使用Duo SSO配置Secure Firewall Management Center Access

簡介

本檔案介紹如何設定安全防火牆管理中心(FMC)，以透過單一登入(SSO)進行管理存取的驗證。

必要條件

需求

思科建議您瞭解以下主題：
·對單點登入和SAML有基礎認識
·瞭解身份提供程式(iDP)上的配置

採用元件

本檔案中的資訊是根據以下軟體版本：
·思科安全防火牆管理中心(FMC)版本7.2.4
· Duo身份提供者

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

這些iDP受支援並進行身份驗證測試：
· Okta
· OneLogin
· PingID
· Azure AD
·其他（符合SAML 2.0的任何iDP）

限制和限制
以下是用於FMC訪問的SSO身份驗證的已知限制和限制：
·只能為全域性域配置SSO。
·參與HA配對的FMC裝置需要單獨配置。
·只有本地/AD管理員可以配置FMC上的SSO（SSO管理員使用者無法配置/更新FMC上的SSO設定）。

網路圖表

身份提供方(Duo)的配置步驟

從儀表板導航至Applications:

示例url: https://admin-debXXXXX.duosecurity.com/applications

選擇保護應用程式。

搜尋通用SAML服務提供程式。

下載證書和XML。

配置服務提供商。

輸入SAML設定：
單點登入URL:https://<fmc URL>/saml/acs
訪問群體URI（SP實體ID）：https://<fmc URL>/saml/metadata
預設RelayState: /ui/login

配置對所有使用者應用策略。

Detailed Apply a Policy。

從相應的自定義策略中選擇所需的管理員組。

配置必要的管理設定。

儲存應用。

Secure Firewall Management Center的配置步驟

以管理員許可權登入到FMC。導覽至System > Users。

按一下「Single Sign-On（單一登入）」 ，如下圖所示。

啟用Single Sign-On選項（預設情況下禁用）。

按一下Configure SSO開始在FMC上配置SSO。

選擇防火牆管理中心SAML提供程式。按「Next」（下一步）。

在本演示中，使用「其他」。

您還可以選擇「上傳XML檔案」並上傳之前從Duo配置檢索的XML檔案。

一旦檔案上傳，FMC將顯示後設資料。按一下「Next」，如下圖所示。

驗證後設資料。按一下「Save」，如下圖所示。

在Advanced Configuration下配置Role Mapping/Default User Role。

若要測試組態，請按一下Test Configuration，如下圖所示。

成功的測試連線示例。

按一下「Apply」以儲存組態。

已成功啟用SSO。

驗證

從瀏覽器導航至FMC URL:https://<fmc URL>。按一下Single Sign-On。

系統會將您導向至iDP(Duo)登入頁面。提供您的SSO憑據。按一下Sign in。

如果成功，您可以登入並檢視FMC預設頁面。
在FMC中，導航到System > Users，檢視新增到資料庫的SSO使用者。