SSO: Was ist Single Sign-On? Universeller SSO-Dienst für Unternehmen

Single Sign-on Service

 

Inhalt

Was SSO bedeutet und wie es funktioniert

Nachteile und Vorteile der einmaligen Anmeldung

Beispiele für einmaliges Anmelden

Universeller SSO-Dienst von Hideez

Beispiel für die Konfiguration von ASA AnyConnect VPN zu Hideez Enterprise Server über SAML

HES als IdP konfigurieren

ASA für SAML über CLI konfigurieren

Dienstanbieter zu HES hinzufügen

Endgültige Überprüfung

Häufige Probleme

Fehlerbehebung

 

Beim Navigieren in einer App oder auf einer Website haben Sie wahrscheinlich die Option gesehen, sich mit Facebook oder Google anzumeldenUnd als nächstes werden Sie auf magische Weise bei der Website des Drittanbieters angemeldet, ohne überhaupt ein Konto zu erstellen

Das ist keine Zauberei, sondern eine Single-Sign-On-Technologie oder SSOWas ist das, wie funktioniert es und warum verwenden so viele moderne Organisationen es aus Sicherheitsgründen?

Was SSO bedeutet und wie es funktioniert

Single Sign-On ist ein Benutzerauthentifizierungsprozess, der es Benutzern ermöglicht, auf mehrere Anwendungen mit einem Satz von Anmeldeinformationen wie Benutzername und Passwort zuzugreifenDies bedeutet, dass sich ein einmal angemeldeter Benutzer nicht für jede mit diesem System verknüpfte Anwendung erneut anmelden muss

Eigentlich ist Single Sign-On eine föderierte Identitätsverwaltungsvereinbarung zwischen drei Entitäten: 

  • Nutzer  Einzelne Personen müssen auf unterschiedliche Dienste zugreifenSie sollten in der Lage sein, persönliche Informationen wie ihren Benutzernamen oder ihr Passwort zu verwalten, und sie sollten eindeutig identifizierbar sein
  • Dienstanbieter (SP) Traditionell sind dies Websites und Anwendungen, auf die die Benutzer zugreifen möchten, aber sie können alle Arten von Produkten und Diensten wie WLAN-Zugang, Ihr Telefon oder „Internet der Dinge“-Geräte
  • Identitätsanbieter (IdP) Datenbanken, die Benutzeridentitäten speichern, die dann mit verschiedenen IT-Ressourcen verbunden werden könnenSie können auch viele Instanziierungen der Benutzeridentität speichern, die Informationen wie Benutzernamen, Passwörter, SSH-Schlüssel, biometrische Informationen und andere Attribute enthaltenEiner der beliebtesten Identitätsanbieter ist heutzutage Microsoft Active Directory, das entwickelt wurde, um Windows-Benutzernamen und -Kennwörter zu verwalten und sie mit lokalen Windows-basierten IT-Ressourcen zu verbinden

Damit SSO funktioniert, verlassen sich die meisten Anwendungen auf offene Standardprotokolle, um zu definieren, wie Dienstanbieter und Identitätsanbieter Identitäts- und Authentifizierungsinformationen miteinander austauschen können Die gebräuchlichsten Protokolle sind SAML, OAuth und OpenID Connect (OIDC), die es einem Dienst ermöglichen, sicher auf Daten eines anderen zuzugreifen

Heute können wir einen Trend erkennen, den Unternehmen zu erkennen beginnen: Fernarbeit von zu Hause aus bedeutet, dass sich mehr Benutzer über das Internet bei ihren Konten anmelden müssen, um auf wichtige Informationen zuzugreifenUnd das ist der ganz neue Bereich potenzieller AngriffsvektorenKriminelle wissen das bereits und nutzen es ausDaher beginnen immer mehr Unternehmen, diesen neuen Bedrohungen durch die Implementierung von SSO-Lösungen zu begegnen

