SSO: Was ist Single Sign-On? Universeller SSO-Dienst für Unternehmen

Inhalt
Was SSO bedeutet und wie es funktioniert
Nachteile und Vorteile der einmaligen Anmeldung
Beispiele für einmaliges Anmelden
Universeller SSO-Dienst von Hideez
Beispiel für die Konfiguration von ASA AnyConnect VPN zu Hideez Enterprise Server über SAML
ASA für SAML über CLI konfigurieren
Dienstanbieter zu HES hinzufügen
Beim Navigieren in einer App oder auf einer Website haben Sie wahrscheinlich die Option gesehen, sich mit Facebook oder Google anzumeldenUnd als nächstes werden Sie auf magische Weise bei der Website des Drittanbieters angemeldet, ohne überhaupt ein Konto zu erstellen
Das ist keine Zauberei, sondern eine Single-Sign-On-Technologie oder SSOWas ist das, wie funktioniert es und warum verwenden so viele moderne Organisationen es aus Sicherheitsgründen?
Was SSO bedeutet und wie es funktioniert
Single Sign-On ist ein Benutzerauthentifizierungsprozess, der es Benutzern ermöglicht, auf mehrere Anwendungen mit einem Satz von Anmeldeinformationen wie Benutzername und Passwort zuzugreifenDies bedeutet, dass sich ein einmal angemeldeter Benutzer nicht für jede mit diesem System verknüpfte Anwendung erneut anmelden muss
Eigentlich ist Single Sign-On eine föderierte Identitätsverwaltungsvereinbarung zwischen drei Entitäten:
- Nutzer – Einzelne Personen müssen auf unterschiedliche Dienste zugreifenSie sollten in der Lage sein, persönliche Informationen wie ihren Benutzernamen oder ihr Passwort zu verwalten, und sie sollten eindeutig identifizierbar sein
- Dienstanbieter (SP) — Traditionell sind dies Websites und Anwendungen, auf die die Benutzer zugreifen möchten, aber sie können alle Arten von Produkten und Diensten wie WLAN-Zugang, Ihr Telefon oder „Internet der Dinge“-Geräte
- Identitätsanbieter (IdP) — Datenbanken, die Benutzeridentitäten speichern, die dann mit verschiedenen IT-Ressourcen verbunden werden könnenSie können auch viele Instanziierungen der Benutzeridentität speichern, die Informationen wie Benutzernamen, Passwörter, SSH-Schlüssel, biometrische Informationen und andere Attribute enthaltenEiner der beliebtesten Identitätsanbieter ist heutzutage Microsoft Active Directory, das entwickelt wurde, um Windows-Benutzernamen und -Kennwörter zu verwalten und sie mit lokalen Windows-basierten IT-Ressourcen zu verbinden
Damit SSO funktioniert, verlassen sich die meisten Anwendungen auf offene Standardprotokolle, um zu definieren, wie Dienstanbieter und Identitätsanbieter Identitäts- und Authentifizierungsinformationen miteinander austauschen können Die gebräuchlichsten Protokolle sind SAML, OAuth und OpenID Connect (OIDC), die es einem Dienst ermöglichen, sicher auf Daten eines anderen zuzugreifen
Heute können wir einen Trend erkennen, den Unternehmen zu erkennen beginnen: Fernarbeit von zu Hause aus bedeutet, dass sich mehr Benutzer über das Internet bei ihren Konten anmelden müssen, um auf wichtige Informationen zuzugreifenUnd das ist der ganz neue Bereich potenzieller AngriffsvektorenKriminelle wissen das bereits und nutzen es ausDaher beginnen immer mehr Unternehmen, diesen neuen Bedrohungen durch die Implementierung von SSO-Lösungen zu begegnen
Nachteile und Vorteile der einmaligen Anmeldung
Der Hauptvorteil von SSO ist die großartige Benutzererfahrung und der Komfort, den es den Benutzern bietetSie müssen sich ein Mindestmaß an Passwörtern merken, es optimiert den Anmeldeprozess und verringert die Wahrscheinlichkeit von Phishing
