icon
skip to content

SSO: cos'è il Single Sign-On? Servizio SSO universale per le aziende

Single Sign-on Service

 

Contenuto

Cosa significa SSO e come funziona

Svantaggi e vantaggi del Single Sign-On

Esempi di Single Sign-On

Servizio SSO universale di Hideez

Esempio di configurazione di ASA AnyConnect VPN su Hideez Enterprise Server tramite SAML

Configura HES come IdP

Configura ASA per SAML tramite CLI

Aggiungi il fornitore di servizi a HES

Verifica finale

Problemi comuni

Risoluzione dei problemi

 

Quando navighi in un'app o in un sito web, probabilmente hai visto l'opzione per accedere con Facebook o GoogleE la prossima cosa che sai, sei magicamente connesso al sito Web di terze parti senza nemmeno creare un account

Non è magia, è una tecnologia Single Sign-On o SSOChe cos'è, come funziona e perché così tante organizzazioni moderne lo utilizzano per motivi di sicurezza?

Cosa significa SSO e come funziona

Il Single Sign-On è un processo di autenticazione utente che consente agli utenti di accedere a più applicazioni con un set di credenziali di accesso, come nome utente e passwordCiò significa che una volta che un utente ha effettuato l'accesso, non deve accedere ripetutamente per ogni applicazione collegata a questo sistema

In realtà, il Single Sign-On è un accordo di gestione delle identità federato tra tre entità: 

  • Utenti  Singole persone devono accedere a diversi serviziDovrebbero essere in grado di gestire informazioni personali come login o password e dovrebbero essere identificabili in modo univoco
  • Fornitori di servizi (SP) Tradizionalmente, si tratta di siti Web e applicazioni a cui gli utenti desiderano accedere, ma possono includere tutti i tipi di prodotti e servizi come l'accesso Wi-Fi, il tuo telefono o i dispositivi "Internet of Things".
  • Fornitori di identità (IdP) Database che memorizzano le identità degli utenti che possono quindi essere federate a varie risorse ITPossono anche memorizzare molte istanze dell'identità dell'utente, che contengono informazioni come nomi utente, password, chiavi SSH, informazioni biometriche e altri attributiUno dei provider di identità più popolari al giorno d'oggi è Microsoft Active Directory, progettato per gestire nomi utente e password di Windows e collegarli a risorse IT basate su Windows in sede

Affinché SSO funzioni, la maggior parte delle applicazioni si basa su protocolli standard aperti per definire in che modo i provider di servizi e i provider di identità possono scambiarsi informazioni su identità e autenticazione I protocolli più comuni sono SAML, OAuth e OpenID Connect (OIDC) che consentono in modo sicuro a un servizio di accedere ai dati di un altro

Oggi possiamo vedere una tendenza che le aziende stanno iniziando a realizzare: il lavoro remoto da casa significa che più utenti devono accedere ai propri account su Internet per accedere a informazioni importantiE questo è l'intero nuovo regno dei potenziali vettori di attaccoI criminali lo sanno già e ne approfittanoQuindi sempre più aziende stanno iniziando ad affrontare queste nuove minacce implementando soluzioni SSO

Svantaggi e vantaggi dell'accesso singolo

Il vantaggio principale di SSO è l'ottima esperienza utente e la comodità che offre agli utentiHanno password minime da ricordare, semplificano il processo di accesso e riducono le possibilità di phishing

SSO è particolarmente utile per le aziende che operano in remoto a causa del COVID-19 perché i servizi Single Sign-On forniscono l'autenticazione più sicura e intuitiva per gli accessi remotiL'utilizzo di SSO può anche far parte di un sistema di gestione degli accessi integrato per un più rapido provisioning e deprovisioning degli utenti

D'altra parte, SSO presenta dei rischi perché crea un singolo punto di errore che può essere sfruttato dagli aggressori per ottenere l'accesso ad altre appInoltre, lcome molti strumenti IT, SSO richiede implementazione e configurazione che possono diventare piuttosto costose

Molti fornitori SSO addebitano costi individuali per funzionalità, quindi le tariffe si sommano rapidamente e possono diventare un onere pesante per il budget delle piccole e medie imprese

In ogni caso, riteniamo che la comodità dell'SSO valga tutti i difetti che comporta