Nachteile und Vorteile der einmaligen Anmeldung

Der Hauptvorteil von SSO ist die großartige Benutzererfahrung und der Komfort, den es den Benutzern bietetSie müssen sich ein Mindestmaß an Passwörtern merken, es optimiert den Anmeldeprozess und verringert die Wahrscheinlichkeit von Phishing

SSO eignet sich besonders gut für Unternehmen, die aufgrund von COVID-19 remote arbeiten, da Single-Sign-On-Dienste die sicherste und benutzerfreundlichste Authentifizierung für Remote-Logins bietenDie Verwendung von SSO kann auch Teil eines integrierten Zugriffsverwaltungssystems zur schnelleren Bereitstellung und Aufhebung der Bereitstellung von Benutzern sein

Andererseits birgt SSO Risiken, da es einen Single Point of Failure schafft, der von Angreifern ausgenutzt werden kann, um Zugriff auf andere Apps zu erhaltenDarüber hinaus erfordert SSO, wie viele IT-Tools, eine Implementierung und Konfiguration, die ziemlich teuer werden kann

Viele SSO-Anbieter berechnen individuell nach Funktion, sodass sich die Gebühren schnell summieren und das Budget kleiner oder mittlerer Unternehmen stark belasten können

Jedenfalls glauben wir, dass der Komfort von SSO all die Nachteile wert ist, die es mit sich bringt

Beispiele für einmaliges Anmelden

Ein typisches und gutes Beispiel für Single Sign-on ist GoogleJeder Benutzer, der bei einem der Google-Dienste angemeldet ist, wird automatisch bei anderen Diensten wie Gmail, Google Drive, Youtube, Google Analytics usw. angemeldet

Single Sign-on nutzt normalerweise einen zentralen Dienst, der die einmalige Anmeldung zwischen mehreren Clients orchestriert, was im Fall von Google Google-Konten sind

Um zur Unternehmenssicherheit zu kommen: Heutzutage gibt es viele Single-Sign-On-Produkte und -Dienste für UnternehmenDabei handelt es sich in der Regel um Passwortmanager mit Client- und Serverkomponenten, die den Benutzer bei Zielanwendungen anmelden, indem sie Benutzeranmeldeinformationen wiedergeben

Hideez Authentication Service ist ein solches Beispiel für sichere SSO-LösungenEiner der einzigartigen Vorteile von Hideez SSO besteht darin, dass es die Kombination grundlegender Authentifizierungsmethoden (Benutzername/Passwort + Einmalpasswort) mit vollständig passwortlosen Anmeldungen (FIDO2-Token oder mobile Anwendung) ermöglicht.

Also, wie funktioniert Hideez Single Sign-On?

Schritt 1 Der Benutzer greift auf einen beliebigen Dienstanbieter zu, deAnwendung unterstützt SAML- oder OpenID-Protokolle;

Schritt 2 Der Dienstanbieter sendet eine SAML/OIDC-Anforderung an den Hideez-Server, und der Benutzer wird automatisch an den Hideez-Server umgeleitet;

Single Sign-on Service

Schritt 3 Der Benutzer wird aufgefordert, Anmeldedaten einzugeben oder eine der verfügbaren Authentifizierungsmethoden auszuwählen: einen Hardware-Sicherheitsschlüssel (Yubikey, multifunktionaler Hideez Key oder jedes andere physische Sicherheitstoken) oder die mobile Anwendung Hideez Authenticator;

Schritt 4 Der Hideez-Server sendet ein Authentifizierungsergebnis an den Dienstanbieter und leitet den Benutzer zurück zur ursprünglichen Anwendung

Schritt 5 Ein Benutzer wird authentifiziert, wahrscheinlich ohne etwas zu bemerken, außer ein paar umleitenden Aufrufen in der URL-Leiste seines Browsers

Universeller SSO-Dienst von Hideez

Hideez Single Sign-On Service ist ein SAML-Identitätsanbieter (IdP), der SSO mit SAML 2 zu Windows Active Directory hinzufügt0 VerbandAdministratoren können Single Sign-On für jede Web- oder Mobilanwendung konfigurieren, die OpenID Connect- oder SAML-Standards unterstützt Und darüber hinaus machen wir SSO vollständig passwortlos!

