Avanpost FAM/MFA+ : Настройка 2FA/MFA/SSO для Cisco ASA

Общие сведения

Avanpost FAM обеспечивает 2FA/MFA/SSO для пользователей, выполняющих аутентификацию в аппаратные межсетевые экраны Cisco ASA, поддерживающих функции межсетевого экранирования, анализа протоколов прикладного уровня, трансляции сетевых адресов и т.д. В инструкции описывается настройка 2FA/MFA/SSO для Cisco ASA посредством механизма SAML из состава системы Avanpost FAM.

Подготовка к настройке

До настройки интеграции следует проверить соблюдение следующих условий:

  1. Удостовериться в наличии сертификата и закрытого ключа, созданных при установке компонента FAM Server (путь к сертификату и закрытому ключу можно найти в параметрах cert и encryptionKey в файле /opt/idp/config.toml). Если сертификат был подписан ЦС, то необходимо установить корневой сертификат в Cisco ASA.
  2. Удостовериться, что настроен рабочий профиль AnyConnect VPN.

  3. Проверить синхронизацию времени на FAM Server и Cisco ASA.
  4. Версия ПО Cisca ASA 9.7.1.24, 9.8.2.28, 9.9.2.1 и более поздние этих версий или 9.10 и более поздние этой версии.
  5. Версия ПО Cisco AnyConnect 4.6 и более поздние версии.

Настройка на стороне Cisco ASA

Настройка межсетевого экрана Cisco ASA осуществляется в следующей последовательности.

  1. Создание точки доверия и импорт сертификата
    1. Подключиться к хосту устройства с помощью telnet или SSH.
    2. Для доступа к конфигурационному терминалу ввести следующую команду:
      config t
    3. Для создания точки доверия ввести следующие команды в указанной последовательности:
      crypto ca trustpoint FAM
      enrollment terminal
      no ca-check
      crypto ca authenticate FAM
    4. Вести сертификат в кодировке Base64 из созданного ранее файла и написать с новой строки quit для завершения ввода.
  2. Настройка SAML IdP

    1. Для входа в конфигурацию веб-VPN необходимо ввести следующую команду в терминале конфигурации:
      WebVPN
    2. Для настройки точек доверия ввести:

      ciscoasa(config-webvpn-saml-idp)# trustpoint idp FAM
      ciscoasa(config-webvpn-saml-idp)# trustpoint sp <trust_sp_>
    3. Перейти по ссылке: https://${baseUrl}/.well-known/samlidp.xml для получения следующих значений: entityID, SingleSignOnService, SingleLogoutService.
    4. Ввести в терминале конфигурации команды со значениями, которые были получены на предыдущем шаге:
      ciscoasa(config-webvpn-saml-idp)# saml idp <entityID>
      ciscoasa(config-webvpn-saml-idp)# url sign-in https://<baseUrl>/saml2
      ciscoasa(config-webvpn-saml-idp)# url sign-out https://<baseUrl>/saml2/logout

      Примечание

      <baseUrl> - базовый адрес FAM Server.

    5. Настроить базовый URL-адрес (без клиента):
      ciscoasa(config-webvpn-saml-idp)# base-url https://<your_base_URL_of_VPN>
    6. Настроить подпись запроса SAML:
      ciscoasa(config-webvpn-saml-idp)# signature
    7. Настроить тайм-аут:
      ciscoasa(config-webvpn-saml-idp)# timeout assertion 7200

      Проверить настройки можно с помощью команды show webvpn saml idp.

  3. Настройте IdP для туннельной группы и включите аутентификацию SAML

    1. Настроить IdP для туннельной группы и включить аутентификацию SAML, введя следующих команды:

      ciscoasa(config) webvpn
      ciscoasa(config-webvpn)# tunnel-group-list enable
      ciscoasa(config-webvpn)# tunnel-group <TunnelGroupName> type remote-access
      ciscoasa(config)# tunnel-group <TunnelGroupName> webvpn-attributes
      ciscoasa(config-tunnel-webvpn)# authentication saml
      ciscoasa(config-tunnel-webvpn)# group-alias FAM_idp enable
      

Настройка на стороне MFA+/FAM

В административной консоли Avanpost FAM Server необходимо выполнить следующие действия:

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип "SAML" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление SAML-приложениями).
  3. На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для SAML-приложений):
    ПараметрЗначение
    Issuerhttps://<vpn_base_url>/saml/sp/metadata/<TunnelGroupName>
    ACShttps://<vpn_base_url>/+CSCOE+/saml/sp/acs?tgname=<TunnelGroupName>
    Базовый URLhttps://<vpn_base_url>/<TunnelGroupName>
    Logouthttps://<vpn_base_url> /+CSCOE+/saml/sp/logout
    NameID FormatВыбрать "Постоянный"
    Значение NameIDИмя пользователя

    Примечание

    В параметре <TunnelGroupName> указывается имя, которое было задано при создании профиля Cisco ASA Anyconnect SAML.

  4. Значения Issuer, ACS, Logout можно получить с помощью следующей команды:
    show saml metadata <TunnelGroupName>

    Примечание

    entityID - значение Issuer

    Разделе KeyDescriptor: строка AssertionconsumerService, параметр location - значение ACS

    Разделе KeyDescriptor: строка SingleLogoutService, параметр location - значение Logout

  5. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для SAML-приложения).
  6. На этапе "Завершение" следует сохранить приложение, делая или не делая его активным сразу после создания (более подробно в Шаг 4. Завершение для SAML-приложения).

    Примечание

    Для просмотра и изменения параметров интеграции следует войти в профиль приложения (найти нужное в реестре режима "Приложения") в раздел "Настройки".

Обсуждение