Cisco FMC

Okta 공식문서

주요 사항

RADIUS 구성을 위해서는 별도의 서버가 필요합니다.

1. Okta-Cisco FMC 기본 아키텍처

일반적으로 Cisco FMC에서는 Cisco AnyConnect Secure Mobility 클라이언트를 사용합니다.
사용자가 클라이언트를 통해서 로그인할 경우, Cisco VPN에서 해당 정보를 RADIUS Server로 전달하면 서버에 설치한 Okta RADIUS Server Agent를 통해서 Okta로 해당 정보를 전달하여 최종 인증이 완료됩니다.
RADIUS Server Agent에 대한 자세한 설명은 해당 페이지에서 확인할 수 있습니다.
(옵션) 사용자의 정보를 Active Directory에서 가져오는 경우, Active Directory에 Okta AD Agent를 설치하여 AD를 통해 사용자 정보를 확인할 수 있습니다.

2. RADIUS Server Agent 설치

경로: Settings ➡ Downloads ➡ Okta RADIUS Server Agent Download Latest

Super Admin 권한이 있는 계정으로 로그인하여 Okta RADIUS Agent 요청에 대한 허가를 허용합니다.

설치가 완료되면 서버에서 아래와 같이 "Okta RADIUS Agent" 서비스가 동작 됩니다.

서버 방화벽 또는 서버 앞의 보안 솔루션에서 아래 포트 오픈이 필요합니다.
- 서버 기준 (Outbound): TCP / 80, 443 (Okta Identity Cloud와 수신)
- 서버 기준 (Inbound): UDP / 1812 (Cisco RADIUS Agent와 수신)

Source

Destination

Port/Protocol

Description

Okta RADIUS Agent

Okta Identity Cloud

TCP/443

HTTP

트래픽을 인증하고 구성

Client Gateway

Okta RADIUS Agent

UDP/1812 RADIUS (Default, you can change this when you install and configure the RADIUS app)

게이트웨이(client)와 RADIUS agent(server)사이의 RADIUS 트래픽

3. [Okta] Cisco ASA VPN(RADIUS) 앱 생성

경로: Application ➡ Application ➡ Cisco ASA VPN(RADIUS) 클릭 ➡ App integration

Application label에 앱 이름을 설정할 수 있습니다.

UDP Port: 앱과 클라이언트 게이트웨이의 UDP 포트 값이 일치해야합니다.
Secret Key: Cisco RADIUS 통신의 암호화 패스워드이며, Cisco RADIUS 설정에서 동일한 문자로 설정할 "임의의 문자"입니다.
사용자 비밀번호를 암호화하는데 사용할 비밀키를 입력합니다. 앱과 클라이언트 게이트웨이의 비밀 키가 일치해야합니다.

4. [Okta] 앱 할당

사용자 또는 그룹에 앱을 할당할 수 있습니다.
해당 어플리케이션은 사용자 대시보드에서 확인이 불가능합니다.

5. [Cisco FMC] Cisco FMC 구성

경로: Object ➡ Object Management ➡ RADIUS Server Group ➡ Add RADIUS Server Group

RADIUS Server Group에 대한 이름을 작성한 뒤, RADIUS Servers 섹션에서 "+"버튼을 클릭합니다.

IP Address/Hostname: Okta RADIUS Agent가 설치된 서버 IP 또는 도메인을 입력합니다.
Authentication Port: Okta에서 앱을 구성할때 설정한 UDP Port 번호를 입력합니다.
Key: Okta에서 앱을 구성할때 설정한 Secret Key를 입력합니다.
Confirm Key: 위에 Key값과 동일하게 한 번 더 입력합니다.
Conncect using: 외부 통신을 위한 라우팅 또는 인터페이스 설정 옵션입니다.

설정 옵션이 완료되면 아래와 같이 RADIUS 서버 정보가 확인되며 "Save"버튼을 클릭합니다.

RADIUS 서버 그룹에 생성한 1개의 RADIUS 서버를 확인할 수 있습니다.

경로: Device ➡ VPN ➡ Remote Access

Anyconnect에서 사용하는 방화벽을 나타내는 행에서 연필 아이콘을 클릭합니다.

Connection Profile 신규 생성합니다.

Connection Profile: 프로파일 이름을 설정합니다.
Group Policy: 그룹 정책을 설정합니다.
Address Pools: 할당 받을 IP 정보를 입력합니다.

AAA 탭에서 인증 정보 설정합니다.

Authentication Method: "AAA Only"로 선택합니다.
Authentication Server: Okta용으로 생성된 RADIUS 서버 그룹을 선택합니다.

업데이트 된 장치를 선택하고 "Deploy"를 클릭합니다.

6. 최종 사용자 경험

Cisco VPN Client 사용자 정보 입력합니다.

Okta Verify를 통해서 PIN코드 또는 푸쉬 방식으로 인증합니다.

인증이 완료되면 아래와 같이 연결이 완료된 화면을 볼 수 있습니다.

7. [Okta] 인증 옵션 설정

1, 2번 옵션 활성화 시 인증 선택 사항으로 리다이렉션 되지 않고 자동으로 Okta Verify Push로 적용 됩니다.

경로: Application ➡ Application ➡ Cisco FMC VPN(RADIUS) ➡ Sign on 탭에서 Authentication 설정

Accept password and security token in the same login request
- 사용자는 비밀번호 끝에 쉼표를 추가한 다음 보안 토큰이나 두 번째 요소 키워드(예: 푸시, SMS, 전화 또는 이메일)를 추가해야 합니다.
Permit Automatic Push for Okta Verify Enrolled Users
- 이 기능은 Okta Verify이 등록된 사용자에게 자동으로 Okta Verify MFA 챌린지를 푸시합니다.
- 이 설정을 사용하려면 "Accept password and security token in the same login request"을 활성화해야 합니다.
Single-line MFA prompt
- RADIUS 클라이언트에 표시된 MFA 프롬프트 텍스트에서 줄 바꿈을 제거합니다.
- 사용자는 요소를 선택하지 않고 토큰을 입력할 수 있습니다.
Enable inline MFA enrollment
- 사용자가 RADIUS 클라이언트를 통해 MFA에 등록할 수 있습니다.
Send Access-Challenge for MFA-only logins
- 사용자가 SMS, 전화통화 또는 이메일을 사용하여 MFA 전용 요청을 시작하는 경우, Access-Challege 응답이 전송됩니다.
- 선택을 취소하면 액세스 거부 응답이 전송됩니다.
Enable UPN or SAM Account Name Login
- 사용자가 AD UPN 또는 AD SAM 계정 이름을 사용하여 로그인할 수 있습니다.
- AD에서 사용자 계정을 확인할 경우, 해당 옵션을 사용할 수 있습니다.

PreviousVPN 연동 가이드 NextTailscale VPN

Last updated 1 year ago

hashtag1. Okta-Cisco FMC 기본 아키텍처

hashtag2. RADIUS Server Agent 설치

hashtag3. [Okta] Cisco ASA VPN(RADIUS) 앱 생성

hashtag4. [Okta] 앱 할당

hashtag5. [Cisco FMC] Cisco FMC 구성

hashtag6. 최종 사용자 경험

hashtag7. [Okta] 인증 옵션 설정