Im Gegensatz zu SSO mit herkömmlichen passwortbasierten Anmeldungen kann Hideez SSO Passwörter eliminieren und durch FIDO2/Mobile App< ersetzen t98> passwortlose Erfahrung, wo möglichAuch wenn einige Ihrer Anwendungen SAML- oder OIDC-Standards nicht unterstützen und nicht vollständig passwortfrei gemacht werden können, können Sie den Hideez Key als Hardware-Passwort-Manager verwenden und die Anmeldeinformationen auf Knopfdruck automatisch ausfüllen

Sie können wählen, welcher Authentifizierungsfaktor für Ihre Mitarbeiter am bequemsten ist:

  • SmartphonesHideez Authenticator ist eine SSO-App für Android- und iOS-GeräteEs kann die Smartphones der Benutzer in passwortlose Hardware-Tokens verwandeln, die ihre Benutzernamen und Passwörter durch eine sichere Anmeldung basierend auf einmaligen QR-Codes ersetzen mittels biometrischer Verifizierung oder Verifizierung des PIN-Codes im Smartphone des Endnutzers
  • Hardware-SicherheitsschlüsselHideez Key-Token sind multifunktionale Bluetooth/NFC/USB-Geräte, die durch eine PIN geschützt sindSie können sie verwenden, um sich bei Diensten ohne Passwörter basierend auf dem FIDO2-Standard anzumelden, Anmeldeinformationen für passwortbasierte Anmeldungen zu speichern, Einmalpasswörter für 2FA zu generieren und sogar Windows zu sperren oder zu entsperren Computer basierend auf Gerätenähe

Hideez Enterprise Server lässt sich in Microsoft Active Directory, Azure Active Directory und LDAP-Identitätssysteme integrieren, um das Onboarding und die Benutzerverwaltung zu vereinfachen Ihre Mitarbeiter können nur eine SSO-Anwendung verwenden, um auf alle Dinge zuzugreifen, was den Hideez SSO-Service super benutzerfreundlich machtGanz zu schweigen davon, dass Sie sich keine Anmeldeinformationen merken oder sich Gedanken über die Verhinderung von Phishing und Identitätsdiebstahl machen müssen

Hideez übertrifft alle aktuellen Wettbewerber in Bezug auf Komfort und Preis und bietet vollständige Konformität mit den stärksten Authentifizierungsstandards wie GDPR, NIST, PSD2, PSI-DSS und HIPAAIndem Sie frühzeitig Vorsorge treffen, können Sie langfristig viel Geld und Zeit sparen

Planen Sie eine Demo oder fordern Sie eine kostenlose 30-Tage-Testversion von Hideez an SSO und ergreifen Sie die Zukunft passwortloser Sicherheit!

 

Beispiel für die Konfiguration von ASA AnyConnect VPN zu Hideez Enterprise Server über SAML

Hideez Enterprise Server (HES) unterstützt SAML 20 (Security Assertion Markup Language)-Standard für die BenutzerauthentifizierungHES ist ein IdP (Identity Provider), der SSO für alle Webanwendungen (SP, Service Provider) ermöglicht, die SAML unterstützen

Da HES die passwortlose FIDO2-Autorisierung unterstützt, erhalten Dienstanbieter automatisch die Möglichkeit, sich mit Hardware-Sicherheitsschlüsseln zu autorisieren, ohne Passwörter erstellen und eingeben zu müssen

Anforderungen

Cisco empfiehlt, dass Sie sich mit diesen Themen auskennen:

  • Grundkenntnisse der RA-VPN-Konfiguration auf ASA
  • Grundlegende Kenntnisse von SAML und Microsoft Active Directory
  • AnyConnect-Lizenzen aktiviert (nur APEX oder VPN)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf diesen Software- und Hardwareversionen:

