einzuloggen oder  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützungssymbol
miniOrange E-Mail-Support
Erfolg

Vielen Dank für Ihre Anfrage. Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

Konfigurieren der Zwei-Faktor-Authentifizierung (2FA/MFA) für Cisco ASA mit RADIUS

Die Cisco Secure Adaptive Security Appliance (ASA) , ein wichtiger Bestandteil der Netzwerksicherheitssuite von Cisco, lässt sich in eine Vielzahl von Sicherheitsdiensten wie VPN und IPS integrieren und wird daher häufig in Unternehmens- und Rechenzentrumsumgebungen eingesetzt, die eine robuste, flexible und skalierbare Sicherheit erfordern. Die Verbesserung dieser Sicherheit mit Multi-Faktor-Authentifizierung (MFA) schützt vor unbefugtem Zugriff, indem eine zusätzliche Benutzerüberprüfungsebene erforderlich ist.

Die Multi-Faktor-Authentifizierung (MFA) von miniOrange lässt sich nahtlos in die Cisco ASA-Appliance integrieren, um Cisco AnyConnect VPN-Anmeldungen eine zusätzliche Sicherheitsebene hinzuzufügen. Durch die Nutzung des RADIUS-Servers von miniOrange können Unternehmen konfigurieren MFA für VPN-Verbindungen . Dieses Setup stellt sicher, dass sich Benutzer mit etwas authentifizieren müssen, das sie kennen (Passwort) und das sie haben (MFA-Methoden wie Push-Benachrichtigung, SMS oder Telefonanruf).

miniOrange 2FA/MFA-Authentifizierung für Cisco ASA-Anmeldung

miniOrange erreicht dies, indem es als RADIUS-Server fungiert, der den vom Benutzer eingegebenen Benutzernamen und das Passwort als RADIUS-Anfrage entgegennimmt und den Benutzer anhand eines Benutzerverzeichnisses wie Active Directory (AD) validiert. Nach der ersten Authentifizierungsebene, miniOrange MFA-Lösung fordert den Benutzer zur Eingabe eines zweiten Authentifizierungsfaktors auf und gewährt oder entzieht den Zugriff basierend auf der Eingabe des Benutzers.


MFA für Cisco ASA

  1. Die primäre Authentifizierung beginnt mit der Eingabe des Benutzernamens und des Passworts durch den Benutzer für Cisco ASA.
  2. Die Benutzeranfrage fungiert als Authentifizierungsanfrage zum RADIUS-Server (miniOrange).
  3. miniOrange RADIUS-Server übergibt Benutzeranmeldeinformationen zur Überprüfung anhand der im AD (Active Directory)/in der Datenbank gespeicherten Anmeldeinformationen.
  4. Sobald die erste Authentifizierungsebene des Benutzers validiert ist AD sendet die Bestätigung an den RADIUS-Server.
  5. Jetzt fragt der miniOrange RADIUS Server nach einem 2-Faktor-Authentifizierungs-Herausforderung für den Benutzer.
  6. Hier übermittelt der Benutzer die Antwort/den Code, den er auf seiner Hardware/seinem Telefon empfängt.
  7. Benutzerantwort wird auf der RADIUS-Serverseite von miniOrange überprüft.
  8. Bei erfolgreichem 2. Faktor-Authentifizierung dem Benutzer wird der Zugang zum Login gewährt.

Verbindung mit beliebigen externen Verzeichnissen


miniOrange bietet Benutzerauthentifizierung von verschiedenen Externe Verzeichnisse wie miniOrange-Verzeichnis, Microsoft AD, Microsoft Entra ID/LDAP, AWS Cognito und viele mehr.

Sie können Ihr Verzeichnis nicht finden? Kontaktieren Sie uns unter idpsupport@xecurify.com



Holen Sie sich einen kostenlosen POC – Buchen Sie einen Slot


miniOrange bietet einen kostenlosen POC und Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zum Einrichten der Multi-Faktor-Authentifizierung für Cisco ASA VPN in Ihrer Umgebung mit einer 30-tägigen Testversion.

Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen kostenlosen POC zu erhalten, und wir helfen Ihnen, unsere Lösung im Handumdrehen einzurichten.