SSO eignet sich besonders gut für Unternehmen, die aufgrund von COVID-19 remote arbeiten, da Single-Sign-On-Dienste die sicherste und benutzerfreundlichste Authentifizierung für Remote-Logins bietenDie Verwendung von SSO kann auch Teil eines integrierten Zugriffsverwaltungssystems zur schnelleren Bereitstellung und Aufhebung der Bereitstellung von Benutzern sein
Andererseits birgt SSO Risiken, da es einen Single Point of Failure schafft, der von Angreifern ausgenutzt werden kann, um Zugriff auf andere Apps zu erhaltenDarüber hinaus erfordert SSO, wie viele IT-Tools, eine Implementierung und Konfiguration, die ziemlich teuer werden kann
Viele SSO-Anbieter berechnen individuell nach Funktion, sodass sich die Gebühren schnell summieren und das Budget kleiner oder mittlerer Unternehmen stark belasten können
Jedenfalls glauben wir, dass der Komfort von SSO all die Nachteile wert ist, die es mit sich bringt
Beispiele für einmaliges Anmelden
Ein typisches und gutes Beispiel für Single Sign-on ist GoogleJeder Benutzer, der bei einem der Google-Dienste angemeldet ist, wird automatisch bei anderen Diensten wie Gmail, Google Drive, Youtube, Google Analytics usw. angemeldet
Single Sign-on nutzt normalerweise einen zentralen Dienst, der die einmalige Anmeldung zwischen mehreren Clients orchestriert, was im Fall von Google Google-Konten sind
Um zur Unternehmenssicherheit zu kommen: Heutzutage gibt es viele Single-Sign-On-Produkte und -Dienste für UnternehmenDabei handelt es sich in der Regel um Passwortmanager mit Client- und Serverkomponenten, die den Benutzer bei Zielanwendungen anmelden, indem sie Benutzeranmeldeinformationen wiedergeben
Hideez Authentication Service ist ein solches Beispiel für sichere SSO-LösungenEiner der einzigartigen Vorteile von Hideez SSO besteht darin, dass es die Kombination grundlegender Authentifizierungsmethoden (Benutzername/Passwort + Einmalpasswort) mit vollständig passwortlosen Anmeldungen (FIDO2-Token oder mobile Anwendung) ermöglicht.
Also, wie funktioniert Hideez Single Sign-On?
Schritt 1 Der Benutzer greift auf einen beliebigen Dienstanbieter zu, deAnwendung unterstützt SAML- oder OpenID-Protokolle;
Schritt 2 Der Dienstanbieter sendet eine SAML/OIDC-Anforderung an den Hideez-Server, und der Benutzer wird automatisch an den Hideez-Server umgeleitet; Schritt 3 Der Benutzer wird aufgefordert, Anmeldedaten einzugeben oder eine der verfügbaren Authentifizierungsmethoden auszuwählen: einen Hardware-Sicherheitsschlüssel (Yubikey, multifunktionaler Hideez Key oder jedes andere physische Sicherheitstoken) oder die mobile Anwendung Hideez Authenticator; Schritt 4 Der Hideez-Server sendet ein Authentifizierungsergebnis an den Dienstanbieter und leitet den Benutzer zurück zur ursprünglichen Anwendung Schritt 5 Ein Benutzer wird authentifiziert, wahrscheinlich ohne etwas zu bemerken, außer ein paar umleitenden Aufrufen in der URL-Leiste seines Browsers Hideez Single Sign-On Service ist ein SAML-Identitätsanbieter (IdP), der SSO mit SAML 2 zu Windows Active Directory hinzufügt0 VerbandAdministratoren können Single Sign-On für jede Web- oder Mobilanwendung konfigurieren, die OpenID Connect- oder SAML-Standards unterstützt Und darüber hinaus machen wir SSO vollständig passwortlos! Im Gegensatz zu SSO mit herkömmlichen passwortbasierten Anmeldungen kann Hideez SSO Passwörter eliminieren und durch FIDO2/Mobile App< ersetzen t98> passwortlose Erfahrung, wo möglichAuch wenn einige Ihrer Anwendungen SAML- oder OIDC-Standards nicht unterstützen und nicht vollständig passwortfrei gemacht werden können, können Sie den Hideez Key als Hardware-Passwort-Manager verwenden und die Anmeldeinformationen auf Knopfdruck automatisch ausfüllen Sie können wählen, welcher Authentifizierungsfaktor für Ihre Mitarbeiter am bequemsten ist: Hideez Enterprise Server lässt sich in Microsoft Active Directory, Azure Active Directory und LDAP-Identitätssysteme integrieren, um das Onboarding und die Benutzerverwaltung zu vereinfachen Ihre Mitarbeiter können nur eine SSO-Anwendung verwenden, um auf alle Dinge zuzugreifen, was den Hideez SSO-Service super benutzerfreundlich machtGanz zu schweigen davon, dass Sie sich keine Anmeldeinformationen merken oder sich Gedanken über die Verhinderung von Phishing und Identitätsdiebstahl machen müssen Hideez übertrifft alle aktuellen Wettbewerber in Bezug auf Komfort und Preis und bietet vollständige Konformität mit den stärksten Authentifizierungsstandards wie GDPR, NIST, PSD2, PSI-DSS und HIPAAIndem Sie frühzeitig Vorsorge treffen, können Sie langfristig viel Geld und Zeit sparen Planen Sie eine Demo oder fordern Sie eine kostenlose 30-Tage-Testversion von Hideez an SSO und ergreifen Sie die Zukunft passwortloser Sicherheit! Hideez Enterprise Server (HES) unterstützt SAML 20 (Security Assertion Markup Language)-Standard für die BenutzerauthentifizierungHES ist ein IdP (Identity Provider), der SSO für alle Webanwendungen (SP, Service Provider) ermöglicht, die SAML unterstützen Da HES die passwortlose FIDO2-Autorisierung unterstützt, erhalten Dienstanbieter automatisch die Möglichkeit, sich mit Hardware-Sicherheitsschlüsseln zu autorisieren, ohne Passwörter erstellen und eingeben zu müssen Cisco empfiehlt, dass Sie sich mit diesen Themen auskennen: Die Informationen in diesem Dokument basieren auf diesen Software- und Hardwareversionen: Die Informationen in diesem Dokument wurden anhand der Geräte in einer bestimmten Laborumgebung erstelltAlle in diesem Dokument verwendeten Geräte wurden mit einer gelöschten (Standard-)Konfiguration gestartetWenn Ihr Netzwerk aktiv ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen jedes Befehls verstehenSie können Benutzer auch bestimmten Anwendungsrollen zuordnen, basierend auf Regeln, die Sie in Ihren Einstellungen in Active Directory, Cisco ASA und Anyconnect definieren SAML ist ein XML-basiertes Framework zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen SicherheitsdomänenEs schafft einen Vertrauenskreis zwischen dem Benutzer, einem Dienstanbieter (SP) und einem Identitätsanbieter (IdP), der es dem Benutzer ermöglicht, sich einmal für mehrere Dienste anzumeldenHideez Enterprise Server lässt sich nahtlos in die Cisco ASA VPN-Appliance integrieren, um zusätzliche Sicherheit für die Cisco AnyConnect VPN-Anmeldungen zu bieten Metadaten: Es handelt sich um ein XML-basiertes Dokument, das eine sichere Transaktion zwischen einem IdP und einem SP gewährleistetEs ermöglicht dem IdP und dem SP, Vereinbarungen auszuhandeln Ein Gerät kann mehr als eine Rolle unterstützen und Werte sowohl für einen SP als auch für einen IdP enthaltenUnter dem EntityDescriptor-Feld befindet sich ein IDPSSODescriptor, wenn die enthaltenen Informationen für einen Single-Sign-On-IdP sind, oder ein SPSSODescriptor, wenn die enthaltenen Informationen für einen Single-Sign-On-SP sindDies ist wichtig, da die korrekten Werte aus den entsprechenden Abschnitten entnommen werden müssen, um SAML erfolgreich einzurichten Entitäts-ID: Dieses Feld ist eine eindeutige Kennung für einen SP oder IdPEin einzelnes Gerät kann mehrere Dienste haben und kann verschiedene Entitäts-IDs verwenden, um sie zu unterscheidenBeispielsweise hat ASA verschiedene Entitäts-IDs für verschiedene Tunnelgruppen, die authentifiziert werden müssenEin IdP, der jede Tunnelgruppe authentifiziert, hat separate Entitäts-ID-Einträge für jede Tunnelgruppe, um diese Dienste genau zu identifizieren ASA kann mehrere IdPs unterstützen und hat eine separate Entitäts-ID für jeden IdP, um sie zu unterscheidenWenn eine Seite eine Nachricht von einem Gerät empfängt, das keine zuvor konfigurierte Entitäts-ID enthält, verwirft das Gerät diese Nachricht wahrscheinlich und die SAML-Authentifizierung schlägt fehlDie Entitäts-ID finden Sie im Feld EntityDescriptor neben der Entitäts-ID Dienst-URLs: Diese definieren die URL zu einem SAML-Dienst, der vom SP oder IdP bereitgestellt wirdFür IdPs ist dies am häufigsten der Single Logout Service und der Single Sign-On ServiceFür SPs ist dies üblicherweise der Assertion Consumer Service und der Single Logout Service Die in den IdP-Metadaten gefundene Single-Sign-On-Dienst-URL wird vom SP verwendet, um den Benutzer zur Authentifizierung an den IdP umzuleitenWenn dieser Wert falsch konfiguriert ist, erhält der IdP die vom SP gesendete Authentifizierungsanforderung nicht oder kann sie nicht erfolgreich verarbeiten Die in den SP-Metadaten gefundene Assertion Consumer Service-URL wird vom IdP verwendet, um den Benutzer zurück zum SP umzuleiten und Informationen über den Authentifizierungsversuch des Benutzers bereitzustellenWenn dies falsch konfiguriert ist, erhält der SP die Assertion (die Antwort) nicht oder kann sie nicht erfolgreich verarbeiten Die Single-Logout-Service-URL ist sowohl auf dem SP als auch auf dem IdP zu findenEs wird verwendet, um das Abmelden von allen SSO-Diensten vom SP zu erleichtern, und ist auf dem ASA optionalWenn die SLO-Dienst-URL aus den IdP-Metadaten auf dem SP konfiguriert ist und sich der Benutzer vom Dienst auf dem SP abmeldet, sendet der SP die Anforderung an den IdPSobald der IdP den Benutzer erfolgreich von den Diensten abgemeldet hat, leitet er den Benutzer mithilfe der SLO-Dienst-URL, die in den Metadaten des SP zu finden ist, zurück zum SP SAML-Bindungen für Dienst-URLs: Bindungen sind die Methode, die der SP verwendet, um Informationen an den IdP und umgekehrt für Dienste zu übertragenDazu gehören HTTP Redirect, HTTP POST und ArtifactJede Methode hat eine andere Art der DatenübertragungDie vom Dienst unterstützte Bindungsmethode ist in der Definition dieses Dienstes enthaltenBeispiel: SingleSignOnService Binding="urn:oasis:names:tc:SAML:20:bindings:HTTP-Redirect" Location="https://samlBeispielcom/simplesaml/saml2/idp/SSOServicephp"/ >Die ASA unterstützt die Artifact-Bindung nichtASA verwendet immer die HTTP-Umleitungsmethode für SAML-Authentifizierungsanfragen, daher ist es wichtig, die SSO-Dienst-URL auszuwählen, die die HTTP-Umleitungsbindung verwendet, damit der IdP dies erwartet Um Vertraulichkeit und Integrität für die zwischen dem SP und dem IdP gesendeten Nachrichten zu gewährleisten, bietet SAML die Möglichkeit, die Daten zu verschlüsseln und zu signierenDas zum Verschlüsseln und/oder Signieren der Daten verwendete Zertifikat kann in die Metadaten aufgenommen werden, sodass der