Esempi di Single Sign-On

Un esempio tipico e valido di Single Sign-On è GoogleQualsiasi utente che ha effettuato l'accesso a uno dei servizi Google è automaticamente connesso ad altri servizi come Gmail, Google Drive, Youtube, Google Analytics e così via

Il Single Sign-On di solito fa uso di un servizio centrale che orchestra il Single Sign-On tra più client, che nel caso di Google sono gli account Google

Passando alla sicurezza aziendale, al giorno d'oggi esistono molti prodotti e servizi Single Sign-On per le aziendeSi tratta in genere di gestori di password con componenti client e server che registrano l'utente nelle applicazioni di destinazione riproducendo le credenziali dell'utente

Il

Hideez Authentication Service è un esempio di soluzioni SSO sicureUno dei vantaggi unici di Hideez SSO è che consente di combinare metodi di autenticazione di base (nome utente/password + password monouso) con accessi completamente senza password (token FIDO2 o applicazione mobile)

Allora, come funziona il Single Sign-On di Hideez?

Passaggio 1 L'utente accede a qualsiasi fornitore di servizi, ieapplicazione che supporta i protocolli SAML o OpenID;

Passaggio 2 Il fornitore di servizi invia la richiesta SAML/OIDC al Hideez Server e l'utente viene reindirizzato automaticamente al server Hideez;

Single Sign-on Service

Passaggio 3 All'utente viene richiesto di inserire i dettagli di accesso o selezionare uno dei metodi di autenticazione disponibili: una chiave di sicurezza hardware (Yubikey, multifunzionale Hideez Key o qualsiasi altro token di sicurezza fisica), o applicazione mobile Hideez Authenticator;

Passaggio 4 Il server Hideez invia un risultato di autenticazione al fornitore di servizi e reindirizza l'utente all'applicazione iniziale

Passaggio 5 Un utente viene autenticato, probabilmente senza accorgersi di nulla tranne che per alcune chiamate di reindirizzamento alla barra degli URL del suo browser

Servizio SSO universale di Hideez

Il servizio Hideez Single Sign-On è un provider di identità SAML (IdP) che aggiunge SSO a Windows Active Directory utilizzando SAML 20 federazioneGli amministratori possono configurare il Single Sign-On per qualsiasi applicazione web o mobile che supporti gli standard OpenID Connect o SAML E per di più, rendiamo SSO completamente senza password!

A differenza di SSO con accessi tradizionali basati su password, Hideez SSO può eliminare le password e sostituirle con FIDO2/App per dispositivi mobili esperienza senza password, dove possibileAnche se alcune delle tue applicazioni non supportano gli standard SAML o OIDC e non possono essere rese completamente prive di password, puoi utilizzare la chiave Hideez come gestore di password hardware e compilare automaticamente le credenziali di accesso premendo un pulsante

Puoi scegliere il fattore di autenticazione più conveniente per i tuoi dipendenti:

  • SmartphoneHideez Authenticator è un'app SSO per dispositivi Android e iOSPuò trasformare gli smartphone degli utenti in token hardware senza password che sostituiscono i loro nomi utente e password con un accesso sicuro basato su codici QR monouso utilizzando la verifica biometrica o la verifica del codice PIN nello smartphone dell'utente finale
  • Chiavi di sicurezza hardwareI token Hideez Key sono dispositivi multifunzionali Bluetooth/NFC/USB protetti da un PINPuoi usarli per accedere ai servizi senza password basati sullo standard FIDO2, archiviare le credenziali per gli accessi basati su password, generare password monouso per 2FA e persino bloccare o sbloccare Windows computer basati sulla prossimità del dispositivo

Hideez Enterprise Server si integra con Microsoft Active Directory, Azure Active Directory e i sistemi di identità LDAP per semplificare l'onboarding e la gestione degli utenti I tuoi dipendenti possono utilizzare solo un'applicazione SSO per accedere a tutte le cose, rendendo Hideez SSO Service super user friendlyPer non parlare del fatto che non devi ricordare le credenziali di accesso o pensare a prevenire phishing e furti di identità

Hideez supera tutti gli attuali concorrenti in termini di convenienza e prezzo, offrendo la piena conformità con i più severi standard di autenticazione, come GDPR, NIST, PSD2, PSI-DSS e HIPAAPrendendo misure precauzionali con largo anticipo puoi risparmiare così tanto tempo e denaro a lungo termine

Pianifica una demo o richiedi una prova gratuita di 30 giorni di Hideez SSO e cattura il futuro della sicurezza senza password!

