この記事では、Cisco Secure Firewall - Secure Client と Microsoft Entra ID を統合する方法について説明します。 Cisco Secure Firewall - Secure Client と Microsoft Entra ID を統合すると、次のことができます。
- Cisco Secure Firewall - Secure Client にアクセスできるユーザーの Microsoft Entra ID を制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して Cisco Secure Firewall - Secure Client に自動的にサインインできるようにします。
- 1 つの場所でアカウントを管理します。
前提条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール:
- Cisco Secure Firewall - Secure Client でのシングル サインオン (SSO) が有効なサブスクリプションを提供します。
シナリオの説明
この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。
- Cisco Secure Firewall - Secure Client では、IDP によって開始される SSO のみがサポートされます。
ギャラリーからの Cisco Secure Firewall - Secure Client の追加
Cisco Secure Firewall - Secure Client の Microsoft Entra ID への統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Cisco Secure Firewall - Secure Client を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Cisco Secure Firewall - Secure Client」と入力します。
- 結果パネルから Cisco Secure Firewall - Secure Client を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。
Cisco Secure Firewall - Secure Client の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用して、Cisco Secure Firewall - Secure Client に対して Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと Cisco Secure Firewall - Secure Client の関連ユーザーとの間にリンク関係を確立する必要があります。
Cisco Secure Firewall - Secure Client に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
-
Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
-
Cisco Secure Firewall - Secure Client SSO - 構成してアプリケーション側でシングル サインオン設定を構成します。
- Cisco Secure Firewall - Secure Client のテストユーザーの作成 - Cisco Secure Firewall - Secure Client で B.Simon に対応するユーザーを作成し、それを Microsoft Entra での B.Simon の表現にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>Enterprise apps>Cisco Secure Firewall - Secure Client>シングル サインオンを参照します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の編集/ペン アイコンを選択して設定を編集します。
[SAML でシングル サインオンをセットアップします] ページで、次のフィールドの値を入力します。
[識別子] ボックスに、次の形式で URL を入力します。
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>[応答 URL] ボックスに、次のパターンを使用して URL を入力します。
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
注意
<Tunnel_Group_Name>には大文字と小文字の区別があり、値にドット "." とスラッシュ "/" を含めることはできません。注意
これらの値の詳細については、Cisco TAC のサポートに問い合わせてください。 これらの値を実際の識別子と、Cisco TAC から提供された応答 URL の値で更新します。 これらの値を取得するには、Cisco Secure Firewall - Secure Client サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
[SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、[証明書 (Base64)] を見つけて、[ダウンロード] を選択し、証明書をダウンロードしてお使いのコンピューターに保存します。
Cisco Secure Firewall - Secure Client のセットアップに関するセクションで、要件に基づいて適切な URL をコピーします。
注意
サーバーの複数の TGT をオンボードする場合は、ギャラリーから Cisco Secure Firewall - Secure Client アプリケーションの複数のインスタンスを追加する必要があります。 これらすべてのアプリケーション インスタンスについて、Microsoft Entra ID に独自の証明書をアップロードすることもできます。 このようにアプリケーションに同じ証明書を使用できる一方で、アプリケーションごとに異なる識別子と応答 URL を構成することができます。
Microsoft Entra テスト ユーザーの作成と割り当て
ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。
Cisco Secure Firewall - Secure Client SSO の構成
最初に CLI でこれを行いますが、別の機会に戻って ASDM のウォークスルーを行うかもしれません。
VPN アプライアンスに接続すると、9.8 コード トレーニングを実行する ASA が使用され、VPN クライアントは 4.6 以降になります。
まず、トラストポイントを作成し、SAML 証明書をインポートします。
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quit次のコマンドを実行すると、SAML IdP がプロビジョニングされます。
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.comこれで、VPN トンネル構成に SAML 認証を適用できるようになります。
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write mem注意
SAML IdP 構成に関する回避策があります。 IdP の構成に変更を加えた場合は、変更を有効にするために、トンネル グループから SAML ID プロバイダーの構成を削除し、再度適用する必要があります。
Cisco Secure Firewall - Secure Client テスト ユーザーの作成
このセクションでは、Cisco Secure Firewall - Secure Client で Britta Simon というユーザーを作成します。 Cisco Secure Firewall - Secure Client サポート チームと協力して、Cisco Secure Firewall - Secure Client プラットフォームにこのユーザーを追加します。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
- [ このアプリケーションをテストする] を選択すると、SSO を設定した Cisco Secure Firewall - Secure Client に自動的にサインインします
- Microsoft アクセス パネルを使用することができます。 アクセス パネルで [Cisco Secure Firewall - Secure Client] タイルを選択すると、SSO を設定した Cisco Secure Firewall - Secure Client に自動的にサインインします。 アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。
関連コンテンツ
Cisco Secure Firewall - Secure Client を構成した後、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。