Configurer Cisco Firepower Management Center
Configurez Cisco Firepower Management Center (FMC) pour utiliser l'agent Okta RADIUS Server pour l'authentification multifacteur.
Okta permet aux organisations de gérer les autorisations et les accès aux applications et ressources locales à l'aide du protocole RADIUS et de l'agent Okta RADIUS. Grâce à l'agent Okta RADIUS Server, les organisations ont la possibilité de déléguer l'authentification à Okta.
Architecture typique
Les clients utilisent souvent le client Cisco AnyConnect Secure Mobility pour se connecter à un pare-feu Cisco Firepower. Les utilisateurs sont authentifiés à l'aide de l'agent Okta RADIUS, pris en charge par Microsoft Active Directory. Le processus d'authentification utilise la MFA. Consultez Facteurs pris en charge.
- Avant de commencer
- Facteurs pris en charge
- Versions, clients et fonctionnalités pris en charge
- Tâches
Avant de commencer
Respectez les exigences suivantes en matière de connectivité réseau avant d'installer l'agent RADIUS Okta :
| Source | Destination | Port/Protocole | Description |
|---|---|---|---|
| Agent RADIUS Okta | Okta Identity Cloud | TCP/443 HTTP |
Configuration et trafic d'authentification. |
| Passerelle client | Agent RADIUSOkta | RADIUS UDP/1812 (il s'agit de la valeur par défaut, elle peut être modifiée lors de l'installation et de la configuration de l'application RADIUS) | Trafic RADIUS entre la passerelle (le client) et l'agent RADIUS (le serveur). |
Facteurs pris en charge
La taille du message de vérification peut être trop importante pour l'invite RADIUS si vous laissez les utilisateurs inscrire trop de facteurs. Okta vous recommande de ne pas inscrire plus de huit facteurs à la fois.
Okta prend en charge les facteurs suivants pour les applications RADIUS :
|
Facteur de MFA |
Protocole d'authentification par mot de passe (PAP) | Protocole d'authentification extensible - Carte à jeton générique (EAP-GTC) | Protocole d'authentification extensible - Sécurité de la couche transport tunnelisée (EAP-TTLS)* |
|---|---|---|---|
| Authentification TOTP (Mot de passe à usage unique et à durée limitée) personnalisée | Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
| Duo (Push, SMS et code d'accès uniquement) | Pris(e) en charge | Pris(e) en charge | Code d'accès Duo seulement. |
|
Pris(e) en charge |
Pris(e) en charge |
Pris en charge lorsque la chaîne « E-MAIL » est initialement envoyée. Reportez-vous à la note associée. |
|
| Pris(e) en charge | Pris(e) en charge | Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». | |
|
Okta Verify (TOTP [Mot de passe à usage unique et à durée limitée] et PUSH) |
Pris(e) en charge | Pris(e) en charge | Pris en charge (dès lors que le challenge est évité).
Par exemple, MFA uniquement ou « Mot de passe, code d'accès » pour TOTP. Les notifications push peuvent fonctionner avec la MFA principale puisque que la vérification push est envoyée hors bande. |
|
Non pris(e) en charge |
Non pris(e) en charge |
Non pris(e) en charge |
|
|
Jeton RSA/MFA locale |
Pris(e) en charge |
Pris(e) en charge |
Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code secret ». |
| Pris(e) en charge (mot de passe et MFA uniquement) | Pris(e) en charge (mot de passe + MFA uniquement). | Non pris(e) en charge | |
| Authentification par SMS | Pris(e) en charge | Pris(e) en charge | Pris en charge lorsque la chaîne « SMS » est envoyée. Reportez-vous à la note associée. |
| Symantec VIP | Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code secret ». |
| Pris(e) en charge | Pris(e) en charge | Pris en charge lorsque la chaîne « CALL » est envoyée. Reportez-vous à la note associée. | |
|
|
Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
* RADIUS prend en charge trois méthodes d'authentification :
- Mot de passe + MFA : l'authentification principale se fait à l'aide d'un mot de passe, puis l'utilisateur est invité à choisir des facteurs pour terminer l'authentification.