  • Hideez Enterprise Server 39+
  • Microsoft Active Directory
  • Cisco ASA 97+ und Anyconnect 46+
  • Arbeitendes AnyConnect VPN-Profil

Die Informationen in diesem Dokument wurden anhand der Geräte in einer bestimmten Laborumgebung erstelltAlle in diesem Dokument verwendeten Geräte wurden mit einer gelöschten (Standard-)Konfiguration gestartetWenn Ihr Netzwerk aktiv ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen jedes Befehls verstehenSie können Benutzer auch bestimmten Anwendungsrollen zuordnen, basierend auf Regeln, die Sie in Ihren Einstellungen in Active Directory, Cisco ASA und Anyconnect definieren

Hintergrundinformationen

SAML ist ein XML-basiertes Framework zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen SicherheitsdomänenEs schafft einen Vertrauenskreis zwischen dem Benutzer, einem Dienstanbieter (SP) und einem Identitätsanbieter (IdP), der es dem Benutzer ermöglicht, sich einmal für mehrere Dienste anzumeldenHideez Enterprise Server lässt sich nahtlos in die Cisco ASA VPN-Appliance integrieren, um zusätzliche Sicherheit für die Cisco AnyConnect VPN-Anmeldungen zu bieten

SAML-Komponenten

Metadaten: Es handelt sich um ein XML-basiertes Dokument, das eine sichere Transaktion zwischen einem IdP und einem SP gewährleistetEs ermöglicht dem IdP und dem SP, Vereinbarungen auszuhandeln

Von den Geräten unterstützte Rollen (IdP, SP)

Ein Gerät kann mehr als eine Rolle unterstützen und Werte sowohl für einen SP als auch für einen IdP enthaltenUnter dem EntityDescriptor-Feld befindet sich ein IDPSSODescriptor, wenn die enthaltenen Informationen für einen Single-Sign-On-IdP sind, oder ein SPSSODescriptor, wenn die enthaltenen Informationen für einen Single-Sign-On-SP sindDies ist wichtig, da die korrekten Werte aus den entsprechenden Abschnitten entnommen werden müssen, um SAML erfolgreich einzurichten

Entitäts-ID: Dieses Feld ist eine eindeutige Kennung für einen SP oder IdPEin einzelnes Gerät kann mehrere Dienste haben und kann verschiedene Entitäts-IDs verwenden, um sie zu unterscheidenBeispielsweise hat ASA verschiedene Entitäts-IDs für verschiedene Tunnelgruppen, die authentifiziert werden müssenEin IdP, der jede Tunnelgruppe authentifiziert, hat separate Entitäts-ID-Einträge für jede Tunnelgruppe, um diese Dienste genau zu identifizieren

ASA kann mehrere IdPs unterstützen und hat eine separate Entitäts-ID für jeden IdP, um sie zu unterscheidenWenn eine Seite eine Nachricht von einem Gerät empfängt, das keine zuvor konfigurierte Entitäts-ID enthält, verwirft das Gerät diese Nachricht wahrscheinlich und die SAML-Authentifizierung schlägt fehlDie Entitäts-ID finden Sie im Feld EntityDescriptor neben der Entitäts-ID

Dienst-URLs: Diese definieren die URL zu einem SAML-Dienst, der vom SP oder IdP bereitgestellt wirdFür IdPs ist dies am häufigsten der Single Logout Service und der Single Sign-On ServiceFür SPs ist dies üblicherweise der Assertion Consumer Service und der Single Logout Service

Die in den IdP-Metadaten gefundene Single-Sign-On-Dienst-URL wird vom SP verwendet, um den Benutzer zur Authentifizierung an den IdP umzuleitenWenn dieser Wert falsch konfiguriert ist, erhält der IdP die vom SP gesendete Authentifizierungsanforderung nicht oder kann sie nicht erfolgreich verarbeiten

Die in den SP-Metadaten gefundene Assertion Consumer Service-URL wird vom IdP verwendet, um den Benutzer zurück zum SP umzuleiten und Informationen über den Authentifizierungsversuch des Benutzers bereitzustellenWenn dies falsch konfiguriert ist, erhält der SP die Assertion (die Antwort) nicht oder kann sie nicht erfolgreich verarbeiten

Die Single-Logout-Service-URL ist sowohl auf dem SP als auch auf dem IdP zu findenEs wird verwendet, um das Abmelden von allen SSO-Diensten vom SP zu erleichtern, und ist auf dem ASA optionalWenn die SLO-Dienst-URL aus den IdP-Metadaten auf dem SP konfiguriert ist und sich der Benutzer vom Dienst auf dem SP abmeldet, sendet der SP die Anforderung an den IdPSobald der IdP den Benutzer erfolgreich von den Diensten abgemeldet hat, leitet er den Benutzer mithilfe der SLO-Dienst-URL, die in den Metadaten des SP zu finden ist, zurück zum SP

SAML-Bindungen für Dienst-URLs: Bindungen sind die Methode, die der SP verwendet, um Informationen an den IdP und umgekehrt für Dienste zu übertragenDazu gehören HTTP Redirect, HTTP POST und ArtifactJede Methode hat eine andere Art der DatenübertragungDie vom Dienst unterstützte Bindungsmethode ist in der Definition dieses Dienstes enthaltenBeispiel: SingleSignOnService Binding="urn:oasis:names:tc:SAML:20:bindings:HTTP-Redirect" Location="https://samlBeispielcom/simplesaml/saml2/idp/SSOServicephp"/ >Die ASA unterstützt die Artifact-Bindung nichtASA verwendet immer die HTTP-Umleitungsmethode für SAML-Authentifizierungsanfragen, daher ist es wichtig, die SSO-Dienst-URL auszuwählen, die die HTTP-Umleitungsbindung verwendet, damit der IdP dies erwartet

Zertifikate für Signatur- und Verschlüsselungsvorgänge

Um Vertraulichkeit und Integrität für die zwischen dem SP und dem IdP gesendeten Nachrichten zu gewährleisten, bietet SAML die Möglichkeit, die Daten zu verschlüsseln und zu signierenDas zum Verschlüsseln und/oder Signieren der Daten verwendete Zertifikat kann in die Metadaten aufgenommen werden, sodass der Empfänger die SAML-Nachricht verifizieren und sicherstellen kann, dass sie von der erwarteten Quelle stammtDie zum Signieren und Verschlüsseln verwendeten Zertifikate finden Sie in den Metadaten unter KeyDescriptor use="signing" bzw. KeyDescriptor use="encryption", dann X509CertificateDie ASA unterstützt keine Verschlüsselung von SAML-Nachrichten

 

HES als IdP konfigurieren

Schritt 1Identitätsanbietereinstellungen festlegen

IdPs und Dienstanbieter müssen Public-Key-Zertifikate, Adressen für Anfragen und andere Parameter austauschen, um eine Akzeptanz zwischen ihnen herzustellen

Ein Zertifikat im „pfx“ ​​Format ist für die Arbeit des SAML-Protokolls erforderlichEs kann beispielsweise durch eine OpenSSL-Anwendung oder durch Verwendung eines vorhandenen Zertifikats generiert werdenDie Zertifikatsdatei muss auf den HES-Server kopiert werden (zGder Ordner mit Binärdateien und Einstellungen)

Melden Sie sich beim HES-Server an und gehen Sie dann zu Einstellungen -> Parameter -> SAMLDrücken Sie dann die Schaltfläche [IdP-Einstellungen festlegen]:

Wählen Sie Ihre auspfx-Datei und geben Sie das Passwort für diepfxAußerdem müssen Sie einen geeigneten Algorithmus auswählen:

SignatureAlgorithm – ein SignaturalgorithmusEs sollte mit dem Algorithmus übereinstimmen, mit dem das PFX-Zertifikat erstellt wurdeDie möglichen Optionen sind SHA1, SHA256, SHA384, SHA512

Schritt 2Holen Sie sich die HES-Metadatendatei

Auf derselben Seite (Einstellungen -> Parameter -> SAML), nachdem Sie diepfx-Zertifikat können Sie:

