Configurer Cisco ASA IKEv2 VPN

Okta vous permet de gérer les autorisations et les accès aux applications et ressources locales à l'aide du protocole RADIUS et de l'agent Okta RADIUS. Grâce à l'agent Okta RADIUS Server, les organisation ont la possibilité de déléguer l'authentification à Okta. Cette page explique comment configurer le VPN Cisco ASA IKEV2 pour utiliser EAP-TTLS et l'agent Okta RADIUS Server.

Si vous utilisez la version 4.4 d'AnyConnect ou une version ultérieure et la version 9.7.1 d'ASA ou une version ultérieure, invisagez d'utiliser SAML.

Avant de commencer

Respectez les exigences suivantes en matière de connectivité réseau avant d'installer l'agent RADIUS Okta :

Source	Destination	Port/Protocole	Description
Agent RADIUS Okta	Okta Identity Cloud	TCP/443 HTTP	Configuration et trafic d'authentification.
Passerelle client	Agent RADIUSOkta	RADIUS UDP/1812 (il s'agit de la valeur par défaut, elle peut être modifiée lors de l'installation et de la configuration de l'application RADIUS)	Trafic RADIUS entre la passerelle (le client) et l'agent RADIUS (le serveur).

Facteurs pris en charge

La taille du message de vérification peut être trop importante pour l'invite RADIUS si vous laissez les utilisateurs inscrire trop de facteurs. Okta vous recommande de ne pas inscrire plus de huit facteurs à la fois.

Okta prend en charge les facteurs suivants pour les applications RADIUS :

Facteur de MFA	Protocole d'authentification par mot de passe (PAP)	Protocole d'authentification extensible - Carte à jeton générique (EAP-GTC)	Protocole d'authentification extensible - Sécurité de la couche transport tunnelisée (EAP-TTLS)*
Authentification TOTP (Mot de passe à usage unique et à durée limitée) personnalisée	Pris(e) en charge	Pris(e) en charge	Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ».
Duo (Push, SMS et code d'accès uniquement)	Pris(e) en charge	Pris(e) en charge	Code d'accès Duo seulement.
E-mail	Pris(e) en charge	Pris(e) en charge	Pris en charge lorsque la chaîne « E-MAIL » est initialement envoyée. Reportez-vous à la note associée.
Google Authenticator	Pris(e) en charge	Pris(e) en charge	Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ».
Okta Verify (TOTP [Mot de passe à usage unique et à durée limitée] et PUSH)	Pris(e) en charge	Pris(e) en charge	Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, MFA » pour TOTP (Mot de passe à usage unique et à durée limitée). Les notifications push peuvent fonctionner avec la MFA principale puisque que la vérification push est envoyée hors bande.
Okta Verify (vérification par nombre)	Non pris(e) en charge	Non pris(e) en charge	Non pris(e) en charge
Jeton RSA/MFA locale	Pris(e) en charge	Pris(e) en charge	Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code secret ».
Question de sécurité	Pris(e) en charge (mot de passe et MFA uniquement)	Pris(e) en charge (mot de passe + MFA uniquement).	Non pris(e) en charge
Authentification par SMS	Pris(e) en charge	Pris(e) en charge	Pris en charge lorsque la chaîne « SMS » est envoyée. Reportez-vous à la note associée.
Symantec VIP	Pris(e) en charge	Pris(e) en charge	Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code secret ».
Appel vocal	Pris(e) en charge	Pris(e) en charge	Pris en charge lorsque la chaîne « CALL » est envoyée. Reportez-vous à la note associée.
YubiKey	Pris(e) en charge	Pris(e) en charge	Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ».

* RADIUS prend en charge trois méthodes d'authentification :

Mot de passe + MFA : l'authentification principale se fait à l'aide d'un mot de passe, puis l'utilisateur est invité à choisir des facteurs pour terminer l'authentification.
MFA uniquement : plutôt qu'un mot de passe, l'utilisateur saisit un code d'accès à usage unique (un OTP) ou bien « E- MAIL», « SMS », « APPEL» ou « PUSH » (maj/min acceptées).
Mot de passe, code d'accès : le mot de passe est saisi immédiatement, suivi par un code d'accès dans une requête.
Il doit s'agir de la même requête, par exemple : Abcd1234,879890 ou Abcd1234,SmS.

Le protocole prend en charge les méthodes d'authentification suivantes :

Protocole	Prend en charge
PAP	Mot de passe et authentification multifacteur, authentification multifacteur, « Mot de passe et code d'accès ».
EAP-TTLS	Authentification multifacteur uniquement, « Mot de passe et code d'accès ».
EAP-GTC	Mot de passe et authentification multifacteur, authentification multifacteur uniquement, « Mot de passe et code d'accès ».

Les utilisateurs doivent envoyer la chaîne spécifiée EMAIL/SMS/CALL, qui renvoie initialement un échec. Cela entraîne la génération d'un OTP fourni à l'aide de la méthode spécifiée. L'OTP fourni pourra alors être utilisé dans le cadre de l'authentification.

EAP-TTLS ne prend pas en charge l'inscription

L'authentification échouera de manière inattendue si EAP-TTLS est activé, si Okta Verify ou Téléphone est indiqué comme politique d'inscription requise et si l'utilisateur n'est pas inscrit sur ce facteur.

U2F Security et Windows Hello ne sont pas compatible avec les implementations activées avec RADIUS. Consultez Applications RADIUS dans Okta et À propos de l'authentification multifacteur.

Authentification sans mot de passe

Les mots de passe constituent le mécanisme d'authentification principal dans le cadre de l'authentification RADIUS. L'authentification RADIUS traditionnelle ne peut pas être effectuée avec des utilisateurs sans mot de passe. RADIUS peut utiliser d'autres facteurs pour l'authentification lorsque la propriété de configuration de l'application Okta réalise l'authentification principale n'est pas cochée. Pour en savoir plus, voir 2FA uniquement (Mode sans mot de passe) dans Applications RADIUS dans Okta.

Workflow classique

Tâche	Description
Télécharger l'agent RADIUS	Téléchargez l'agent RADIUS Okta depuis la page ParamètresTéléchargements dans votre organisation Okta. Remarque : les agents Windows comme Linux sont présents. Pour les considérations relatives au débit ou à la disponibilité, entre autres, consultez la section Meilleures pratiques relatives au déploiement de l'agent du serveur RADIUS Okta.
Installer l'agent RADIUS Okta.	Installez les agents RADIUS Windows ou Linux, en fonction de votre environnement.
Configurer l'application	Dans votre org Okta, configurez l'application Cisco ASA - RADIUS.
Configurer la passerelle	À l'aide de la console CISCO ASDM, configurez le VPN Cisco ASA pour utiliser l'application Okta RADIUS.
Configurer les paramètres facultatifs	Cisco ASA prend en charge deux paramètres supplémentaires : le signalement de l'IP du client et la réponse de groupes. Configurer les paramètres facultatifs
Configurer le VPN Windows	Sur le client Windows, configurez le VPN Windows.
Ajouter une AC racine	Les clients Windows permet d'éviter les attaques de type « intercepteur » en ajoutant des certificats d'AC de confiance. Sur le client Windows, installez un certificat d'AC racine de confiance.
Test	Testez la nouvelle intégration.

Rubriques liées

Guides de configuration actuels de Cisco ASA et ADSM : https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.htm
Avantages de l'intégration SAML
Installer l'agent Okta RADIUS Server sur Windows
Installer l'agent Okta RADIUS Server sur Linux