- MFA uniquement : plutôt qu'un mot de passe, l'utilisateur saisit un code d'accès à usage unique (OTP) ou bien l'une des options suivantes :
EMAIL,SMS,CALL,PUSH(maj/min acceptées). - Mot de passe, code d'accès : le mot de passe est saisi immédiatement, suivi par un code d'accès dans une requête. Ils doivent être dans la même requête, par exemple : «
Abcd1234,879890» ou «Abcd1234,SmS».
Le protocole prend en charge les méthodes d'authentification suivantes :
| Protocole | Prend en charge |
|---|---|
| PAP | Mot de passe et authentification multifacteur, authentification multifacteur, « Mot de passe et code d'accès ». |
| EAP-TTLS | Authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
| EAP-GTC | Mot de passe et authentification multifacteur, authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
Les utilisateurs doivent envoyer la chaîne spécifiée EMAIL/SMS/CALL, qui renvoie initialement un échec. Cela entraîne la génération d'un OTP fourni à l'aide de la méthode spécifiée. L'OTP fourni pourra alors être utilisé dans le cadre de l'authentification.
EAP-TTLS ne prend pas en charge l'inscription
L'authentification échouera de manière inattendue si EAP-TTLS est activé, si Okta Verify ou Téléphone est indiqué comme politique d'inscription requise et si l'utilisateur n'est pas inscrit sur ce facteur.
U2F Security et Windows Hello ne sont pas compatible avec les implementations activées avec RADIUS. Consultez Applications RADIUS dans Okta et À propos de l'authentification multifacteur.
Authentification sans mot de passe
Les mots de passe constituent le mécanisme d'authentification principal dans le cadre de l'authentification RADIUS. L'authentification RADIUS traditionnelle ne peut pas être effectuée avec des utilisateurs sans mot de passe. RADIUS peut utiliser d'autres facteurs pour l'authentification lorsque la propriété de configuration de l'application Okta réalise l'authentification principale n'est pas cochée. Pour en savoir plus, voir 2FA uniquement (Mode sans mot de passe) dans Applications RADIUS dans Okta.
Versions, clients et fonctionnalités pris en charge
Versions
| Version du logiciel | Rôle |
| Windows Server 2016 Standard | Contrôleur de domaine Windows |
| Windows Server 2016, 2019 Standard | Serveur d'applications Windows |
| Cisco Firepower Thread Defense 6.4.0.9 | NGFW Firewall |
| Cisco Firepower Virtual Management Center | Gestion des NGFW |
L'agent Okta RADIUS a été testé sur les versions suivantes de Linux :
- Red Hat Enterprise Linux version 8.0, 8.3 et 9.0
- CentOS 7.6
- Ubuntu 18.04.4 et LTS 20.04.1
Clients
| Version du logiciel | Rôle |
|
Windows 10 |
Client de bureau |
|
Cisco Anyconnect Secure Mobility Client 4.6.01103 |
Agent VPN distant Windows |
Workflow classique avec l'intégration Active Directory
|
Tâche |
Description |
|---|---|
| Télécharger l'agent RADIUS |
Dans l‘Admin Console, allez à . Téléchargez l'agent RADIUS Okta approprié à votre environnement. |
|
Installer l'agent |
Installer l'agent du serveur RADIUS Okta sur Windows Installer l'agent RADIUS Okta sur Linux Voir Bonnes pratiques relatives au déploiement de l'agent Okta RADIUS Server. |
| Facultatif. Télécharger, installer et configurer l'agent Active Directory (AD) Okta |
Dans l‘Admin Console, allez à . Téléchargez le programme d'installation de l'agent Okta AD.Installez et configurez l'agent Okta AD. Voir Débuter avec l'intégration Active Directory. Remarque :
L'utilisateur Active Directory choisi pour ce processus a uniquement besoin des capacités d'utilisateur de domaine. Okta recommande d'installer l'agent avec des privilèges d'administrateur sur un serveur sur lequel les outils Windows AD RSAT sont installés. |
| Configurer l'application RADIUS dans Okta | Configurez l'application Cisco Advanced Server Access - RADIUS. Remarque :
Cette intégration fonctionne avec toutes les applications RADIUS. |
| Configurer Cisco Firewall Management Center | Configurez la gestion des pare-feu pour RADIUS. |
| Tester l'intégration Cisco Firepower Management Center | Testez l'agent. |