 

Esempio di configurazione di ASA AnyConnect VPN su Hideez Enterprise Server tramite SAML

Hideez Enterprise Server (HES) supporta SAML 20 (Security Assertion Markup Language) standard per l'autenticazione dell'utenteHES è un IdP (Identity Provider) che abilita SSO per tutte le applicazioni web (SP, Service Provider) che supportano SAML

Poiché HES supporta l'autorizzazione senza password FIDO2, i fornitori di servizi ottengono automaticamente la possibilità di autorizzare con chiavi di sicurezza hardware senza dover creare e inserire password

Requisiti

Cisco consiglia di conoscere questi argomenti:

  • Conoscenza di base della configurazione RA VPN su ASA
  • Conoscenza di base di SAML e Microsoft Active Directory
  • Licenze AnyConnect abilitate (solo APEX o VPN)

Componenti utilizzati

Le informazioni contenute in questo documento si basano su queste versioni software e hardware:

  • Hideez Enterprise Server 39+
  • Microsoft Active Directory
  • Cisco ASA 97+ e Anyconnect 46+
  • Profilo VPN AnyConnect funzionante

Le informazioni contenute in questo documento sono state create dai dispositivi in ​​un ambiente di laboratorio specificoTutti i dispositivi utilizzati in questo documento sono stati avviati con una configurazione deselezionata (predefinita).Se la tua rete è attiva, assicurati di comprendere il potenziale impatto di qualsiasi comandoÈ inoltre possibile mappare gli utenti a ruoli applicativi specifici in base alle regole definite nelle impostazioni in Active Directory, Cisco ASA e Anyconnect

Informazioni generali

SAML è un framework basato su XML per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezzaCrea un circolo di fiducia tra l'utente, un Service Provider (SP) e un Identity Provider (IdP) che consente all'utente di accedere una sola volta per più serviziHideez Enterprise Server si integra perfettamente con l'appliance VPN Cisco ASA per fornire ulteriore sicurezza per gli accessi VPN Cisco AnyConnect

Componenti SAML

Metadati: è un documento basato su XML che garantisce una transazione sicura tra un IdP e un SPConsente a IdP e SP di negoziare accordi

Ruoli supportati dai dispositivi (IdP, SP)

Un dispositivo può supportare più di un ruolo e può contenere valori sia per un SP che per un IdPSotto il campo EntityDescriptor c'è un IDPSSODescriptor se le informazioni contenute sono per un Single Sign-On IdP o un SPSSSODescriptor se le informazioni contenute sono per un Single Sign-On SPQuesto è importante poiché i valori corretti devono essere presi dalle sezioni appropriate per impostare correttamente SAML

ID entità: Questo campo è un identificatore univoco per un SP o un IdPUn singolo dispositivo potrebbe avere diversi servizi e può utilizzare diversi ID entità per differenziarliAd esempio, ASA ha diversi ID entità per diversi gruppi di tunnel che devono essere autenticatiUn IdP che autentica ciascun gruppo di tunnel dispone di voci ID entità separate per ciascun gruppo di tunnel al fine di identificare con precisione tali servizi

ASA può supportare più IdP e dispone di un ID entità separato per ogni IdP per differenziarliSe una delle due parti riceve un messaggio da un dispositivo che non contiene un ID entità configurato in precedenza, è probabile che il dispositivo abbandoni questo messaggio e l'autenticazione SAML non riescaL'ID entità si trova nel campo EntityDescriptor accanto a entityID

URL del servizio: definiscono l'URL di un servizio SAML fornito dal fornitore di servizi o dall'IdPPer gli IdP, questo è più comunemente il servizio Single Logout e il servizio Single Sign-OnPer gli SP, questo è comunemente Assertion Consumer Service e Single Logout Service

L'URL del servizio Single Sign-On trovato nei metadati dell'IdP viene utilizzato dall'SP per reindirizzare l'utente all'IdP per l'autenticazioneSe questo valore è configurato in modo errato, l'IdP non riceve o non è in grado di elaborare correttamente la richiesta di autenticazione inviata dal SP

L'URL Assertion Consumer Service trovato nei metadati SP viene utilizzato dall'IdP per reindirizzare l'utente all'SP e fornire informazioni sul tentativo di autenticazione dell'utenteSe questo è configurato in modo errato, l'SP non riceve l'asserzione (la risposta) o non è in grado di elaborarla correttamente

