OSI:ASA/SAML

Z HelpDesk

Cisco ASA VPN SAML ověřování

Pro ověření uživatelů pomocí SAML protokolu je nutné nainstalovat na ASA balík external-sso. Při upgradu Cisco Secure klienta se musí nainstalovat nová verze. 

webvpn
 anyconnect external-browser-pkg disk0:/external-sso-XXX-webdeploy-k9.pkg

Pro spojení mezi Shibbolethem a ASA se musí vygenerovat certifikát na ASA (self-signed s dlouhou platností, aby se nemusel dlouho měnit). 

crypto key generate rsa label SPSigningKey modulus 2048

crypto ca trustpoint SPSigningCert
keypair SPSigningKey
subject-name cn=vpn2.zcu.cz
enrollment self
exit

crypto ca enroll SPSigningCert

Na stránce https://shib3.zcu.cz/idp/shibboleth jsou certifikáty Shibbolethu, které se musí zadat na ASA. 

crypto ca trustpoint SAML-IDP-SHIB3
revocation-check none
no id-usage
enrollment terminal
no ca-check
crypto ca authenticate SAML-IDP-SHIB3
(paste cert)
quit

Nastavení webvpn konfigurace pro shib3 

tunnel-group SAML-IdP-SHIB3 type remote-access
tunnel-group SAML-IdP-SHIB3 general-attributes
   address-pool RA-VPN-WEBNET-PRIVATE-IPV4
   authorization-server-group VPN-RADIUS
   accounting-server-group VPN-RADIUS
tunnel-group SAML-IdP-SHIB3 webvpn-attributes
   authentication saml
   external-browser enable
   group-alias SAML enable
   group-url https://vpn2.zcu.cz enable
   saml identity-provider https://shib3.zcu.cz/idp/shibboleth
   saml idp-trustpoint SAML-IDP-SHIB3

Odkazy

Cisco Anyconnect VPN Integration Guide for Shibboleth

Cisco ASA VPN SAML-authentication - some tips and tricks

Citováno z „https://helpdesk.zcu.cz/index.php?title=OSI:ASA/SAML&oldid=66284