Empfänger die SAML-Nachricht verifizieren und sicherstellen kann, dass sie von der erwarteten Quelle stammtDie zum Signieren und Verschlüsseln verwendeten Zertifikate finden Sie in den Metadaten unter KeyDescriptor use="signing" bzw. KeyDescriptor use="encryption", dann X509CertificateDie ASA unterstützt keine Verschlüsselung von SAML-Nachrichten IdPs und Dienstanbieter müssen Public-Key-Zertifikate, Adressen für Anfragen und andere Parameter austauschen, um eine Akzeptanz zwischen ihnen herzustellen Ein Zertifikat im „pfx“ Format ist für die Arbeit des SAML-Protokolls erforderlichEs kann beispielsweise durch eine OpenSSL-Anwendung oder durch Verwendung eines vorhandenen Zertifikats generiert werdenDie Zertifikatsdatei muss auf den HES-Server kopiert werden (zGder Ordner mit Binärdateien und Einstellungen) Melden Sie sich beim HES-Server an und gehen Sie dann zu Einstellungen -> Parameter -> SAMLDrücken Sie dann die Schaltfläche [IdP-Einstellungen festlegen]: Wählen Sie Ihre auspfx-Datei und geben Sie das Passwort für diepfxAußerdem müssen Sie einen geeigneten Algorithmus auswählen: SignatureAlgorithm – ein SignaturalgorithmusEs sollte mit dem Algorithmus übereinstimmen, mit dem das PFX-Zertifikat erstellt wurdeDie möglichen Optionen sind SHA1, SHA256, SHA384, SHA512 Auf derselben Seite (Einstellungen -> Parameter -> SAML), nachdem Sie diepfx-Zertifikat können Sie: Metadaten sind eine XML-Datei, die alle notwendigen Informationen über die IdP-Einstellungen und das Public-Key-Zertifikat enthältASA ermöglicht Ihnen den Import von IdP-Metadaten bei der Konfiguration von SAML, was die Konfiguration vereinfachtSie können bei Bedarf auch ein separates Zertifikat herunterladen oder alle Metadaten auf dem Bildschirm anzeigen Für die nächsten Schritte müssen Sie die Metadatendatei und die Zertifikatsdateien herunterladen Schritt 1Erstellen Sie einen Trustpoint und importieren Sie unser SAML-Zertifikat # Konfig t # Krypto-CA-Vertrauenspunkt HES-SAML Widerrufsprüfung keine keine ID-Nutzung Registrierungsterminal kein CA-Check # Krypto kann HES-SAML authentifizieren -----ZERTIFIKAT BEGINNEN----- … HES IdP Certificate Text, den Sie im vorherigen Schritt heruntergeladen haben … -----ENDE ZERTIFIKAT----- # beenden Schritt 2 Stellen Sie Ihren SAML-IdP bereit # webvpn # Saml-IDP https://Beispielversteckencom/ #-URL-Anmeldung https://Beispielversteckencom/Saml/Login # URL-Abmeldung https://Beispielversteckencom/Saml/Logout # Vertrauenspunkt-IDP HES-SAML – [IdP-Vertrauenspunkt] # Vertrauenspunkt sp ASA-EXTERNAL-CERT - [SP-Vertrauenspunkt] # keine erneute Authentifizierung erzwingen # keine Signatur # Basis-URL https://asaBeispielcom Schritt 3 SAML-Authentifizierung auf eine VPN-Tunnelkonfiguration anwenden # tunnel-group TUNNEL-GROUP-NAME webvpn-attributes Saml Identity-Provider https://exampleversteckencom/ Authentifizierungs-Saml # Ende # Speicher schreiben Schritt 4 SAML-ASA-Metadatendatei abrufen Führen Sie den folgenden Befehl aus: # Saml-Metadaten anzeigen TUNNEL-GROUP-NAME Kopieren Sie dann den Metadatentext in eine XML-Datei und speichern Sie ihn Hinweis: Wenn Sie Änderungen an der IdP-Konfiguration vornehmen, müssen Sie die Konfiguration des SAML-Identitätsanbieters aus Ihrer Tunnelgruppe entfernen und erneut anwenden, damit die Änderungen wirksam werden Melden Sie sich beim HES-Server an und gehen Sie dann zu Einstellungen -> Parameter -> SAMLDrücken Sie dann die Schaltfläche [Dienstanbieter hinzufügen]. Im