Presentación del webinar Community Live

Con la colaboración de Fernando Jiménez y Alex Hidalgo.

El Lenguaje de Marcado de Afirmación de Seguridad (SAML) es un método de autenticación basado en XML que se ha vuelto más popular debido a su capacidad para proporcionar capacidades de inicio de sesión único o Single Sign-On (SSO) y, por lo general, depende de proveedores de identidad en la nube para el intercambio de datos de autenticación. En esta sesión, los ingenieros de TAC revisarán la configuración y explicarán cómo solucionar los problemas de autenticación SAML más comunes para Secure Client conectado a Cisco Secure Firewall. Al final de la sesión, los asistentes podrán identificar problemas de autenticación SAML, qué comandos y depuraciones ejecutar y cómo solucionar eficazmente esos problemas.

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una nueva pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&R del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Discusión".

Lista de Preguntas y Respuestas Q&A

• Pregunta: Buen día! Aprovecho a hacer una consulta que estoy analizando actualmente y hace referencia AnyConnect. Para migrar a Cisco Secure Client desde Anyconnect 4,x usando varios módulos (NAM, Posture y SAML), ¿Cuál es la best practice? Hacer dir...
• Pregunta: SSO tiene desventajas? -Gustavo M. (min.11)
• Pregunta: Para la integración de SAML, el licencimiento de SecureClient es PREMIER, para DUO no importa el nivel de licenciamiento.. actualmente tengo MFA.. ¿? -Israel R. (min.17)
• Pregunta: Vía FDM también se puede realizar la configuración? -Julio M. (min.39)
• Pregunta: Cómo obtienes el header para agregar el certificado en FMC? Es variable? -Sonia Mercedes P. (min.40)
• Pregunta: La configuración es soportada en CDO...? -Israel R. (min.42)
• Pregunta: SSO está soportado en CDO? -Israel R. (min.51)
• Pregunta: Existe una página web donde pueda revisar el certificado? -Javier A. (min.77)
• Pregunta: Toda la recuperación de errores es manual, apoyado con debug? -Gustavo M. (min.85)
• Pregunta: Todo este procedimiento hace que la comunicación sea mas lenta? ? -Gustavo M. (min.96)
• Pregunta: Existe alguna manera de integrarlo con Python? -Javier A. (min.101)
• Pregunta: Tengo una implementación en Cisco ASA, usando SAML, para AnyConnect Client, y cada vez que actualizo el Cisco ASA de versión, el Client comienza a dar el error "single sign-on cookie cisco asa", y debo quitar por CLI el IDP y volverlo a con...

Pregunta: Buen día! Aprovecho a hacer una consulta que estoy analizando actualmente y hace referencia AnyConnect. Para migrar a Cisco Secure Client desde Anyconnect 4,x usando varios módulos (NAM, Posture y SAML), ¿Cuál es la best practice? Hacer directamente una actualización del software o desinstalar AC e instalar CSC? - Matías O. (min.8)

Respuesta (Ulises H.): Buenos días Matías! No es necesario desinstalar AnyConnect para actualizar Secure Client, puedes actualizar la aplicación directamente usando tu FireWall por ejemplo (web deployment).

Pregunta: SSO tiene desventajas? - Gustavo M. (min.11)

Respuesta (Ulises H.): No hay una desventaja como tal, depende más del diseño que tengas para tu red, en caso de usar SAML, como se mostrará más adelante, necesitas ciertos parámetros a tomar en cuenta para su correcto funcionamiento, son más "ciertos requisitos" que desventajas.

Pregunta: Para la integración de SAML, el licencimiento de SecureClient es PREMIER, para DUO no importa el nivel de licenciamiento.. actualmente tengo MFA.. ¿? - Israel R. (min.17)

Respuesta (Ulises H.): Para usar SAML, se requiere la licencia AnyConnect Apex, la cual puede ser comparada con la licencia AnyConnect Premium (actualmente descontinuada).

Pregunta: Vía FDM también se puede realizar la configuración? - Julio M. (min.39)

Respuesta (Ulises H.): Es correcto; sin embargo, el único IdP soportado es DUO en versiones 7.2 y menores, en la versión 7.3 ya se puede utilizar múltiples IdPs.