  • Metadaten anzeigen · Metadaten herunterladen · Public-Key-Zertifikat herunterladen

Metadaten sind eine XML-Datei, die alle notwendigen Informationen über die IdP-Einstellungen und das Public-Key-Zertifikat enthältASA ermöglicht Ihnen den Import von IdP-Metadaten bei der Konfiguration von SAML, was die Konfiguration vereinfachtSie können bei Bedarf auch ein separates Zertifikat herunterladen oder alle Metadaten auf dem Bildschirm anzeigen

Für die nächsten Schritte müssen Sie die Metadatendatei und die Zertifikatsdateien herunterladen

 

ASA für SAML über CLI konfigurieren

Schritt 1Erstellen Sie einen Trustpoint und importieren Sie unser SAML-Zertifikat

# Konfig t

# Krypto-CA-Vertrauenspunkt HES-SAML

Widerrufsprüfung keine

keine ID-Nutzung

Registrierungsterminal

kein CA-Check

# Krypto kann HES-SAML authentifizieren

-----ZERTIFIKAT BEGINNEN-----

HES IdP Certificate Text, den Sie im vorherigen Schritt heruntergeladen haben

-----ENDE ZERTIFIKAT-----

# beenden

 

Schritt 2 Stellen Sie Ihren SAML-IdP bereit

# webvpn

# Saml-IDP https://Beispielversteckencom/

#-URL-Anmeldung https://Beispielversteckencom/Saml/Login

# URL-Abmeldung https://Beispielversteckencom/Saml/Logout

# Vertrauenspunkt-IDP HES-SAML – [IdP-Vertrauenspunkt]

# Vertrauenspunkt sp ASA-EXTERNAL-CERT - [SP-Vertrauenspunkt]

# keine erneute Authentifizierung erzwingen

# keine Signatur

# Basis-URL https://asaBeispielcom

 

Schritt 3 SAML-Authentifizierung auf eine VPN-Tunnelkonfiguration anwenden

# tunnel-group TUNNEL-GROUP-NAME webvpn-attributes

Saml Identity-Provider https://exampleversteckencom/

Authentifizierungs-Saml

# Ende

# Speicher schreiben

 

Schritt 4 SAML-ASA-Metadatendatei abrufen

Führen Sie den folgenden Befehl aus:

# Saml-Metadaten anzeigen TUNNEL-GROUP-NAME

Kopieren Sie dann den Metadatentext in eine XML-Datei und speichern Sie ihn

Hinweis: Wenn Sie Änderungen an der IdP-Konfiguration vornehmen, müssen Sie die Konfiguration des SAML-Identitätsanbieters aus Ihrer Tunnelgruppe entfernen und erneut anwenden, damit die Änderungen wirksam werden

 

Dienstanbieter zu HES hinzufügen

Melden Sie sich beim HES-Server an und gehen Sie dann zu Einstellungen -> Parameter -> SAMLDrücken Sie dann die Schaltfläche [Dienstanbieter hinzufügen].

Im folgenden Formular können Sie eine Metadatendatei hinzufügen oder alle Parameter manuell ausfüllen:

  • Aussteller – ein eindeutiger SP-Name, den Sie aus den SP-Einstellungen kopieren oder aus der Metadatendatei extrahieren müssen
  • Assertion Consumer Service – die Anmeldeadresse auf Seiten des DienstanbietersAuf diese Adresse wird nach erfolgreicher Anmeldung durch den IdP-Dienst umgeleitet
  • Single Logout Service – die Adresse zum Abmelden vom KontoWenn Sie IdP verlassen, wird diese URL in der Schleife für alle SPs geöffnet
  • Öffentliches x509-Zertifikat – das öffentliche Schlüsselzertifikat des Dienstanbieters
  • Name Identifier Format – das Format für das Feld, das den Benutzer identifiziert
  • Namenskennungsfeld - die Wahl des Felds, in das Sie die Benutzerkennung übernehmen können

