Предварительные требования:

• Домен с установленным и настроенным УЦ типа Standalone, т.к потребуется выдавать сертификат по запросу с ASA, версия Enterprise не может выдавать сертификат без существующего шаблона. 
• Установленный и настроенный Cisco ASA.
• Развернутая и настроенная система Indeed AM с компонентом Indeed AM NPS Radius.
• Токен с установленным валидным сертификатом.

Запрос и установка сертификатов  

Корневой сертификат

1. Для аутентификации с использованием сертификатов потребуется экспортировать корневой сертификат домена на ASA. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ и выберете “Properties”.
2. На вкладке “General” нажмите “View Certificate”. 
3. В окне “Certificate” выберете вкладку “Details” и нажмите “Copy to File...”.
4. Выберете формат “Base-64” и сохраните в файл.
5. Откройте ASDM и выберите  "Configuration"→"Device Management"→"Certificate Management"→"CA Certificates"→"Add". 
6. Выберете “Install from a file”, нажмите “Browse” и выберете корневой сертификат УЦ.

Сертификат для ASA

1. Откройте ASDM и выберите  "Configuration"→"Device Management"→"Certificate Management"→"Identity Certificates"→"Add". 
2. Выберете “Add a new identity certificate” и нажмите “Add Certificate”.
3. Укажите путь для сохранения файла запроса и нажмите “ОК”.
4. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ -> All Tasks -> Submit new request...
5. Выберете файл запроса сертификата для ASA.
6. Перейдите в раздел "Pending requests", нажмите правой кнопкой мыши по заявке и выберете  "All Tasks"→"Issue".
7. Перейдите в раздел "Issued Certificates"и выберете выданный сертификат для ASA.
8. В окне “Certificate” выберете вкладку “Details” и нажмите “Copy to File...”.
9. Выберете формат “Base-64” и сохраните в файл.
10. Откройте ASDM "Configuration"→"Device Management"→"Certificate Management"→"Identity Certificates", выберите созданный запрос и нажмите "Install". 
11. Выберете файл сертификата и нажмите “Install Certificate”.
12. Нажмите “Apply”, чтобы сохранить изменения.

Настройка Cisco ASA

1. Откройте ASDM "Configuration"→"Remote access VPN"→"AAA/Local Users"→"AAA Server Groups" и нажмите “Add”.
2. В окне “Add AAA Server Group” укажите:
   1. AAA Server Group - Произвольное название для группы.
   2. Protocol - Radius
   3. Нажмите “OK”.
3. Для созданной группы в блоке “Servers in the Selected Group” нажмите “Add”.
4. Укажите данные для подключения к серверу с ролью NPS. 
5. Откройте ASDM "Configuration"→"Remote access VPN"→"Network client Access"→"AnyConnect Connection Profiles"
6. Установите параметр "Enable Cisco AnyConnect VPN Client access on the interfaces selected in the table below" (После включения потребуется добавить пакеты с AnyConnect формата *.pkg ). Также необходимо разрешить подключение через входной интерфейс.
7. Для профиля “DefaultWEBVPNGroup” установите опцию SSL Enabled и нажмите “Edit”.
8. В поле “Method” выберете “AAA and certificate”.
9. В поле “AAA Server Group” выберете созданную ранее группу для Radius.
10. В поле “DNS Servers“ укажите Ip адрес DNS сервера и нажмите “OK”. 
11. Нажмите “Apply” чтобы применить изменения.

Настройка NPS сервера 

В данной инструкции подразумевается, что в инфраструктуре есть NPS сервер с установленным и настроенным компонентом Indeed AM NPS Radius. 

Для аутентификации должны использоваться и указываться провайдеры поддерживающиеся в сценарии с 1FA.

1. Откройте оснастку NPS и выберете “Connection Request Policies”.
2. Откройте основную используемую политику.
3. Откройте вкладку “Settings”, выберете “Authentication” и установите параметр “Accept users without validating credentials”. Внимание! У всех пользователей должны быть обучены аутентификаторы. В данном сценарии отключена проверка кредов на стороне Radius и осуществляется проверка только OTP пользователя на Indeed AM Server
4. Сохраните настройки и перезапустите службу NPS.

Пример аутентификации

1. Подключаемся через AnyConnect.
2. Указываем пин-код используемого токена.
3. Указываем имя пользователя и OTP