L'URL del servizio di logout singolo si trova sia sull'SP che sull'IdPViene utilizzato per facilitare la disconnessione da tutti i servizi SSO dall'SP ed è facoltativo sull'ASAQuando l'URL del servizio SLO dai metadati IdP è configurato sull'SP, quando l'utente si disconnette dal servizio sull'SP, l'SP invia la richiesta all'IdPUna volta che l'IdP ha disconnesso correttamente l'utente dai servizi, reindirizza l'utente all'SP utilizzando l'URL del servizio SLO trovato all'interno dei metadati dell'SP

Associazioni SAML per URL di servizio: le associazioni sono il metodo utilizzato dall'SP per trasferire le informazioni all'IdP e viceversa per i serviziCiò include reindirizzamento HTTP, HTTP POST e artefattoOgni metodo ha un modo diverso di trasferire i datiIl metodo di associazione supportato dal servizio è incluso nella definizione di tale servizioAd esempio: SingleSignOnService Binding="urn:oasis:names:tc:SAML:20:bindings:HTTP-Redirect" Location="https://samlesempiocom/simplesaml/saml2/idp/SSOServicephp"/>L'ASA non supporta l'associazione ArtifactASA utilizza sempre il metodo di reindirizzamento HTTP per le richieste di autenticazione SAML, quindi è importante scegliere l'URL del servizio SSO che utilizza l'associazione di reindirizzamento HTTP in modo che l'IdP si aspetti questo

Certificati per operazioni di firma e crittografia

Per garantire la riservatezza e l'integrità dei messaggi inviati tra SP e IdP, SAML include la possibilità di crittografare e firmare i datiIl certificato utilizzato per crittografare e/o firmare i dati può essere incluso nei metadati in modo che il destinatario possa verificare il messaggio SAML e garantire che provenga dalla fonte previstaI certificati utilizzati per la firma e la crittografia possono essere trovati all'interno dei metadati in KeyDescriptor use="signing" e KeyDescriptor use="encryption", rispettivamente, quindi X509CertificateL'ASA non supporta la crittografia dei messaggi SAML

 

Configura HES come IdP

Passaggio 1Imposta le impostazioni del provider di identità

Gli IdP e i fornitori di servizi devono scambiarsi certificati di chiave pubblica, indirizzi per le richieste e altri parametri per stabilire un'accettazione tra di loro

Un certificato nella "pfx" è necessario per il funzionamento del protocollo SAMLPuò essere generato, ad esempio, tramite un'applicazione OpenSSL o utilizzando un certificato esistenteIl file del certificato deve essere copiato sul server HES (ad esGla cartella con i file binari e le impostazioni)

Accedi al server HES, quindi vai su Impostazioni -> Parametri -> SAMLQuindi premere il pulsante [Set IdP Settings]:

Seleziona il tuopfx e inserisci la password per il filepfxInoltre è necessario selezionare l'algoritmo appropriato:

SignatureAlgorithm - un algoritmo di firmaDovrebbe corrispondere all'algoritmo con cui è stato stabilito il certificato pfxLe opzioni possibili sono SHA1, SHA256, SHA384, SHA512

Passaggio 2Ottieni il file di metadati HES

Nella stessa pagina (Impostazioni -> Parametri -> SAML), dopo aver impostato ilpfx puoi:

  • Visualizza i metadati · Scarica i metadati · Scarica il certificato a chiave pubblica

I metadati sono un file XML che contiene tutte le informazioni necessarie sulle impostazioni dell'IdP e sul certificato della chiave pubblicaASA consente di importare i metadati IdP durante la configurazione di SAML, il che semplifica la configurazionePuoi anche scaricare un certificato separato, se necessario, o visualizzare tutti i metadati sullo schermo

Per i passaggi successivi è necessario scaricare il file dei metadati e i file del certificato

 

Configura ASA per SAML tramite CLI

Passaggio 1Crea un Trustpoint e importa il nostro certificato SAML

# config t

# punto di fiducia crypto ca HES-SAML

controllo revoca nessuno

nessun utilizzo dell'ID

terminale di registrazione

nessun controllo ca

# crypto ca autentica HES-SAML

-----BEGIN CERTIFICATE-----

HES IdP Certificate Testo scaricato nel passaggio precedente

-----FINE CERTIFICATO-----

# esci

 