Da der IdP und der SP unterschiedliche Kennungen für Benutzer verwenden können, ist ein Mechanismus zum Abgleichen dieser Kennungen erforderlich, um eine Eins-zu-Eins-Korrespondenz zwischen Benutzern in beiden Diensten herzustellenDie Benutzerkennung (Login) in HES ist seine E-Mail-Adresse, obwohl es in anderen Systemen etwas anderes sein kann (zGeine Kombination aus dem Vor- und Nachnamen des Benutzers)

Wenn Ihre ASA- und AD-Konfiguration E-Mail als Benutzer-ID akzeptiert, müssen Sie Folgendes festlegen:

Namenskennungsformat – E-Mail-Namenskennungsfeld – E-Mail

Wenn die ASA- und AD-Konfiguration keine E-Mail als Benutzer-ID akzeptieren, müssen Sie das von Ihnen verwendete Format im Feld „Format der Namenskennung“ und den Wert „Externe ID“ im Feld „Name Identifikator-FeldDann müssen Sie für jeden Mitarbeiter das Feld „Externe ID“ ausfüllenKlicken Sie dazu auf Mitarbeiter -> 'Mitarbeiter auswählen -> Details -> Einstellungen bearbeiten (im Abschnitt Single Sign On) -> Externe ID bearbeiten

Nachdem Sie alle Einstellungen ausgefüllt und gespeichert haben, können Sie die Integration überprüfen, indem Sie sich beim Dienstanbieter anmeldenSie sollten zur HES-Authentifizierungsseite weitergeleitet werden, wo Sie Ihren Benutzernamen (E-Mail-Adresse) eingeben und die Überprüfung des Sicherheitsschlüssels bestehen müssen

 

Endgültige Überprüfung

Schritt 1Aktivieren Sie SSO für einen Benutzer in HES

Mitarbeiter können sich standardmäßig nicht beim HES-Dienst anmelden und den SSO-Dienst verwenden, sie müssen eine ausdrückliche Genehmigung des Administrators habenWählen Sie einen Mitarbeiter aus und klicken Sie auf die Schaltfläche [Bearbeiten].Klicken Sie dann auf der geöffneten Seite auf die Schaltfläche [SSO aktivieren], um die Erlaubnis zu erteilen

Hinweis: Ein Mitarbeiter muss über eine E-Mail-Adresse und einen zugehörigen Schlüssel verfügen, um den SSO-Dienst zu aktivieren

Der SSO-Dienst wird automatisch aktiviert und kann nicht für alle HES-Administratoren deaktiviert werden

Wenn die externe ID als Feld für die Namenskennung verwendet wird, müssen Sie dieses Feld ebenfalls ausfüllenÖffnen Sie „Mitarbeiter“ -> „Mitarbeiter auswählen“ -> „Bearbeiten“, um das Feld „Externe ID“ zu bearbeiten

Einige Dienstanbieter unterstützen diese Funktion möglicherweise nicht

Schritt 2Melden Sie sich mit SAML

bei einem Webdienst an

Stellen Sie eine Verbindung zu Ihrer VPN-URL her und wählen Sie eine Ihrer Anmeldeoptionen im Hideez Enterprise Server-Fenster aus. Verwenden Sie dann Ihre Anmeldeinformationen, um sich anzumelden:

AnyConnect ist verbunden:

 

Häufige Probleme

1FALSCHE ENTITÄTS-ID

Debug-Beispiel[SAML] waste_assertion: Die Kennung eines Anbieters ist #LassoServer unbekanntUm einen Anbieter in einem #LassoServer-Objekt zu registrieren, müssen Sie die Methoden lasso_server_add_provider() oder lasso_server_add_provider_from_buffer() verwenden.

