購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1272
閲覧回数
5
いいね!
1
コメント

ASA: WebVPN/SAMLの設定変更時の注意点

hidyano
Cisco Employee
Cisco Employee

‎2020-11-13 01:48 PM

はじめに

本ドキュメントは、ASA/AnyConnect で、SAML を使った認証方式の環境でご利用の際に SAML に関する設定(本ドキュメントでは base_url 変更時を紹介)変更が必要になった場合の注意点について紹介したものです。
※ 本動作は、2020年11月12日時点で確認された情報となりますため、今後、この動作かが変わる可能性もございます。
※ 本ドキュメントは、ASA version 9.9(1)4 を元に作成しております。

 

現在の動作について

ASA にて SAML の設定(webvpnの設定)によっては、設定変更だけでは、'show saml metadata <TUNNEL-GROUP名>'で確認できる SAML metadata に反映されないため、設定保存後、再起動が必要となります。
この動作は期待された動作です。

以下の設定を例に base_url の設定を変更をした際の動作について説明します。

webvpn
...snip
 saml idp https://myidp.hdomain.mytaclab.com/xxx/xxx/idp/metadata.php
...snip
  base-url https://192.168.11.100

この設定で、以下のように base_url を変更(例: base_url https://172.16.12.200 に変更)したとします。

asav-a# conf t
asav-a(config)# webvpn
asav-a(config-webvpn)#  saml idp https://myidp.hdomain.mytaclab.com/xxx/xxx/idp/metadata.php
asav-a(config-webvpn-saml-idp)# base-url https://172.16.12.200

CLI で base_url を変更後、'show saml metadata <TUNNEL-GROUP名>'で確認をしても変更した内容が反映されず、設定変更前の base_url (以下の例では、https://192.168.11.100)のままであることが確認できます。

asav-a(config-webvpn-saml-idp)# show saml metadata AC-SAML
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://192.168.11.100/saml/sp/metadata/AC-SAML" xmlns="urn:oasis:names:tc:SAML:2.0:metadata"> 
...snip
<AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://192.168.11.100/+CSCOE+/saml/sp/acs?tgname=AC-SAML" />
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://192.168.11.100/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://192.168.11.100/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
</EntityDescriptor>

この状況で、'write memory'後、reload を実施すると設定は反映されます。

 

設定変更後に必要な作業

SAML関連の設定変更後に設定を反映させるためには、以下の2つの方法があります。

  1. 設定を保存した後に、機器の再起動(reload)を実施する
  2. SAML を利用している tunnel-group の設定を一度削除し、再度、tunnel-group の設定をする

※ 2) に関しては、機器の再起動が不要となりますが、tunnel-group を一度削除するため、VPN の接続ができない状況になりますのでご注意ください。
※ 2) で設定が反映されない場合は、1) の機器の再起動を実施してください。

 

参考

この動作については、Enhancement として以下の ID にて登録されております。
※ 本ドキュメント公開時の時点では、実装可否も含め、未定となっておりますので、必要に応じて以下の ID を確認ください。

CSCvi23605 Re-enable SAML to make config changes take effect

コメント
Hyungjin Lee
Cisco Employee
Cisco Employee
‎2022-05-16 10:06 AM

CSCvi23605については進展があったので、そちらのWorkaroundもご参考ください

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents