Tutorial: Integração de SSO (logon único) do Microsoft Entra ao Cisco Secure Firewall – Secure Client

  • Artigo

Neste tutorial, você aprenderá como integrar o Cisco Secure Firewall – Secure Client ao Microsoft Entra ID. Quando você integra o Cisco Secure Firewall – Secure Client ao Microsoft Entra ID, é possível:

  • Controlar no Microsoft Entra ID quem tem acesso ao Cisco Secure Firewall – Secure Client.
  • Permitir que seus usuários entrem automaticamente no Cisco Secure Firewall – Secure Client com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) do Cisco Secure Firewall – Secure Client.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Cisco Secure Firewall – Secure Client dá suporte apenas SSO iniciado por IDP.

Adicionar o Cisco Secure Firewall – Secure Client da galeria

Para configurar a integração entre o Cisco Secure Firewall – Secure Client e o Microsoft Entra ID, é necessário adicionar o Cisco Secure Firewall – Secure Client da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Cisco Secure Firewall – Secure Client na caixa de pesquisa.
  4. Selecione Cisco Secure Firewall – Secure Client no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra no Cisco Secure Firewall – Secure Client

Configure e teste o SSO do Microsoft Entra com o Cisco Secure Firewall – Secure Client usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Cisco Secure Firewall – Secure Client.

Para configurar e testar o SSO do Microsoft Entra com o Cisco Secure Firewall – Secure Client, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configure o SSO do Cisco Secure Firewall – Secure Client – para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do Cisco Secure Firewall – Secure Client – para ter um equivalente a B.Fernandes no Cisco Secure Firewall – Secure Client que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Cisco Secure Firewall – Secure Client>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de edição/caneta da Configuração Básica do SAML para editar as configurações.

    Captura de tela mostra como editar a Configuração Básica do SAML.

  5. Na página Configurar logon único com SAML, insira os valores para os seguintes campos:

    1. Na caixa de texto Identificador, digite uma URL usando o seguinte padrão:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. Na caixa de texto URL de Resposta, digite uma URL usando o seguinte padrão:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Observação

    <Tunnel_Group_Name> diferencia maiúsculas de minúsculas e o valor não deve conter pontos "." e barras "/".

    Observação

    Para esclarecimentos sobre esses valores, entre em contato com o suporte do Cisco TAC. Atualize esses valores com o Identificador e a URL de Resposta reais fornecidos pelo Cisco TAC. Entre em contato com a equipe de suporte do Cisco Secure Firewall – Secure Client para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.

  6. Na página Configurar logon único com SAML, na seção Certificado de Autenticação SAML, localize Certificado (Base64) e selecione Baixar para baixar o arquivo de certificado e salvá-lo no computador.

    Captura de tela que mostra o link de download do Certificado.

  7. Na seção Configurar o Cisco Secure Firewall – Secure Client, copie as URLs apropriadas de acordo com suas necessidades.

    Captura de tela que mostra como copiar as URLs de configuração.

Observação

Se você quiser integrar vários TGTs do servidor, precisará adicionar várias instâncias do aplicativo Cisco Secure Firewall – Secure Client por meio da galeria. Além disso, você pode optar por carregar seu certificado na ID do Microsoft Entra para todas essas instâncias de aplicativo. Dessa forma, você pode ter o mesmo certificado para os aplicativos, mas pode configurar Identificador e URL de Resposta diferentes para cada aplicativo.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Fernandes para usar o logon único, concedendo acesso ao Cisco Secure Firewall – Secure Client.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Cisco Secure Firewall – Secure Client.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Cisco Secure Firewall – Secure Client

  1. Você vai fazer isso na CLI primeiro. Você pode voltar e fazer um passo a passo do ASDM em outro momento.

  2. Conecte-se ao seu dispositivo de VPN. Você usará um ASA executando o treinamento de código 9.8 e seus clientes VPN serão 4.6+.

  3. Primeiro, você criará um Trustpoint e importará nosso certificado SAML.

     config t

 crypto ca trustpoint AzureAD-AC-SAML
   revocation-check none
   no id-usage
   enrollment terminal
   no ca-check
 crypto ca authenticate AzureAD-AC-SAML
 -----BEGIN CERTIFICATE-----
 …
 PEM Certificate Text from download goes here
 …
 -----END CERTIFICATE-----
 quit

  4. Os comandos a seguir provisionarão o IdP do SAML.

     webvpn
 saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 trustpoint idp AzureAD-AC-SAML
 trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
 no force re-authentication
 no signature
 base-url https://my.asa.com

  5. Agora você pode aplicar a autenticação SAML a uma configuração de túnel VPN.

    tunnel-group AC-SAML webvpn-attributes
   saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
   authentication saml
end

 write mem

    Observação

    Há uma solução alternativa para a configuração de IdP do SAML. Se você fizer alterações à configuração do IdP, será necessário remover a configuração do provedor de identidade SAML do seu grupo de túnel e reaplicá-la para que as alterações entrem em vigor.

Criar o usuário de teste do Cisco Secure Firewall – Secure Client

Nesta seção, você criará um usuário chamado Brenda Fernandes no Cisco Secure Firewall – Secure Client. Trabalhe com a equipe de suporte do Cisco Secure Firewall – Secure Client para adicionar os usuários na plataforma Cisco Secure Firewall – Secure Client. Os usuários devem ser criados e ativados antes de usar o logon único.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo. Você entrará automaticamente no Cisco Secure Firewall – Secure Client para o qual configurou o SSO
  • Use o Painel de Acesso da Microsoft. Ao clicar no bloco Cisco Secure Firewall – Secure Client no Painel de Acesso, você deverá ser conectado automaticamente ao Cisco Secure Firewall – Secure Client para o qual configurou o SSO. Para saber mais sobre o Painel de Acesso, veja Introdução ao Painel de Acesso.

Próximas etapas

Depois de configurar o Cisco Secure Firewall – Secure Client, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.