Pregunta: Cómo obtienes el header para agregar el certificado en FMC? Es variable? - Sonia Mercedes P. (min.40)

Respuesta (Ulises H.): El header es el mismo para cualquier certificado en formato base64, ese "BEGIN/END CERTIFICATE" es el header requerido.

Pregunta: La configuración es soportada en CDO...? - Israel R. (min.42)

Respuesta (Ulises H.): Desafortunadamente, SAML no está soportado para autenticar usuarios de Acceso Remoto (RAVPN) en CDO.

Pregunta: SSO está soportado en CDO? - Israel R. (min.51)

Respuesta (Ulises H.): Desafortunadamente, SAML no está soportado para autenticar usuarios de Acceso Remoto (RAVPN) en CDO.

Pregunta: Existe una página web donde pueda revisar el certificado? - Javier A. (min.77)

Respuesta (Ulises H.): Puedes copiar el certificado del metadata de tu IdP, guardarlo en un archivo de texto en tu computadora y guardarlo con la extensión: ".cer" o bien ".crt". Una vez hecho ésto, se puede abrir el archivo con el programa respectivo de cada sistema operativo para que puedas analizar el certificado. De igual forma hay diferentes páginas externas como "SSL Shopper" que tiene múltiples herramientas para poder analizar los certificados.

Pregunta: Toda la recuperación de errores es manual, apoyado con debug? - Gustavo M. (min.85)

Respuesta (Ulises H.): Es correcto, el troubleshooting que se realiza para determinar un problema en este proceso de autenticación es manual, se apoya con debugs principalmente.

Respuesta (Jimena S.): Esta duda fue respondida en vivo también por los expertos al final de la sesión. Gracias!

Pregunta: Todo este procedimiento hace que la comunicación sea mas lenta?  ? - Gustavo M. (min.96)

Respuesta (Ulises H.): El proceso sí toma un poco más de tiempo que una autenticación normal, debido a los pasos que deben completarse antes de tener una autenticación exitosa.

Pregunta: Existe alguna manera de integrarlo con Python? - Javier A. (min.101)

Respuesta (Alex H.): Gracias por la pregunta Javier. Aquí más detalles de lo que mencionamos en vivo: https://developer.cisco.com/docs/ftd-api-reference/latest/#!addsamlserver/description 

Respuesta (Jimena S.): Esta duda fue respondida en vivo también por los expertos al final de la sesión. Gracias!

Pregunta: Tengo una implementación en Cisco ASA, usando SAML, para AnyConnect Client, y cada vez que actualizo el Cisco ASA de versión, el Client comienza a dar el error "single sign-on cookie cisco asa", y debo quitar por CLI el IDP y volverlo a configurar en el perfil. Es éste un comportamiento esperado? - Gustavo P. (min.104)

Respuesta (Jimena S.): Esta duda fue respondida en vivo por los expertos al final de la sesión. Mil gracias!

Nuestros expertos

Fernando Jiménez es un Ingeniero en Telecomunicaciones y Sistemas Electrónicos egresado por el Tecnológico de Monterrey Campus Ciudad de México. Su carrera en Cisco empezó en 2016 como Ingeniero de TAC para el equipo de LAN Switching donde obtuvo experiencia trabajando con plataformas de la familia Catalyst. En 2019 empezó a trabajar con el equipo de VPN y es experto en tecnologías como Site-to-site VPN, Remote Access VPN, GETVPN, DMVPN y FLEXVPN convirtiéndose en punto de escalación en la región de América. Asiste a los clientes con resolución de problemas complejos, recreaciones de los problemas y brindando mejores prácticas, además de crear contenido referente a VPN. Fernando cuenta con las certificaciones CCNA, DevNet Associate, CCNP Enterprise y CCS-SVPN.

Alex Hidalgo es ingeniero de consultoría técnica para el equipo de VPN dentro de la organización de TAC. Actualmente, dentro del equipo, se desempeña como experto en la materia de AnyConnect y Cisco Secure Client siendo principal punto de escalación en estos temas. Alex es ingeniero en telecomunicaciones y sistemas electrónicos egresado del Tecnológico de Monterrey Campus Ciudad de México y se unió al equipo de VPN en el 2019 en donde se ha convertido en experto de la tecnología y especialista en VPN de acceso remoto. Adicional a esto, su disposición a crear contenido para consumo público, lo hizo acreedor al reconocimiento de TAC Hero en Desarrollo de Contenido.