Problem: Bedeutet im Allgemeinen, dass der Befehl saml idp [entityID] unter der Webvpn-Konfiguration der ASA nicht mit der IdP-Entitäts-ID übereinstimmt, die in der Metadaten des IdP

Lösung: Überprüfen Sie die Entitäts-ID der Metadatendatei des IdP und ändern Sie den Befehl saml idp [Entitäts-ID] entsprechend

2ZEITFEHLER

Debug-Beispiel[SAML] NotBefore:2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01896Z-Zeitüberschreitung: 0

[SAML] waste_assertion: Assertion ist abgelaufen oder nicht gültig

Problem 1ASA-Zeit wird nicht mit der Zeit des IdP synchronisiert

Lösung 1Konfigurieren Sie ASA mit demselben NTP-Server, der vom IdP verwendet wird

Problem 2Die Behauptung ist zwischen der angegebenen Zeit nicht gültig

Lösung 2Ändern Sie den auf der ASA konfigurierten Timeout-Wert

3FALSCHES IDP-GESANGSZERTIFIKAT VERWENDET

Debug-Beispiel[Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18:Daten stimmen nicht überein:Signatur stimmen nicht überein

[SAML] waste_assertion: Das Profil kann eine Signatur der Nachricht

nicht verifizieren

Problem: ASA kann die vom IdP signierte Nachricht nicht verifizieren oder es gibt keine Signatur, die der ASA verifizieren kann

Lösung: Überprüfen Sie das IdP-Signaturzertifikat, das auf dem ASA installiert ist, um sicherzustellen, dass es mit dem übereinstimmt, was vom IdP gesendet wirdWenn dies bestätigt wird, stellen Sie sicher, dass die Signatur in der SAML-Antwort enthalten ist

4INVAILD-ASSERTION-AUDIOENCE

Debug-Beispiel[SAML] waste_assertion: Assertion Audience ist ungültig

Problem: IdP definiert die falsche Zielgruppe

Lösung: Korrigieren Sie die Zielgruppenkonfiguration auf dem IdPSie sollte mit der Entitäts-ID der ASA übereinstimmen

5FALSCHE URL FÜR ASSERTION CONSUMER SERVICE

Debug-Beispiel: Es können keine Debugs empfangen werden, nachdem die anfängliche Authentifizierungsanforderung gesendet wurdeDer Benutzer kann Anmeldeinformationen beim IdP eingeben, aber der IdP leitet nicht zu ASA um

Problem: IdP ist für die falsche Assertion Consumer Service-URL konfiguriert

Lösung(en): Überprüfen Sie die Basis-URL in der Konfiguration und stellen Sie sicher, dass sie korrekt istÜberprüfen Sie die ASA-Metadaten mit show, um sicherzustellen, dass die URL des Assertion Consumer Service korrekt istUm es zu testen, durchsuchen Sie es, wenn beide auf dem ASA korrekt sind, überprüfen Sie den IdP, um sicherzustellen, dass die URL korrekt ist

5SAML-KONFIGURATIONSÄNDERUNGEN WERDEN NICHT WIRKSAM

Beispiel: Nachdem eine Single-Sign-On-URL modifiziert oder geändert wurde, funktioniert das SP-Zertifikat, SAML immer noch nicht und sendet vorherige Konfigurationen

Problem: ASA muss seine Metadaten neu generieren, wenn es von einer Konfigurationsänderung betroffen istDies geschieht nicht automatisch

Lösung: Nachdem Sie Änderungen vorgenommen haben, entfernen Sie unter der betroffenen Tunnelgruppe den Befehl saml idp [entity-id] und wenden Sie ihn erneut an

 

Fehlerbehebung

Die meisten SAML-Fehlerbehebungen beinhalten eine Fehlkonfiguration, die gefunden werden kann, wenn die SAML-Konfiguration überprüft oder Debugs ausgeführt werdendebug webvpn saml 255 kann verwendet werden, um die meisten Probleme zu beheben, aber in Szenarien, in denen dieser Debug keine nützlichen Informationen liefert, können zusätzliche Debugs ausgeführt werden:

Benötigen Sie Hilfe? Suchen Sie in unseren Knowledge Base-Artikeln oder wenden Sie sich an den Support, um weitere Unterstützung zu erhalten