folgenden Formular können Sie eine Metadatendatei hinzufügen oder alle Parameter manuell ausfüllen: Da der IdP und der SP unterschiedliche Kennungen für Benutzer verwenden können, ist ein Mechanismus zum Abgleichen dieser Kennungen erforderlich, um eine Eins-zu-Eins-Korrespondenz zwischen Benutzern in beiden Diensten herzustellenDie Benutzerkennung (Login) in HES ist seine E-Mail-Adresse, obwohl es in anderen Systemen etwas anderes sein kann (zGeine Kombination aus dem Vor- und Nachnamen des Benutzers) Wenn Ihre ASA- und AD-Konfiguration E-Mail als Benutzer-ID akzeptiert, müssen Sie Folgendes festlegen: Namenskennungsformat – E-Mail-Namenskennungsfeld – E-Mail Wenn die ASA- und AD-Konfiguration keine E-Mail als Benutzer-ID akzeptieren, müssen Sie das von Ihnen verwendete Format im Feld „Format der Namenskennung“ und den Wert „Externe ID“ im Feld „Name Identifikator-FeldDann müssen Sie für jeden Mitarbeiter das Feld „Externe ID“ ausfüllenKlicken Sie dazu auf Mitarbeiter -> 'Mitarbeiter auswählen -> Details -> Einstellungen bearbeiten (im Abschnitt Single Sign On) -> Externe ID bearbeiten Nachdem Sie alle Einstellungen ausgefüllt und gespeichert haben, können Sie die Integration überprüfen, indem Sie sich beim Dienstanbieter anmeldenSie sollten zur HES-Authentifizierungsseite weitergeleitet werden, wo Sie Ihren Benutzernamen (E-Mail-Adresse) eingeben und die Überprüfung des Sicherheitsschlüssels bestehen müssen Mitarbeiter können sich standardmäßig nicht beim HES-Dienst anmelden und den SSO-Dienst verwenden, sie müssen eine ausdrückliche Genehmigung des Administrators habenWählen Sie einen Mitarbeiter aus und klicken Sie auf die Schaltfläche [Bearbeiten].Klicken Sie dann auf der geöffneten Seite auf die Schaltfläche [SSO aktivieren], um die Erlaubnis zu erteilen Hinweis: Ein Mitarbeiter muss über eine E-Mail-Adresse und einen zugehörigen Schlüssel verfügen, um den SSO-Dienst zu aktivieren Der SSO-Dienst wird automatisch aktiviert und kann nicht für alle HES-Administratoren deaktiviert werden Wenn die externe ID als Feld für die Namenskennung verwendet wird, müssen Sie dieses Feld ebenfalls ausfüllenÖffnen Sie „Mitarbeiter“ -> „Mitarbeiter auswählen“ -> „Bearbeiten“, um das Feld „Externe ID“ zu bearbeiten Einige Dienstanbieter unterstützen diese Funktion möglicherweise nicht Stellen Sie eine Verbindung zu Ihrer VPN-URL her und wählen Sie eine Ihrer Anmeldeoptionen im Hideez Enterprise Server-Fenster aus. Verwenden Sie dann Ihre Anmeldeinformationen, um sich anzumelden: AnyConnect ist verbunden: Debug-Beispiel: [SAML] waste_assertion: Die Kennung eines Anbieters ist #LassoServer unbekanntUm einen Anbieter in einem #LassoServer-Objekt zu registrieren, müssen Sie die Methoden lasso_server_add_provider() oder lasso_server_add_provider_from_buffer() verwenden. Problem: Bedeutet im Allgemeinen, dass der Befehl saml idp [entityID] unter der Webvpn-Konfiguration der ASA nicht mit der IdP-Entitäts-ID übereinstimmt, die in der Metadaten des IdP Lösung: Überprüfen Sie die Entitäts-ID der Metadatendatei des IdP und ändern Sie den Befehl saml idp [Entitäts-ID] entsprechend Debug-Beispiel: [SAML] NotBefore:2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01896Z-Zeitüberschreitung: 0 [SAML] waste_assertion: Assertion ist abgelaufen oder nicht gültig Problem 1ASA-Zeit wird nicht mit der Zeit des IdP synchronisiert Lösung 1Konfigurieren Sie ASA mit demselben NTP-Server, der vom IdP verwendet wird