Общие сведения
Avanpost FAM обеспечивает 2FA/MFA/SSO для пользователей, выполняющих аутентификацию в аппаратные межсетевые экраны Cisco ASA, поддерживающих функции межсетевого экранирования, анализа протоколов прикладного уровня, трансляции сетевых адресов и т.д. В инструкции описывается настройка 2FA/MFA/SSO для Cisco ASA посредством механизма SAML из состава системы Avanpost FAM.
Подготовка к настройке
До настройки интеграции следует проверить соблюдение следующих условий:
- Удостовериться в наличии сертификата и закрытого ключа, созданных при установке компонента FAM Server (путь к сертификату и закрытому ключу можно найти в параметрах cert и encryptionKey в файле /opt/idp/config.toml). Если сертификат был подписан ЦС, то необходимо установить корневой сертификат в Cisco ASA.
Удостовериться, что настроен рабочий профиль AnyConnect VPN.
- Проверить синхронизацию времени на FAM Server и Cisco ASA.
- Версия ПО Cisca ASA 9.7.1.24, 9.8.2.28, 9.9.2.1 и более поздние этих версий или 9.10 и более поздние этой версии.
- Версия ПО Cisco AnyConnect 4.6 и более поздние версии.
Настройка на стороне Cisco ASA
Настройка межсетевого экрана Cisco ASA осуществляется в следующей последовательности.
- Создание точки доверия и импорт сертификата
- Подключиться к хосту устройства с помощью telnet или SSH.
- Для доступа к конфигурационному терминалу ввести следующую команду:
config t
- Для создания точки доверия ввести следующие команды в указанной последовательности:
crypto ca trustpoint FAM enrollment terminal no ca-check crypto ca authenticate FAM
- Вести сертификат в кодировке Base64 из созданного ранее файла и написать с новой строки quit для завершения ввода.
Настройка SAML IdP
- Для входа в конфигурацию веб-VPN необходимо ввести следующую команду в терминале конфигурации:
WebVPN
Для настройки точек доверия ввести:
ciscoasa(config-webvpn-saml-idp)# trustpoint idp FAM ciscoasa(config-webvpn-saml-idp)# trustpoint sp <trust_sp_>
- Перейти по ссылке: https://${baseUrl}/.well-known/samlidp.xml для получения следующих значений: entityID, SingleSignOnService, SingleLogoutService.
- Ввести в терминале конфигурации команды со значениями, которые были получены на предыдущем шаге:
ciscoasa(config-webvpn-saml-idp)# saml idp <entityID> ciscoasa(config-webvpn-saml-idp)# url sign-in https://<baseUrl>/saml2 ciscoasa(config-webvpn-saml-idp)# url sign-out https://<baseUrl>/saml2/logout
Примечание
<baseUrl> - базовый адрес FAM Server.
- Настроить базовый URL-адрес (без клиента):
ciscoasa(config-webvpn-saml-idp)# base-url https://<your_base_URL_of_VPN>
- Настроить подпись запроса SAML:
ciscoasa(config-webvpn-saml-idp)# signature
- Настроить тайм-аут:
ciscoasa(config-webvpn-saml-idp)# timeout assertion 7200
Проверить настройки можно с помощью команды show webvpn saml idp.
- Для входа в конфигурацию веб-VPN необходимо ввести следующую команду в терминале конфигурации:
Настройте IdP для туннельной группы и включите аутентификацию SAML
Настроить IdP для туннельной группы и включить аутентификацию SAML, введя следующих команды:
ciscoasa(config) webvpn ciscoasa(config-webvpn)# tunnel-group-list enable ciscoasa(config-webvpn)# tunnel-group <TunnelGroupName> type remote-access ciscoasa(config)# tunnel-group <TunnelGroupName> webvpn-attributes ciscoasa(config-tunnel-webvpn)# authentication saml ciscoasa(config-tunnel-webvpn)# group-alias FAM_idp enable
Настройка на стороне MFA+/FAM
В административной консоли Avanpost FAM Server необходимо выполнить следующие действия:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип "SAML" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление SAML-приложениями).
- На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для SAML-приложений):
Параметр Значение Issuer https://<vpn_base_url>/saml/sp/metadata/<TunnelGroupName> ACS https://<vpn_base_url>/+CSCOE+/saml/sp/acs?tgname=<TunnelGroupName> Базовый URL https://<vpn_base_url>/<TunnelGroupName> Logout https://<vpn_base_url> /+CSCOE+/saml/sp/logout NameID Format Выбрать "Постоянный" Значение NameID Имя пользователя Примечание
В параметре <TunnelGroupName> указывается имя, которое было задано при создании профиля Cisco ASA Anyconnect SAML.
- Значения Issuer, ACS, Logout можно получить с помощью следующей команды:
show saml metadata <TunnelGroupName>
Примечание
entityID - значение Issuer
Разделе KeyDescriptor: строка AssertionconsumerService, параметр location - значение ACS
Разделе KeyDescriptor: строка SingleLogoutService, параметр location - значение Logout
- На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для SAML-приложения).
- На этапе "Завершение" следует сохранить приложение, делая или не делая его активным сразу после создания (более подробно в Шаг 4. Завершение для SAML-приложения).
Примечание
Для просмотра и изменения параметров интеграции следует войти в профиль приложения (найти нужное в реестре режима "Приложения") в раздел "Настройки".