購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2209
閲覧回数
9
いいね!
25
返信

[CTC テクノロジー共催] Ask Me Anything フォーラム 2025 - Secure firewall ASA

Eri Mizuno
Community Manager
Community Manager

‎2025-01-28 08:31 PM ‎2025-02-28 05:24 PM 更新

Ask Me Anything フォーラム 2025/2/3(月)~ 2025/2/28(金)

2025 CTCT AMA Main banner double logos.png


Cisco Secure firewall ASA をお使いの方、導入をご検討の方、サポートに従事されている方、お困りのことはありませんか?Ask Me Anything フォーラムイベントでは、選りすぐりのエキスパートがみなさまのご質問にお答えします!

【開催概要】 
1. 開催(質問受付)期間:2025 年 2 月 3 日(月)~2025 年 2 月 28 日(金)
2, 対象のテクノロジー領域:Cisco Secure firewall ASA
3. 対象範囲:上記の領域に関するトラブルシューティング、メンテナンス、設定、Q&A
4. 注意事項:設計支援やシステム/ネットワーク構築に関するご質問は対象外です。

                   Ask Me Anything イベントページへ戻る

 

右下にある「返信」ボタンをクリックして質問を開始してください

Reply.png↑こちらは画像です。実際のボタンは右下にあります。2/3 より有効になります。

 

共催企業紹介

EriMizuno_1-1733138123667.png  CTC テクノロジー株式会社について

CTC テクノロジーは、CTC グループとして IT ライフサイクルを通して一貫したサービスを提供しています。システムの導入に携わる「システム環境構築サービス」、稼働開始後の運用保守をサポートする「製品保守サービス」、「マネージドサービス」。システム全体の問題を解決できるエンジニアを育成する「教育・研修サービス」。これらを総合的に提供することで、ビジネスパートナーとしてお客様のIT活用をサポートします。詳細は https://www.ctct.co.jp/ をご覧ください。

 

エキスパート紹介

 セキュリティ製品(Secure firewall ASA)

EriMizuno_6-1733138253109.png遠藤 晴彦(Haruhiko Endo)
CTC テクノロジー株式会社 テクニカルサポート本部 テクニカルサポート第3部
ルータ・スイッチ製品担当及び、セキュリティ製品担当として製品の評価・検証・技術サポート業務に従事。2006 年に入社して以降、一貫して Cisco 社製品のテクニカルサポートを行っている。

EriMizuno_7-1733138301490.png種谷 昌洋(Masahiro Taneya)
CTC テクノロジー株式会社 テクニカルサポート本部 テクニカルサポート第3部
ルータ・スイッチ製品担当及びセキュリティ製品担当として製品の評価・検証・技術サポート業務に従事。前職にて Cisco 製品の運用保守を数年経験後 2018 年入社し、Cisco 製品のテクニカルサポートを行っている。
 
 



質問をするには Cisco.com ユーザ ID でのログインが必要です。Cisco.com ユーザ ID の登録や設定などについては シスコ コミュニティのメンバーとして登録するには?  ご質問を投稿するには 質問をする  を参照してください

ご質問が短期間に集中した場合など、タイムリーな回答が難しくなる場合があります。また、ご質問の内容に対しシスココミュニティ上で回答を公開するのが難しいと判断した場合、シスコ TAC サービスリクエストへお問い合わせいただくようご案内する場合があります。恐れ入りますがあらかじめご了承ください。

For more information, visit the セキュリティデータセンター、 ネットワークインフラストラクチャ  section.
If you have any questions or technical issues with Cisco products, click here for additional information at no charge. Visit the シスコ コミュニティ page.

ラベル:
25件の返信25

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
GonDad04010に対する応答

‎2025-02-26 05:07 PM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
GonDad04010に対する応答

‎2025-02-27 03:05 PM

ご質問に回答させて頂きます。

ご質問ですが公開されたドキュメントの範囲で確認に至りませんでした。
過去事例として、Secure Client(Anyconnect)とDARTのバージョンが異なっていることによってDARTの取得が失敗しているケースがある為、原則的にSecure Client(Anyconnect)のバージョンと一致した物をご利用ください。

なお、以下の様なSecure Client(Anyconnect)のイメージファイルをお持ちでしたら、
こちらのイメージファイルを展開して中からDARTのインストーラーを取得する事も可能でございます。
(展開用ファイルが無い事が前提でしたらご容赦下さい)
xxx-predeploy-k9.zip--->親フォルダ直下
xxx-webdeploy-k9.pkg--->binaries配下


以上、よろしくお願いいたします。

0 いいね!

5rlg1
Level 1
Level 1

‎2025-02-27 02:28 PM

Secure FirewallでSAML認証の設定を行う場合は、以下のサイトを参考にすればよいかと考えております。
https://www.cisco.com/c/ja_jp/support/docs/security/anyconnect-secure-mobility-client/215935-configure-asa-anyconnect-vpn-with-micros.html

このケースでは、1台構成の場合のため、仮に4台など複数台構成だった場合の設定が読み取れないため
ご教示いただけないでしょうか?

構成例)
1.複数台を外部のDNSサービスによりロードバランスしている
2.Secure FirewallのVPNURL https://aaa.example.com
3.Tunnel-group bbbtunnel
4.Secure Firewall側の証明書には、SANの値を設定し4台を識別できるよう。
  a01.example.com a02.example.com a03.example.com a04.example.comを設定しそれぞれにインストールしている。

特にEntraID側に以下の項目を設定する必要がありますが、上記のような条件だった場合にEntraID側では、4台分の設定をそれぞれ
する必要があるのか。上記案内サイトにあったように1台のみの場合と同様に一つだけ設定しておけばよいのでしょうか。
a. Identifier (Entity ID) - https://<VPN URL>/saml/sp/metadata/<TUNNEL-GROUP NAME>
b. Reply URL (Assertion Consumer Service URL) - https://<VPN URL>/+CSCOE+/saml/sp/acs?tgname=<TUNNEL-GROUP NAME>

仮にEntraID側は1つだけ設定すれば良い場合は、EntraID側でSecure Firewall側に設定する以下の値については、4台ともにすべて同じものを設定すればよいのでしょうか?
Azure AD Identifier
ログインURL
Logout URL

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-27 03:06 PM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

5rlg1
Level 1
Level 1
CTCテクノロジー株式会社 テクニカルサポート第3部に対する応答

‎2025-02-27 04:25 PM

ご確認よろしくお願いいたします。同じ内容で追加で確認させていただきたいのですが、
以下のドキュメントにある設定するVPNURLのところの値について先ほど質問した内容と合せてご教示ください。
Microsoft Azure MFA で SAML を利用した ASA AnyConnect VPN の設定 - Cisco

Microsoftが公開しているドキュメントでは、以下の通り識別子と応答URLの項目については、シスコドキュメントでは
VPNURLと記載されている箇所が、こちらのドキュメントではそれぞれ異なっております。
つまりは、EntraID側で設定すべき値について教えていただけないでしょうか?
https://learn.microsoft.com/ja-jp/entra/identity/saas-apps/cisco-secure-firewall-secure-client

識別子・・・EntaraIDに対してアプリケーションを識別する一意のID
 https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>
応答URL・・・アプリケーションが認証トークンを受け取る場所
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name> 

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-03-05 02:50 PM

お時間を頂き、申し訳ございませんでした。
頂いたご質問に回答させて頂きます。

外部 DNS サービスを利用したロードバランスによる、複数台の Secure Firewall 構成における、
SAML 認証の設定方法について、残念ながら、ご案内できる情報がございませんでした。
頂いたご質問は、お客様の環境に依存した設定となりますため、
一般的なご回答を差し上げることが難しいものとなります。
ご希望に沿えず、大変申し訳ございません。

なお、Identifie (識別子) と Reply URL (応答 URL )が、
Cisco 社と Microsoft 社のドキュメント間で、以下のように異なる点についてです。

< Identifie >
Cisco = https://<VPN URL>/saml/sp/metadata/<TUNNEL-GROUP NAME>
Microsoft = https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>
< Reply URL >
Cisco = https://<VPN URL>/+CSCOE+/saml/sp/acs?tgname=<TUNNEL-GROUP NAME>
Microsoft = https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

"<VPN URL>"や"<SUBDOMAIN>.YourCiscoServer.com"と表記は異なっておりますが、
こちらは、 Secure Client の接続先である、Secure firewall ASA の IP や FQDN を
指定するものとお考え頂いてよろしいかと存じます。

大変恐縮ではございますが、本回答をもちまして、本 Ask Me Anything は
終了とさせて頂きます。
この度は、Ask Me Anything にお問合せ頂き、ありがとうございました。
今後とも、よろしくお願いいたします。

0 いいね!
Customers Also Viewed These Support Documents