Problem 2Die Behauptung ist zwischen der angegebenen Zeit nicht gültig Lösung 2Ändern Sie den auf der ASA konfigurierten Timeout-Wert Debug-Beispiel: [Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18:Daten stimmen nicht überein:Signatur stimmen nicht überein [SAML] waste_assertion: Das Profil kann eine Signatur der Nachricht Problem: ASA kann die vom IdP signierte Nachricht nicht verifizieren oder es gibt keine Signatur, die der ASA verifizieren kann Lösung: Überprüfen Sie das IdP-Signaturzertifikat, das auf dem ASA installiert ist, um sicherzustellen, dass es mit dem übereinstimmt, was vom IdP gesendet wirdWenn dies bestätigt wird, stellen Sie sicher, dass die Signatur in der SAML-Antwort enthalten ist Debug-Beispiel: [SAML] waste_assertion: Assertion Audience ist ungültig Problem: IdP definiert die falsche Zielgruppe Lösung: Korrigieren Sie die Zielgruppenkonfiguration auf dem IdPSie sollte mit der Entitäts-ID der ASA übereinstimmen Debug-Beispiel: Es können keine Debugs empfangen werden, nachdem die anfängliche Authentifizierungsanforderung gesendet wurdeDer Benutzer kann Anmeldeinformationen beim IdP eingeben, aber der IdP leitet nicht zu ASA um Problem: IdP ist für die falsche Assertion Consumer Service-URL konfiguriert Lösung(en): Überprüfen Sie die Basis-URL in der Konfiguration und stellen Sie sicher, dass sie korrekt istÜberprüfen Sie die ASA-Metadaten mit show, um sicherzustellen, dass die URL des Assertion Consumer Service korrekt istUm es zu testen, durchsuchen Sie es, wenn beide auf dem ASA korrekt sind, überprüfen Sie den IdP, um sicherzustellen, dass die URL korrekt ist Beispiel: Nachdem eine Single-Sign-On-URL modifiziert oder geändert wurde, funktioniert das SP-Zertifikat, SAML immer noch nicht und sendet vorherige Konfigurationen Problem: ASA muss seine Metadaten neu generieren, wenn es von einer Konfigurationsänderung betroffen istDies geschieht nicht automatisch Lösung: Nachdem Sie Änderungen vorgenommen haben, entfernen Sie unter der betroffenen Tunnelgruppe den Befehl saml idp [entity-id] und wenden Sie ihn erneut an Die meisten SAML-Fehlerbehebungen beinhalten eine Fehlkonfiguration, die gefunden werden kann, wenn die SAML-Konfiguration überprüft oder Debugs ausgeführt werdendebug webvpn saml 255 kann verwendet werden, um die meisten Probleme zu beheben, aber in Szenarien, in denen dieser Debug keine nützlichen Informationen liefert, können zusätzliche Debugs ausgeführt werden: Benötigen Sie Hilfe? Suchen Sie in unseren Knowledge Base-Artikeln oder wenden Sie sich an den Support, um weitere Unterstützung zu erhalten Universeller SSO-Dienst von Hideez
Beispiel für die Konfiguration von ASA AnyConnect VPN zu Hideez Enterprise Server über SAML
Anforderungen
Verwendete Komponenten
Hintergrundinformationen
SAML-Komponenten
Von den Geräten unterstützte Rollen (IdP, SP)
Zertifikate für Signatur- und Verschlüsselungsvorgänge
HES als IdP konfigurieren
Schritt 1Identitätsanbietereinstellungen festlegen
Schritt 2Holen Sie sich die HES-Metadatendatei
ASA für SAML über CLI konfigurieren
Dienstanbieter zu HES hinzufügen
Endgültige Überprüfung
Schritt 1Aktivieren Sie SSO für einen Benutzer in HES
Schritt 2Melden Sie sich mit SAML
bei einem Webdienst an
Häufige Probleme
1FALSCHE ENTITÄTS-ID
2ZEITFEHLER
3FALSCHES IDP-GESANGSZERTIFIKAT VERWENDET
4INVAILD-ASSERTION-AUDIOENCE
5FALSCHE URL FÜR ASSERTION CONSUMER SERVICE
5SAML-KONFIGURATIONSÄNDERUNGEN WERDEN NICHT WIRKSAM
Fehlerbehebung