Kostenlosen POC erhalten


1. Cisco ASA in miniOrange konfigurieren

  • Melden Sie sich bei miniOrange an Admin-Konsole.
  • Klicken Sie auf Anpassung im linken Menü des Dashboards.
  • In GrundeinstellungenStellen Sie die Name der Organisation als benutzerdefinierter Domänenname.
  • Klicken Sie auf Gespeichert. Sobald dies festgelegt ist, hat die Marken-Anmelde-URL das Format https://<custom_domain>.xecurify.com/moas/login
    • Multi-Faktor-Authentifizierung (MFA) für Cisco ASA: Einrichten des Brandings

  • Gehe zu Apps Klicken Sie auf Anwendung hinzufügen .
    • MFA für Cisco ASA: Anwendung hinzufügen

  • Wählen RADIUS als Anwendungstyp und klicken Sie auf App erstellen .
    • Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: Radius-Anwendung erstellen

  • Klicken Sie auf Cisco ASA Registerkarte Anwendung. Wenn Sie Ihre Anwendung nicht finden, klicken Sie auf Radius-Client Registerkarte "Anwendungen".
    • MFA für Cisco ASA: Klicken Sie auf Radius Client

  • Klicken Sie auf Dokumentation um die Radius-Server-IPs zu erhalten.
    • 2FA für Cisco ASA: Abschnitt „Dokumentation“

  • Kopieren und speichern Sie die Radius-Server-IPs, die zum Konfigurieren Ihres Radius-Clients erforderlich sind.
    • 2FA/MFA für Cisco ASA: Radius-Server-IPs

  • Konfigurieren Sie die folgenden Details, um Radius Client hinzuzufügen.
    • Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: Radius-Client hinzufügen

    Kundenname: Ein beliebiger Name zu Ihrer Referenz.
    Client-IP: IP-Adresse des VPN-Servers, der die Radius-Authentifizierungsanforderung sendet.
    Geteiltes Geheimnis: Sicherheitsschlüssel.
    Für zB. "geteiltes Geheimnis"
    (Behalten Sie dies bei sich, Sie müssen dasselbe auf dem VPN-Server konfigurieren).
  • Klicken Sie auf Weiter.
  • Aktivieren Sie auf der Registerkarte Attributzuordnungen den Schalter, wenn Sie Gruppen als Antwort senden möchten, und klicken Sie dann auf Weiter
    • Zwei-Faktor-Authentifizierung für Cisco ASA: Klicken Sie auf Weiter

  • Die Attribut-ID der Lieferantengruppe finden Sie in der folgenden Tabelle.
    Herstellername Gruppenattribut Vendor ID Lieferantenattribut-ID
    Cisco ASA VPN 26 Herstellerspezifisch 3076 25
    Fortinet VPN 26 Herstellerspezifisch 12356 1
    Palo Alto VPN 26 Herstellerspezifisch 25461 5
    SonicWall-VPN 26 Herstellerspezifisch 8741 3
    Citrix VPN 26 Herstellerspezifisch 66 16
  • Konfigurieren Sie die folgenden Richtliniendetails für den Radius-Client.
    • 2FA für Cisco ASA: Wählen Sie Ihren Radius-Client

    Gruppenname: Gruppe, für die die Richtlinie gilt.
    Versicherungsname: Jeder Bezeichner, der den Richtliniennamen angibt.
    Login-Methode Anmeldemethode für die Benutzer, die dieser Richtlinie zugeordnet sind.
    Aktivieren Sie die 2-Faktor-Authentifizierung Aktiviert den zweiten Faktor während der Anmeldung für Benutzer, die dieser Richtlinie zugeordnet sind.
    Adaptive Authentifizierung aktivieren Aktiviert die adaptive Authentifizierung für die Anmeldung von Benutzern, die dieser Richtlinie zugeordnet sind.
  • Nachdem Sie die oben angegebenen Details konfiguriert haben, klicken Sie auf Gespeichert .
    • Hinweis: Sie können folgen dem Leitfaden, wenn Sie Radius 2FA mit dem MSCHAPv2-Protokoll konfigurieren möchten.

    Anmerkungen: Für On-Premise Version: Befolgen Sie die nachstehenden Schritte, bevor Sie die Konnektivität testen.

    Nur für die On-Premise-Version

    Öffnen Sie die Firewall-Ports.

  • Um die RADIUS-Anfrage zu erhalten, ist es notwendig, Offener UDP-Verkehr an Häfen 1812 und 1813 zur Verfügung für die Maschine, auf der On-Premise IdP bereitgestellt wird.
  • Handelt es sich bei der Host-Maschine um eine Windows Maschine dann können Sie folgen fehlen uns die Worte. Dokument.
  • Handelt es sich bei der Host-Maschine um eine Linux Maschine dann können Sie folgen fehlen uns die Worte. Dokument.

    • Anmerkungen: Wenn Ihre Maschine auf AWS gehostet wird, aktivieren Sie die Ports vom AWS-Panel aus.

2. Konfigurieren Sie RADIUS in Cisco ASA

  • Einloggen um Cisco ASA ASDM.
  • Navigieren Konfiguration >>> RAS-VPN
  • Im RAS-VPN Navigationsbaum, unter AAA/Lokale Benutzer sofort klicken AAA-Servergruppen >>> Speichern.
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: Anmeldung bei Cisco ASA

  • Die AAA-Servergruppe hinzufügen Dialogfeld wird geöffnet.
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: AAA-Servergruppe hinzufügen

  • Geben Sie einen Namen für die ein AAA-Servergruppe und stellen Sie das Protokoll auf RADIUS.
    • Eigenschaft Erläuterung
    Abrechnungsmodus Gibt an, wie Abrechnungsmeldungen gesendet werden. Empfohlener Einzelmodus.
    Reaktivierungsmodus Gibt die Methode an, mit der ausgefallene Server reaktiviert werden.
    Todeszeit Zeit, für die ein RADIUS-Server von Transaktionsanforderungen übersprungen wird
    Max. Fehlversuche Maximale Anzahl von erneuten Übertragungsversuchen. Empfohlen: 1.
  • Im AAA-Servergruppenbereich, wählen Sie die Servergruppe aus, die Sie gerade erstellt haben.
  • Im Server in der ausgewählten Gruppe auf „Hinzufügen“.
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: Servergruppe auswählen

  • Das Dialogfeld „AAA-Server hinzufügen“ wird geöffnet.
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: Radius-Client AAA-Server

    Eigenschaft Erläuterung Beispiel
    Schnittstellenname Name der geschützten Cisco-Schnittstelle. innerhalb
    Server-IP- Für die On-Premise-Version: IP des Servers, auf dem IDP (miniOrange) installiert ist
    Für die Cloud-Version: Verwenden Sie die Radius Server IPs, die Sie erhalten haben von Step1.
    Timeout Authentifizierungs-Timeout. 60
    Server-Authentifizierungsport RADIUS-Authentifizierungsport. Es sollte 1812 sein
    Server-Accounting-Port RADIUS-Abrechnungsport Es sollte 1813 sein
    Wiederholungsintervall Zeitspanne zwischen den Wiederholungsversuchen 30
    Geheimer Serverschlüssel Es wird zwischen dem miniOrange RADIUS Connector und seinem Client geteilt "geteiltes Geheimnis"
    Microsoft CHAPv2-fähig Ob der RADIUS-Server CHAPv2 verwendet oder nicht. Es sollte deaktiviert sein
  • Navigieren Konfiguration >> Clientloser SSL-VPN-Zugriff >> Verbindungsprofile.
  • Klicken Sie in Verbindungsprofilen auf Hinzufügen oder Bearbeiten.
  • Die Clientloses SSL-VPN-Verbindungsprofil hinzufügen Dialogfeld wird geöffnet.
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: Radius-Client-Web-VPN-Gruppe

  • Fügen Sie einen relevanten Servernamen hinzu und wählen Sie die zu verwendende Authentifizierungsmethode "AAA".
  • Bei der AAA-Servergruppe Wählen Sie die in den vorherigen Schritten erstellte Gruppe aus.
  • Klicken Sie auf Ok .

VPN-Netzwerk-Clientprofil konfigurieren


  • Navigieren Konfiguration >>> RAS-VPN
  • Im RAS-VPN Navigationsbaum, unter Netzwerk-(Client-)Zugriff Klicken Sie auf AnyConnect-Clientprofil.
  • Klicken Sie hier, um ein neues Kundenprofil hinzuzufügen oder ein vorhandenes zu bearbeiten.

    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung: Radius-Clientprofil


  • Konfigurieren Sie das Profil nach Wunsch
    • Automatische Wiederverbindung des Cisco ASA 2FA-Zwei-Faktor-Authentifizierungsradius-Clients


  • Klicken Sie in der Seitenleiste auf Einstellungen (Fortsetzung)/Einstellungen (Teil 2) und scrollen Sie nach unten und geben Sie ein 60 für Authentifizierungs-Timeout-Werte (oder 10 Sekunden länger als das AAA RADIUS-Server-Timeout und 20 Sekunden länger als das LoginTC RADIUS Connector-Anforderungs-Timeout)
    • .
    Cisco ASA 2FA Zwei-Faktor-Authentifizierung Radius-Client: Timeout-Werte

  • Klicken Sie auf Ok .
  • Klicken Sie in der Seitenleiste auf Serverliste >> Hinzufügen, um einen Server hinzuzufügen.

    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung Radius-Client: Profil hinzufügen

  • Geben Sie die FQDN Ihres Cisco ASA VPN-exponierter Endpunkt im Hostnamen und ein Hostname oder eine IP-Adresse im Hostadresse, dann klicken Sie auf ok .
    • Cisco ASA 2FA Zwei-Faktor-Authentifizierung Radius-Client: Server-Füllung

  • Klicken Sie auf Tragen Sie.


3. Konfigurieren Sie Ihr Benutzerverzeichnis

miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.

Hinweis: Sie können folgen dem Leitfaden, wenn Sie Radius MFA mit Ihren in Microsoft Entra ID gespeicherten Benutzern mithilfe von OAuth Password Grant konfigurieren möchten.


AD/LDAP als Benutzerverzeichnis einrichten

Einrichten von miniOrange als Benutzerverzeichnis


Konfigurieren Sie Ihre vorhandenen Verzeichnisse wie Microsoft Active Directory, Microsoft Entra ID, OpenLDAP usw.

  • Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards.
    • 2FA/MFA: Externes Verzeichnis konfigurieren

  • Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.
    • 2FA/MFA: Wählen Sie den Verzeichnistyp als AD/LDAP

  • Dann suchen Sie nach AD/LDAP und klicke es an.
    • 2FA/MFA: Wählen Sie den Verzeichnistyp als AD/LDAP

  • LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
  • SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.
    • 2FA/MFA: Wählen Sie das externe AD/LDAP-Verzeichnis

  • Geben Sie LDAP ein Display Name und Identifizieren Namen.
  • Auswählen Verzeichnistyp as Active Directory.
  • Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
  • Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.
    • 2FA/MFA: Konfigurieren der LDAP-Server-URL-Verbindung

  • Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.
    • 2FA/MFA: Konfigurieren des Domänennamens des Benutzerbindungskontos

  • Geben Sie das gültige Kennwort für das Bind-Konto ein.
  • Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
    • 2FA/MFA: Überprüfen Sie die Anmeldeinformationen des Bind-Kontos

  • Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.
    • VPN 2FA: Benutzersuchbasis konfigurieren

  • Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.
    • VPN 2FA: Benutzersuchfilter auswählen

  • Klicken Sie auf Weiter oder gehen Sie zum Anmeldeoptionen Tab.
  • Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Weiter Schaltfläche, um einen Benutzerspeicher hinzuzufügen.
    • VPN 2FA: LDAP-Optionen aktivieren

    Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

    Attribut Beschreibung
    Aktivieren Sie LDAP Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
    Fallback-Authentifizierung Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
    Administratoranmeldung aktivieren Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
    Benutzern IdP anzeigen Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
    Benutzer in miniOrange synchronisieren Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt

  • Klicken Sie auf Weiter oder gehen Sie zum Attribute Tab.

Attributzuordnung aus AD

  • Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

    An SP gesendeter Attributname = Organisation
    Attributname vom IDP = Unternehmen

    • Attributzuordnung aus AD

    Attributzuordnung aus AD

  • Klicken Sie auf Weiter oder gehen Sie zum Provisioning Tab.

Benutzerimport und Provisionierung aus AD

  • Wenn Sie die Bereitstellung einrichten möchten, hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.
    • Überspringen Sie die Bereitstellung vorerst

Testverbindungen

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.
    • VPN 2FA: AD/Ldap-Verbindung testen

  • Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.
    • VPN 2FA: Geben Sie Benutzernamen und Passwort ein, um die LDAP-Verbindung zu testen

  • On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.
    • VPN 2FA: Erfolgreiche Verbindung mit LDAP-Server

Testen Sie die Attributzuordnung

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.
    • VPN 2FA: Klicken Sie in den externen Verzeichnissen auf Auswählen und dann auf Attributzuordnung testen

  • Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.
    • VPN 2FA: Geben Sie den Benutzernamen ein, um die Attributzuordnungskonfiguration zu testen

  • Das Ergebnis der Testattributzuordnung wird angezeigt.
    • VPN 2FA: Zugeordnete Attribute für Benutzer abrufen

Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.


Hinweis: Verweisen Sie auf unsere Entwicklung um LDAP auf einem Windows-Server einzurichten.

1. Benutzer in miniOrange erstellen

  • Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.
    • VPN 2FA: Benutzer in miniOrange hinzufügen

  • Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .
    • MFA: Benutzerdetails hinzufügen

  • Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.
    • Zwei-Faktor-Authentifizierung: Benutzerdetails hinzufügen

  • Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Tragen Sie .
    • 2FA: E-Mail-Aktion auswählen

  • Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
  • Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .
    • Multi-Faktor-Authentifizierung: Benutzerkennwort zurücksetzen
  • Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.

2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.

  • Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .
    • 2FA: Benutzer per Massenupload hinzufügen

  • Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.
    • Zwei-Faktor-Authentifizierung: Beispiel-CSV-Datei herunterladen

  • Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.
    • 2FA: Massenupload von Benutzern

  • Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
  • Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.

Benutzergruppen erstellen (empfohlen)

AD-Benutzergruppe

miniOrange-Benutzergruppe


  • Dieser Schritt umfasst das Importieren und Bereitstellen der Benutzergruppe aus dem Active Directory.
  • Gehe zu Provisioning. Wechseln zu Einrichten der Bereitstellung Registerkarte, und wählen Sie Active Directory aus dem Dropdown-Menü.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: Wählen Sie Active Directory (AD)

  • Auswählen Bereitstellung/Entfernung von Gruppen und aktivieren Sie Gruppe importieren .
  • Geben Sie die Basis-DN für die Gruppensynchronisierung und klicken Sie auf Gespeichert.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: BaseDN eingeben

  • Wenn Sie Benutzer dynamisch den im miniOrange vorhandenen Gruppen zuordnen möchten, aktivieren Sie "Benutzer Gruppen zuweisen"
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: Importgruppe aktivieren

  • Wechseln Sie jetzt zu Gruppen importieren Option und wählen Sie Active Directory aus dem Sie Ihre Benutzer importieren möchten.
  • Abschließend klicken Sie auf Import Schaltfläche. Ihre Gruppe wird importiert.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA: Benutzergruppe erfolgreich importiert

    (Die Einrichtung der Active Directory-Gruppenbereitstellung (Synchronisierung) ist abgeschlossen. Wenn jetzt ein Benutzer auf dem LDAP-Server erstellt oder geändert wird und die Option „Benutzer Gruppen zuweisen“ aktiviert ist, wird das Benutzergruppenattribut vom LDAP-Server automatisch synchronisiert und die Benutzergruppe wird in miniOrange entsprechend zugewiesen oder geändert.)

  • Auswählen Gruppen >> Gruppen verwalten vom linken Bereich.
  • Klicken Sie auf Gruppe erstellen Knopf oben.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA Manage Groups

  • Geben Sie einen entsprechenden Gruppenname und klicken Sie auf Gruppe erstellen.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA-Gruppen erstellen

  • In diesem Handbuch haben wir eine Gruppe nach Namen erstellt VPN_Gruppe.
  • Weisen Sie der Gruppe verschiedene Mitglieder zu, indem Sie Benutzer zuweisen Option, die der Gruppe in der Gruppenliste zugeordnet ist.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA-Benutzerzuweisung

  • Wählen Sie die Benutzer aus, die dieser Gruppe zugewiesen werden müssen. Wählen Sie dann Zu Gruppe zuweisen Wählen Sie im Dropdown-Menü „Aktion auswählen“ die gewünschte Aktion aus und klicken Sie auf die Schaltfläche „Übernehmen“.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für die Cisco ASA-Zuweisung zur Gruppe

  • Diese Gruppen werden hilfreich sein, um mehrere 2FA-Richtlinien zu den Anwendungen.


4. MFA für Cisco ASA einrichten

Hinweis: Sie können folgen dem Leitfaden, wenn Sie MFA für Endbenutzer anpassen und registrieren möchten.