Passaggio 2 Fornisci il tuo IdP SAML

# webvpn

# saml idp https://esempiohideezcom/

# url accesso https://esempiohideezcom/Saml/Login

# url disconnessione https://esempiohideezcom/Saml/Logout

# punto di fiducia idp HES-SAML - [IdP Trustpoint]

# punto di fiducia sp ASA-EXTERNAL-CERT - [SP Trustpoint]

# nessuna riautenticazione forzata

# nessuna firma

# base-url https://asaesempiocom

 

Passaggio 3 Applicazione dell'autenticazione SAML a una configurazione del tunnel VPN

# tunnel-group TUNNEL-GROUP-NAME webvpn-attributes

provider di identità saml https://esempiohideezcom/

saml di autenticazione

# fine

# memoria di scrittura

 

Passaggio 4 Ottieni il file di metadati SAML ASA

Esegui il seguente comando:

# mostra metadati saml TUNNEL-GROUP-NAME

Quindi copia il testo dei metadati in un file xml e salvalo

Nota: se apporti modifiche alla configurazione IdP, devi rimuovere la configurazione del provider di identità saml dal tuo gruppo di tunnel e riapplicarla affinché le modifiche diventino effettive

 

Aggiungi il fornitore di servizi a HES

Accedi al server HES, quindi vai su Impostazioni -> Parametri -> SAMLQuindi premere il pulsante [Aggiungi fornitore di servizi].

Nel seguente modulo è possibile aggiungere un file di metadati o compilare manualmente tutti i parametri:

  • Emittente - un nome SP univoco che devi copiare dalle impostazioni SP o estrarre dal file di metadati
  • Assertion Consumer Service - l'indirizzo di accesso sul lato del fornitore di serviziIl reindirizzamento viene effettuato a questo indirizzo dopo il corretto accesso tramite il servizio IdP
  • Servizio di disconnessione singola - l'indirizzo per disconnettersi dall'accountSe esci da IdP, questo URL viene aperto nel ciclo per tutti gli SP
  • Certificato pubblico x509 - il certificato a chiave pubblica del fornitore di servizi
  • Formato identificatore nome - il formato del campo che identifica l'utente
  • Campo identificativo nome - la scelta del campo in cui è possibile inserire l'identificatore utente

Poiché IdP e SP possono utilizzare identificatori diversi per gli utenti, è necessario un meccanismo per la corrispondenza di questi identificatori per stabilire una corrispondenza uno a uno tra gli utenti in entrambi i serviziL'identificatore utente (login) in HES è la sua e-mail, sebbene possa essere qualcos'altro in altri sistemi (ad esGuna combinazione di nome e cognome dell'utente)

Se la tua configurazione ASA e AD accetta la posta elettronica come ID utente, devi impostare:

Formato identificativo del nome - Campo dell'identificatore del nome e-mail - E-mail

Se la configurazione ASA e AD non accetta l'e-mail come ID utente, è necessario impostare il formato da utilizzare nel campo "Formato identificatore nome" e il valore "ID esterno" nel campo "Nome Campo dell'identificatoreQuindi è necessario compilare il campo "ID esterno" per ciascun dipendentePer fare ciò, fare clic su Dipendenti -> 'Seleziona un dipendente -> Dettagli -> Modifica impostazioni (nella sezione Single Sign On) -> Modifica l'ID esterno

Dopo aver compilato e salvato tutte le impostazioni, è possibile verificare l'integrazione accedendo al provider di serviziDovresti essere reindirizzato alla pagina di autenticazione HES dove dovrai inserire il tuo nome utente (e-mail) e superare la verifica della chiave di sicurezza

 

Verifica finale

Passaggio 1Abilita SSO per un utente in HES

I dipendenti non possono accedere al servizio HES e utilizzare il servizio SSO per impostazione predefinita, devono disporre di un'autorizzazione esplicita dell'amministratoreSelezionare un dipendente e fare clic sul pulsante [Modifica].Quindi fare clic sul pulsante [Abilita SSO] nella pagina aperta per concedere l'autorizzazione

Nota: Un dipendente deve disporre di un'e-mail e di una chiave associata per attivare il servizio SSO

Il servizio SSO è abilitato automaticamente e non può essere disattivato per tutti gli amministratori HES

Se l'ID esterno viene utilizzato come campo dell'identificatore del nome, è necessario compilare anche questo campoApri "Dipendenti" -> "Seleziona un dipendente" -> "Modifica" per modificare il campo ID esterno

Alcuni fornitori di servizi potrebbero non supportare questa funzionalità

Passaggio 2Accedere a un servizio Web utilizzando SAML

Connettiti al tuo URL VPN e scegli una delle opzioni di accesso nella finestra Hideez Enterprise Server, quindi utilizza le tue credenziali per accedere:

AnyConnect è connesso:

 

Problemi comuni

1ID ENTITA' NON CORRISPONDENTE

Esempio di debug[SAML] consume_assertion: l'identificatore di un provider è sconosciuto a #LassoServerPer registrare un provider in un oggetto #LassoServer, è necessario utilizzare i metodi lasso_server_add_provider() o lasso_server_add_provider_from_buffer()

Problema: Generalmente significa che il comando saml idp [entityID] nella configurazione webvpn dell'ASA non corrisponde all'ID entità IdP trovato nel I metadati dell'IdP

Soluzione: controllare l'ID entità del file di metadati dell'IdP e modificare il comando saml idp [entity id] in modo che corrisponda a questo

2TEMPO NON CORRISPONDENTE

Esempio di debug[SAML] NotBefore:2017-09-05T23:59:01896Z NotOnOrDopo:2017-09-06T00:59:01Timeout 896Z: 0

[SAML] consume_assertion: l'asserzione è scaduta o non è valida

Problema 1L'ora ASA non è sincronizzata con l'ora dell'IdP

Soluzione 1Configura ASA con lo stesso server NTP utilizzato da IdP

Problema 2L'asserzione non è valida tra il tempo specificato

Soluzione 2Modifica il valore di timeout configurato sull'ASA

3UTILIZZATO CERTIFICATO DI CANTO IDP ERRATO

Esempio di debug[Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18:i dati non corrispondono:la firma non corrisponde

[SAML] consume_assertion: il profilo non può verificare una firma sul messaggio

Problema: ASA non è in grado di verificare il messaggio firmato dall'IdP o non c'è firma per l'ASA da verificare

Soluzione: Controllare il certificato di firma IdP installato sull'ASA per assicurarsi che corrisponda a quanto inviato dall'IdPSe questo è confermato, assicurati che la firma sia inclusa nella risposta SAML

4PUBBLICO DI ASSERZIONE NON VALIDO

Esempio di debug[SAML] consume_assertion: il pubblico dell'asserzione non è valido

Problema: IdP sta definendo il pubblico errato

Soluzione: Correggere la configurazione del pubblico sull'IdPDeve corrispondere all'ID entità dell'ASA

5URL ERRATO PER ASSERTION CONSUMER SERVICE

Esempio di debug: Impossibile ricevere alcun debug dopo l'invio della richiesta di autenticazione inizialeL'utente è in grado di inserire le credenziali in IdP ma IdP non reindirizza ad ASA

Problema: IdP è configurato per l'URL del servizio consumatori di asserzione errato

Soluzione/i: Controllare l'URL di base nella configurazione e assicurarsi che sia correttoControlla i metadati ASA con show per assicurarti che l'URL del servizio consumatori di asserzioni sia correttoPer testarlo, sfoglialo, se entrambi sono corretti sull'ASA, controlla l'IdP per assicurarti che l'URL sia corretto

5LE MODIFICHE ALLA CONFIGURAZIONE SAML NON HANNO EFFETTO

Esempio: dopo che un URL Single Sign-On è stato modificato o cambiato, il certificato SP, SAML continua a non funzionare e invia le configurazioni precedenti

Problema: ASA deve rigenerare i suoi metadati quando c'è una modifica alla configurazione che lo riguardaNon lo fa automaticamente

Soluzione: Dopo aver apportato le modifiche, nel gruppo di tunnel interessato rimuovere e riapplicare il comando saml idp [entity-id]

 

Risoluzione dei problemi

La maggior parte delle risoluzioni dei problemi SAML riguarda una configurazione errata che può essere rilevata quando la configurazione SAML viene verificata o vengono eseguiti i debugdebug webvpn saml 255 può essere utilizzato per risolvere la maggior parte dei problemi, tuttavia negli scenari in cui questo debug non fornisce informazioni utili, è possibile eseguire ulteriori debug:

Hai bisogno di aiuto? Prova a cercare i nostri articoli della Knowledge Base o contatta Supporto per ulteriore assistenza