的應用程式並按一下Single sign-on。

步驟 2.編輯使用者屬性和宣告。增加名為：角色的新宣告，並選擇值為user.assignedroles。

步驟 3.導航到<Application-Name> > Manifest。 編輯清單。檔案採用JSON格式，並且預設使用者可供複製。例如-此處建立了2個角色：使用者和分析師。

步驟 4.導航到<Application-Name> >使用者和組。編輯使用者並指派新建立的角色，如下圖所示。

步驟 4.登入FMC並在SSO中編輯高級配置。對於，Group Member Attribute：將您在Application Manifest中提供的Display name分配給角色。

完成此操作後，您可以登入到他們的指定角色。

驗證

步驟 1.從瀏覽器導航至FMC URL：https://<FMC URL>。按一下Single Sign-On，如下圖所示。

接著您會被重新導向至Microsoft登入頁面，如果成功登入，將會傳回FMC預設頁面。

步驟 2.在FMC上，導航到System > Users，檢視增加到資料庫的SSO使用者。

疑難排解

驗證SAML身份驗證，這是您成功授權的工作流程（此映像為實驗室環境）：

瀏覽器SAML日誌

FMC SAML日誌

驗證FMC上的SAML日誌，網址為/var/log/auth-daemon.log