  • Hier werden wir Konfigurieren einer Richtlinie für die Benutzergruppe, die wir in dieser Schritt und verknüpfen Sie es mit der Cisco ASA VPN-Anwendung.
  • Klicken Sie auf Richtlinien >> App-Anmelderichtlinie.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für die Cisco ASA App-Authentifizierungsrichtlinie

  • Klicken Sie auf Richtlinie hinzufügen .
  • Wählen Sie im Abschnitt Anwendung die RADIUS App die wir zuvor in Schritt 1 konfiguriert haben.
  • Wählen Sie die gewünschte Benutzergruppe in Gruppenname und geben Sie die Versicherungsname.
  • In dieser Anleitung konfigurieren wir einen Nur Passwort Politik für "VPN_Gruppe", sodass nur die Mitglieder der VPN-Gruppe ohne zweiten Faktor auf VPN-Dienste zugreifen können.
  • Wenn Sie mit den Richtlinieneinstellungen fertig sind, klicken Sie auf Absenden um Richtlinie hinzuzufügen.
    • MFA/Zwei-Faktor-Authentifizierung (2FA) für Cisco ASA App – Richtlinie hinzufügen


5. Testen Sie Cisco ASA 2FA

  • Verbinden Sie sich mit Cisco AnyConnect ASA, indem Sie den Hostname des Servers.
  • Geben Sie Ihre AD-Benutzername und Passwort und klicken Sie auf Verbinden.
  • Nun werden Sie aufgefordert, die 2-Faktor-Authentifizierungscode. Geben Sie den 2FA-Code ein und klicken Sie auf „Weiter“, um Zugriff auf Cisco AnyConnect ASA zu erhalten.
  • Nach erfolgreicher Validierung sind Sie sicher über mit Cisco AnyConnect ASA verbunden.

Mithilfe dieser Anleitung können Sie konfigurieren Zwei-Faktor-Authentifizierung (2FA) für die Cisco AnyConnect ASA-Anmeldung.



Problemlösung

Wie kann ich RADIUS-Benutzer-Auditprotokolle im MiniOrange-Admin-Dashboard überprüfen?

  • Einloggen um miniOrange Admin-Dashboard.
  • Klicken Sie auf Reports >> Radius-Benutzerauthentifizierungsbericht.
    • Cisco ASA Zwei-Faktor-Authentifizierung (2FA) Authentifizierungsberichte

  • Enter Endbenutzerkennung und Datumsbereich.
  • Klicken Sie auf Suche.
    • 2FA 2FA Zwei-Faktor-Authentifizierung für Cisco ASA: Endbenutzer-Authentifizierungsprotokolle


Häufig gestellte Fragen (FAQs)

Unterstützt Cisco ASA MFA?

Ja, Cisco AnyConnect unterstützt MFA, und mit miniOrange können Sie problemlos eine robuste Multi-Faktor-Authentifizierung integrieren, um Ihre Cisco VPN-Sicherheit zu verbessern. Erleben Sie nahtlosen und sicheren Zugriff mit der flexiblen VPN-MFA-Lösung von miniOrange

Wie erfolgt die Authentifizierung von Cisco AnyConnect?

Cisco AnyConnect authentifiziert Benutzer, indem es die Client-Zertifikatauthentifizierung nutzt und Anmeldeinformationen anhand eines vertrauenswürdigen CA-Zertifikats validiert. Sie können Ihre VPN-Sicherheit mit der Zwei-Faktor-Authentifizierung (2FA) von miniOrange verbessern.

Ist Cisco ASA ein VPN?

Ja, die Cisco ASA-Suite verfügt über ein VPN, das sicheren Fernzugriff bietet. Mit der Integration von miniOrange wenden Sie zusätzliche Sicherheitsfaktoren an, indem Sie Zwei-Faktor-Authentifizierung (2FA) . Dadurch wird sichergestellt, dass sich nur autorisierte Benutzer verbinden können.

Kann ich steuern, wer mit MFA herausgefordert wird?

Ja, Sie können basierend auf Benutzerrollen, Gruppen oder bestimmten Bedingungen problemlos steuern, wer mit MFA herausgefordert wird. So wird für mehr Sicherheit und Flexibilität gesorgt.



Weitere Referenzen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren