Konfigurieren von ISE 3.2 EAP-TLS mit Microsoft Azure Active Directory

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. Dezember 2023
Dokument-ID:218197

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie Autorisierungsrichtlinien in ISE auf Basis der Azure AD-Gruppenmitgliedschaft mit EAP-TLS oder TEAP konfigurieren und Fehler beheben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, Abonnement und Apps
    • EAP-TLS authentifizierung

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco ISE 3.2
    • Microsoft Azure AD

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen 

    In ISE 3.0 ist es möglich, die Integration zwischen ISE und Azure Active Directory (AAD) zu nutzen, um die Benutzer basierend auf Azure AD-Gruppen und -Attributen über die ROPC-Kommunikation (Resource Owner Password Credentials) zu authentifizieren. Mit ISE 3.2 können Sie eine zertifikatbasierte Authentifizierung konfigurieren, und Benutzer können basierend auf Azure AD-Gruppenmitgliedschaften und anderen Attributen autorisiert werden. ISE fragt Azure über eine Grafik-API ab, um Gruppen und Attribute für den authentifizierten Benutzer abzurufen. Dabei wird der Common Name (CN) des Zertifikats mit dem UPN (User Principal Name) auf Azure-Seite verglichen.

    Hinweis: Bei den zertifikatbasierten Authentifizierungen kann es sich entweder um EAP-TLS oder um TEAP mit EAP-TLS als interner Methode handeln. Anschließend können Sie Attribute aus Azure Active Directory auswählen und sie dem Cisco ISE-Wörterbuch hinzufügen. Diese Attribute können für die Autorisierung verwendet werden. Nur die Benutzerauthentifizierung wird unterstützt.

    Konfigurieren

    Netzwerkdiagramm

    Das nächste Bild zeigt ein Netzwerkdiagramm und einen Verkehrsfluss.

    rmigisha_0-1663799260041

    Vorgehensweise:

    1. Das Zertifikat wird über EAP-TLS oder TEAP mit EAP-TLS als interner Methode an die ISE gesendet.
    2. Die ISE wertet das Zertifikat des Benutzers aus (Gültigkeitsdauer, vertrauenswürdige Zertifizierungsstelle, Zertifikatsperrliste usw.).
    3. Die ISE sucht anhand des Zertifikatssubjektnamens (CN) nach der Microsoft Graph-API, um die Benutzergruppen und andere Attribute für diesen Benutzer abzurufen. Dies wird auf der Azure-Seite als Benutzerprinzipalname (User Principal Name, UPN) bezeichnet.
    4. ISE-Autorisierungsrichtlinien werden anhand der von Azure zurückgegebenen Benutzerattribute ausgewertet.

    Hinweis: Sie müssen die Graph API-Berechtigungen für die ISE-App in Microsoft Azure konfigurieren und erteilen, wie unten gezeigt:

    API Permissions

    Konfigurationen

    ISE-Konfiguration

    Hinweis: Die ROPC-Funktionalität und die Integration zwischen der ISE und Azure AD werden in diesem Dokument nicht behandelt. Es ist wichtig, dass Gruppen und Benutzerattribute von Azure hinzugefügt werden. Siehe Konfigurationsleitfaden hier.

    Konfigurieren des Zertifikatauthentifizierungsprofils  

    Schritt 1: Navigieren Sie zu das Menü-Symbol rmigisha_18-1663803391946 in der linken oberen Ecke befindet, und wählen Sie Administration > Identity Management > Externe Identitätsquellen.

    Schritt 2: Auswählen Authentifizierung von Zertifikaten Profil erstellen und dann auf klicken Hinzufügen 

    Schritt 3: Definieren Sie den Namen, legen Sie den Identitätsspeicher als [Nicht zutreffend] aus, und wählen Sie Subject - Common Name on Identität verwenden von feld. Nie zuordnen auswählen Clientzertifikat für Zertifikat im Identitätsspeicher Feld. 

    rmigisha_2-1663802545501

    Schritt 4: Klicken Sie Speichern

    rmigisha_2-1663951904221

    Schritt 5: Navigieren Sie zu das Menü-Symbol rmigisha_18-1663803391946 in der linken oberen Ecke befindet, und wählen Sie Richtlinie > Richtliniensätze.

    Schritt 6: Wählen Sie das Plus rmigisha_6-1663802545507 um einen neuen Richtliniensatz zu erstellen. Definieren Sie einen Namen, und wählen Sie als Bedingungen Wireless 802.1x oder kabelgebundene 802.1x-Verbindungen aus. In diesem Beispiel wird die Option Default Network Access (Standard-Netzwerkzugriff) verwendet

    rmigisha_0-1663950278197

    Schritt 7. Pfeil auswählen rmigisha_1-1663954795995 neben Standard-Netzwerkzugriff, um Authentifizierungs- und Autorisierungsrichtlinien zu konfigurieren.

    Schritt 8: Wählen Sie die Authentifizierungsrichtlinie Option, definieren Sie einen Namen und fügen Sie EAP-TLS als Network Access EAPAuthentication, es ist möglich, TEAP als Network Access EAPTunnel hinzuzufügen, wenn TEAP als Authentifizierungsprotokoll verwendet wird. Wählen Sie das in Schritt 3 erstellte Zertifikatauthentifizierungsprofil aus, und klicken Sie auf Speichern.

    rmigisha_1-1663811245546

    Schritt 9. Wählen Sie die Option Autorisierungsrichtlinie aus, definieren Sie einen Namen, und fügen Sie Azure AD-Gruppen- oder Benutzerattribute als Bedingung hinzu. Wählen Sie das Profil oder die Sicherheitsgruppe unter "Ergebnisse" aus, hängt vom Anwendungsfall ab, und klicken Sie dann auf Speichern.  

    rmigisha_1-1663950342613

    Benutzerkonfiguration.

    Der Common Name (CN) des Antragstellers aus dem Benutzerzertifikat muss mit dem UPN (User Principal Name) auf Azure-Seite übereinstimmen, damit die AD-Gruppenmitgliedschaft und die Benutzerattribute abgerufen werden können, die in Autorisierungsregeln verwendet werden. Damit die Authentifizierung erfolgreich ist, müssen sich die Stammzertifizierungsstelle und alle zwischengeschalteten Zertifizierungsstellenzertifikate im vertrauenswürdigen ISE-Speicher befinden.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Überprüfung

    ISE-Verifizierung

    Klicken Sie in der Cisco ISE-GUI auf das Menü-Symbol rmigisha_18-1663803391946 und wählen Vorgänge > RADIUS > Live-Protokolle für Netzwerkauthentifizierungen (RADIUS).

    ISE Verify

    Klicken Sie in der Spalte "Details" auf das Lupensymbol, um einen detaillierten Authentifizierungsbericht anzuzeigen und zu überprüfen, ob der Fluss wie erwartet funktioniert.

    1. Überprüfen von Authentifizierungs-/Autorisierungsrichtlinien
    2. Authentifizierungsmethode/Protokoll
    3. Dem Zertifikat entnommener Benutzername
    4. Benutzergruppen und andere Attribute aus Azure-Verzeichnis abgerufen

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Fehlerbehebung

    Debuggen auf ISE aktivieren

    Navigieren Sie zu Administration > System > Protokollierung > Konfiguration des Debug-Protokolls , um die nächsten Komponenten auf die angegebene Ebene zu setzen.

    Knoten

    Komponentenname

      Protokollstufe

    Protokolldateiname

    PSN

    Ruhestandslager

    Fehlersuche

    rest-id-store.log

    PSN

    Laufzeit-AAA

    Fehlersuche

    prrt-server.log

    Hinweis: Wenn Sie mit der Fehlerbehebung fertig sind, sollten Sie die Fehlerbehebungen zurücksetzen. Wählen Sie dazu den entsprechenden Knoten aus und klicken Sie auf "Reset to Default".

    Protokolle Ausschnitte

    Die nächsten Auszüge zeigen die letzten beiden Phasen im Fluss, die bereits im Netzwerkdiagrammabschnitt erwähnt wurden.

    1. ISE verwendet den Zertifikatssubjektnamen (CN) und führt eine Suche in der Azure Graph-API durch, um Benutzergruppen und andere Attribute für diesen Benutzer abzurufen. Dies wird auf Azure-Seite als Benutzerprinzipalname (UPN) bezeichnet.
    2. ISE-Autorisierungsrichtlinien werden anhand der von Azure zurückgegebenen Benutzerattribute ausgewertet.

    REST-ID-Protokolle:

    rmigisha_17-1663802653185

    Port-Protokolle:

    rmigisha_16-1663802653185

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    22-Dec-2023
    Überschrift und Einführungsabschnitt aktualisiert, um die Anforderungen des Cisco.com zu erfüllen.
    1.0
    27-Sep-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Romeo Migisha
      Technical Consulting Engineer
    • Emmanuel Cano
      Security Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren