Configuración de ISE 3.2 EAP-TLS con Microsoft Azure Active Directory

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de diciembre de 2023
ID del documento:218197

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y solucionar problemas de políticas de autorización en ISE según la pertenencia al grupo de Azure AD con EAP-TLS o TEAP.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, suscripción y aplicaciones
    • EAP-TLS autenticación

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco ISE 3.2
    • Microsoft Azure AD

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes 

    En ISE 3.0 es posible aprovechar la integración entre ISE y Azure Active Directory (AAD) para autenticar a los usuarios basándose en los grupos y atributos de Azure AD a través de la comunicación de credenciales de contraseña de propietario de recurso (ROPC). Con ISE 3.2, puede configurar la autenticación basada en certificados y se puede autorizar a los usuarios en función de las pertenencias a grupos de Azure AD y otros atributos. ISE consulta a Azure a través de la API gráfica para obtener grupos y atributos para el usuario autenticado. Utiliza el nombre común de sujeto (CN) del certificado con el nombre principal de usuario (UPN) en el lado de Azure.

    Nota: las autenticaciones basadas en certificados pueden ser EAP-TLS o TEAP con EAP-TLS como método interno. A continuación, puede seleccionar atributos de Azure Active Directory y agregarlos al diccionario de Cisco ISE. Estos atributos se pueden utilizar para la autorización. Sólo se admite la autenticación de usuario.

    Configurar

    Diagrama de la red

    La siguiente imagen proporciona un ejemplo de un diagrama de red y flujo de tráfico

    rmigisha_0-1663799260041

    Procedimiento:

    1. El certificado se envía a ISE a través de EAP-TLS o TEAP con EAP-TLS como método interno.
    2. ISE evalúa el certificado del usuario (período de validez, CA de confianza, CRL, etc.).
    3. ISE toma el nombre del sujeto del certificado (CN) y realiza una búsqueda en la API de Microsoft Graph para obtener los grupos del usuario y otros atributos de dicho usuario. Esto se conoce como Nombre principal de usuario (UPN) en el lado de Azure.
    4. Las políticas de autorización de ISE se evalúan en función de los atributos del usuario devueltos desde Azure.

    Nota: debe configurar y conceder permisos de la API de Graph a la aplicación ISE en Microsoft Azure, como se muestra a continuación:

    API Permissions

    Configuraciones

    Configuración de ISE

    Nota: la funcionalidad de ROPC y la integración entre ISE y Azure AD están fuera del alcance de este documento. Es importante que los grupos y los atributos de usuario se agreguen desde Azure. Consulte la guía de configuración aquí.

    Configuración del perfil de autenticación de certificados  

    Paso 1. Desplácese hasta el icono Menú rmigisha_18-1663803391946 situado en la esquina superior izquierda y seleccione Administration > Identity Management > External Identity Sources.

    Paso 2. Seleccionar Autenticación de certificados Haga clic en Perfil y, a continuación, en Agregar. 

    Paso 3. Defina el nombre, Defina el Almacén de identidades como [No aplicable] y seleccione Asunto - Nombre común en Usar identidad de campo. Seleccione Nunca al coincidir Certificado de cliente contra certificado en almacén de identidades Campo. 

    rmigisha_2-1663802545501

    Paso 4. Haga clic en Guardar

    rmigisha_2-1663951904221

    Paso 5. Desplácese hasta el icono Menú rmigisha_18-1663803391946 situado en la esquina superior izquierda y seleccione Directiva > Conjuntos de directivas.

    Paso 6. Seleccione el signo más rmigisha_6-1663802545507 para crear un nuevo conjunto de directivas. Defina un nombre y seleccione Wireless 802.1x (Inalámbrico 802.1x) o Wired 802.1x (con cables 802.1x) como condiciones. En este ejemplo se utiliza la opción Default Network Access (Acceso a red predeterminado)

    rmigisha_0-1663950278197

    Paso 7. Seleccione la flecha rmigisha_1-1663954795995 junto a Acceso a red predeterminado para configurar las directivas de autenticación y autorización.

    Paso 8. Seleccione la opción Authentication Policy , defina un nombre y agregue EAP-TLS como Network Access EAPuthentication , es posible agregar TEAP como Network Access EAPunnel si TEAP se utiliza como protocolo de autenticación. Seleccione el perfil de autenticación de certificado creado en el paso 3 y haga clic en Guardar.

    rmigisha_1-1663811245546

    Paso 9. Seleccione la opción de directiva de autorización, defina un nombre y agregue atributos de usuario o grupo de Azure AD como condición. Elija el perfil o el grupo de seguridad en Resultados, en función del caso práctico y, a continuación, haga clic en Guardar.  

    rmigisha_1-1663950342613

    Configuración de usuario.

    El nombre común de sujeto (CN) del certificado de usuario debe coincidir con el nombre principal de usuario (UPN) en el lado de Azure para recuperar la pertenencia al grupo de AD y los atributos de usuario que se utilizarán en las reglas de autorización. Para que la autenticación sea correcta, la CA raíz y cualquier certificado de CA intermedia deben estar en el almacén de confianza de ISE.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Verificación

    Verificación de ISE

    En la GUI de Cisco ISE, haga clic en el icono Menu (Menú) rmigisha_18-1663803391946 y elija Operations > RADIUS > Live Logs para autenticaciones de red (RADIUS).

    ISE Verify

    Haga clic en el icono de lupa de la columna Detalles para ver un informe de autenticación detallado y confirmar si el flujo funciona según lo esperado.

    1. Verificar las políticas de autenticación/autorización
    2. Método/protocolo de autenticación
    3. Nombre de asunto del usuario tomado del certificado
    4. Grupos de usuarios y otros atributos obtenidos del directorio de Azure

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Troubleshoot

    Habilitar depuraciones en ISE

    Desplácese hasta Administration > System > Logging > Debug Log Configuration para establecer los componentes siguientes en el nivel especificado.

    Nodo

    Nombre del componente

      Nivel de registro

    Nombre de archivo de registro

    PSN

    rest-id-store

    Depurar

    rest-id-store.log

    PSN

    Runtime-AAA

    Depurar

    prrt-server.log

    Nota: Cuando haya terminado con la resolución de problemas, recuerde reiniciar las depuraciones. Para ello, seleccione el nodo relacionado y haga clic en "Restablecer a valor predeterminado".

    Fragmentos de registro

    Los siguientes extractos muestran las dos últimas fases del flujo, como se mencionó anteriormente en la sección del diagrama de red.

    1. ISE toma el nombre del sujeto del certificado (CN) y realiza una búsqueda en la API de Azure Graph para obtener los grupos de usuarios y otros atributos para ese usuario. Esto se conoce como Nombre principal de usuario (UPN) en el lado de Azure.
    2. Las políticas de autorización de ISE se evalúan en función de los atributos del usuario devueltos desde Azure.

    Registros de Rest-id:

    rmigisha_17-1663802653185

    Registros de puerto:

    rmigisha_16-1663802653185

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    22-Dec-2023
    Título actualizado y sección de introducción para cumplir con los requisitos de la guía de estilo Cisco.com.
    1.0
    27-Sep-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Romeo Migisha
      Technical Consulting Engineer
    • Emmanuel Cano
      Security Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco