Duo与Cisco ASA或Firepower VPN集成,实现双因素认证

更新时间

Duo可以为您的Cisco ASA或Firepower VPN添加双因素认证,增强AnyConnect或Cisco Secure Client登录的安全性。本文将介绍Duo如何通过多种方式为ASA和Firepower VPN连接添加双因素认证,帮助您选择最适合您组织的配置。

Cisco ASA与AnyConnect或Cisco Secure Client

ASA SSL VPN使用Duo单点登录

选择此选项可为使用云托管身份提供者的ASA用户提供最佳体验。通过SAML配置,用户在使用Cisco AnyConnect或Cisco Secure Client进行VPN连接时,会体验到交互式的Duo通用提示。该提示允许用户查看所有可用的认证设备选项,选择使用的设备,自助注册新的或替代的双因素认证设备,并管理自己的注册设备。

Duo WebAuthn认证器(如Touch ID和安全密钥)在近期的ASA和AnyConnect或Cisco Secure Client软件版本中得到了支持。此配置还允许管理员洞悉连接VPN的设备,并在使用AnyConnect或Cisco Secure Client时应用Duo策略,如Duo桌面要求或不同网络的访问策略(根据IP地址确定的授权网络、匿名网络或地理位置)。

主要认证和Duo MFA发生在身份提供者,而不是在ASA本身。

部署要求:

  • 配置了认证源的Duo单点登录
  • Cisco ASA版本9.7.1.24、9.8.2.28、9.9.2.1或更高版本
  • 使用WebAuthn认证器,支持ASA固件9.17或更高版本,并启用外部浏览器支持
  • AnyConnect 4.6或更高版本或Cisco Secure Client用于正常认证
  • 受信任的端点证书验证需要AnyConnect版本4.7.04056(Windows)、4.8.00175(macOS)或4.8.00807(iOS)或更高版本
  • 对于双因素认证和Duo无密码支持,AnyConnect需要4.10.04065或更高版本

网络架构:

  1. ASA重定向到Duo单点登录(SSO)进行SAML认证。
  2. 用户使用主要的Active Directory凭据登录。
  3. Duo SSO通过本地Duo认证代理对Active Directory进行主要认证(在此示例中)。
  4. Duo单点登录开始进行双因素认证。
  5. 用户完成Duo双因素认证。
  6. Duo单点登录将用户重定向回ASA,并返回成功的响应消息。

ASA SSL VPN使用Duo访问网关

Duo访问网关于2023年10月26日达到支持的最后一天。此日期后,Duo支持团队仅能协助将现有的Duo访问网关应用程序迁移到Duo单点登录。有关更多详细信息,请参见Duo访问网关终止服务指南。

建议选择ASA SSL VPN使用Duo单点登录,而不是Duo访问网关。

部署要求:

  • Duo访问网关或带有Duo MFA的第三方SAML IdP(AD FS、Azure AD等)
  • Cisco ASA版本9.7.1.24、9.8.2.28、9.9.2.1或更高版本
  • AnyConnect 4.6或更高版本或Cisco Secure Client用于正常认证

网络架构:

  1. AnyConnect或Cisco Secure Client通过Duo访问网关使用本地目录执行主要认证(示例)。
  2. Duo访问网关通过TCP端口443与Duo Security建立连接以开始双因素认证。
  3. 用户完成Duo双因素认证。
  4. Duo接收认证响应,并将该信息返回给Duo访问网关。
  5. Duo访问网关返回访问的SAML令牌。
  6. Cisco ASA VPN访问被授予。

ASA SSL VPN使用RADIUS

选择此选项适用于不满足SAML单点登录最低产品版本要求的ASA和AnyConnect或Cisco Secure Client部署。通过此配置,用户在提交主要凭据后,会自动收到推送或电话进行多因素认证。用户可以在密码输入后追加不同的因素选择。

此配置支持Duo策略,适用于不同网络(根据IP地址确定的授权网络、匿名网络或地理位置),并支持可配置的故障模式,以防认证代理服务器无法联系Duo服务。

部署要求:

  • Duo认证代理
  • Cisco ASA固件版本8.3或更高版本

网络架构:

  1. Cisco ASA向Duo认证代理发送认证请求。
  2. 使用Active Directory或RADIUS进行主要认证。
  3. Duo认证代理通过TCP端口443与Duo Security建立连接。
  4. 通过Duo Security的服务进行二次认证。
  5. Duo认证代理接收认证响应。
  6. Cisco ASA VPN访问被授予。

Cisco Firepower与AnyConnect或Cisco Secure Client

FTD VPN使用Duo单点登录

选择此选项可为使用云托管身份提供者的FTD用户提供最佳体验。通过SAML配置,用户在使用AnyConnect或Cisco Secure Client进行VPN连接时,会体验到交互式的Duo通用提示。该提示允许用户查看所有可用的认证设备选项,选择使用的设备,自助注册新的或替代的双因素认证设备,并管理自己的注册设备。

Duo WebAuthn认证器(如Touch ID和安全密钥)在近期的Firepower和AnyConnect或Cisco Secure Client软件版本中得到了支持。此配置还允许管理员洞悉连接VPN的设备,并在使用AnyConnect或Cisco Secure Client时应用Duo策略,如Duo桌面要求或不同网络的访问策略(根据IP地址确定的授权网络、匿名网络或地理位置)。

主要认证和Duo MFA发生在身份提供者,而不是在FTD本身。

部署要求:

  • 配置了认证源的Duo单点登录
  • Cisco FTD版本6.7.0或更高版本,需由FMC版本6.7.0或更高版本管理
  • 使用WebAuthn认证器,支持Firepower固件7.1.0或更高版本,并启用外部浏览器支持
  • AnyConnect 4.6或更高版本或Cisco Secure Client用于正常认证
  • 受信任的端点证书验证需要AnyConnect版本4.7.04056(Windows)、4.8.00175(macOS)或4.8.00807(iOS)或更高版本
  • 对于双因素认证和Duo无密码支持,AnyConnect需要4.10.04065或更高版本

网络架构:

  1. FTD重定向到Duo单点登录(SSO)进行SAML认证。
  2. 用户使用主要的Active Directory凭据登录。

通过以上配置,Duo为Cisco ASA和Firepower VPN提供了强大的双因素认证解决方案,提升了企业的安全性和用户体验。选择适合您组织的配置,确保网络环境的安全与稳定。

更新时间

VPN常见问题