Configuration d'ISE 3.2 EAP-TLS avec Microsoft Azure Active Directory

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 décembre 2023
ID du document:218197

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer et dépanner des stratégies d'autorisation dans ISE en fonction de l'appartenance au groupe Azure AD avec EAP-TLS ou TEAP.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, abonnement et applications
    • EAP-TLS authentification

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco ISE 3.2
    • Microsoft Azure AD

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales 

    Dans ISE 3.0, il est possible de tirer parti de l'intégration entre ISE et Azure Active Directory (AAD) pour authentifier les utilisateurs en fonction des groupes et attributs Azure AD via la communication ROPC (Resource Owner Password Credentials). Avec ISE 3.2, vous pouvez configurer l'authentification basée sur les certificats et les utilisateurs peuvent être autorisés en fonction des appartenances aux groupes Azure AD et d'autres attributs. ISE interroge Azure via l'API graphique pour récupérer des groupes et des attributs pour l'utilisateur authentifié. Il utilise le nom commun de l'objet (CN) du certificat par rapport au nom principal de l'utilisateur (UPN) côté Azure.

    Remarque : les authentifications basées sur les certificats peuvent être EAP-TLS ou TEAP avec EAP-TLS comme méthode interne. Vous pouvez ensuite sélectionner des attributs dans Azure Active Directory et les ajouter au dictionnaire Cisco ISE. Ces attributs peuvent être utilisés pour l'autorisation. Seule l'authentification utilisateur est prise en charge.

    Configurer

    Diagramme du réseau

    L’image suivante fournit un exemple de schéma de réseau et de flux de trafic

    rmigisha_0-1663799260041

    Procédure:

    1. Le certificat est envoyé à ISE via EAP-TLS ou TEAP avec EAP-TLS comme méthode interne.
    2. ISE évalue le certificat de l'utilisateur (période de validité, CA approuvée, CRL, etc.).
    3. ISE prend le nom de sujet du certificat (CN) et effectue une recherche dans l'API Microsoft Graph pour récupérer les groupes et autres attributs de l'utilisateur. Il s'agit du nom d'utilisateur principal (UPN) côté Azure.
    4. Les stratégies d'autorisation ISE sont évaluées par rapport aux attributs de l'utilisateur renvoyés par Azure.

    Remarque : vous devez configurer et accorder les autorisations de l'API Graph à l'application ISE dans Microsoft Azure, comme indiqué ci-dessous :

    API Permissions

    Configurations

    Configuration ISE

    Remarque : la fonctionnalité ROPC et l'intégration entre ISE et Azure AD ne sont pas abordées dans ce document. Il est important que les groupes et les attributs d'utilisateur soient ajoutés à partir d'Azure. Reportez-vous au guide de configuration ici.

    Configurer le profil d'authentification du certificat  

    Étape 1. Naviguez jusqu'à l'icône Menu rmigisha_18-1663803391946 dans l'angle supérieur gauche et sélectionnez Administration > Gestion des identités > Sources d'identités externes.

    Étape 2. Sélectionner Authentification du certificat Profil, puis cliquez sur Ajouter. 

    Étape 3. Définissez le nom, Définissez le Magasin d'identités comme [Sans objet], et sélectionnez Objet - Nom commun sur Utiliser l'identité de champ. Sélectionnez Jamais en correspondance Certificat client contre certificat dans le magasin d'identités Champ. 

    rmigisha_2-1663802545501

    Étape 4. Cliquez sur Enregistrer

    rmigisha_2-1663951904221

    Étape 5. Naviguez jusqu'à l'icône Menu rmigisha_18-1663803391946 dans l'angle supérieur gauche et sélectionnez Stratégie > Ensembles de stratégies.

    Étape 6. Sélectionnez le signe plus rmigisha_6-1663802545507 pour créer un nouvel ensemble de stratégies. Définissez un nom et sélectionnez Wireless 802.1x (Sans fil 802.1x) ou wired 802.1x (Filaire 802.1x) comme conditions. L'option Accès réseau par défaut est utilisée dans cet exemple

    rmigisha_0-1663950278197

    Étape 7. Sélectionnez la flèche rmigisha_1-1663954795995 en regard de Default Network Access pour configurer les stratégies d'authentification et d'autorisation.

    Étape 8. Sélectionnez l'option Authentication Policy, définissez un nom et ajoutez EAP-TLS comme Network Access EAPAuthentication. Il est possible d'ajouter TEAP comme Network Access EAPTunnel si TEAP est utilisé comme protocole d'authentification. Sélectionnez le profil d'authentification de certificat créé à l'étape 3 et cliquez sur Enregistrer.

    rmigisha_1-1663811245546

    Étape 9. Sélectionnez l'option Stratégie d'autorisation, définissez un nom et ajoutez des attributs de groupe ou d'utilisateur Azure AD comme condition. Sélectionnez le profil ou le groupe de sécurité sous Résultats, en fonction de l'exemple d'utilisation, puis cliquez sur Enregistrer.  

    rmigisha_1-1663950342613

    Configuration utilisateur.

    Le nom commun d'objet (CN) du certificat d'utilisateur doit correspondre au nom principal d'utilisateur (UPN) côté Azure afin de récupérer l'appartenance au groupe AD et les attributs d'utilisateur qui seront utilisés dans les règles d'autorisation. Pour que l'authentification réussisse, l'autorité de certification racine et tous les certificats d'autorités de certification intermédiaires doivent se trouver dans le magasin de confiance ISE.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Vérifier

    Vérification ISE

    Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu rmigisha_18-1663803391946 et choisissez Operations > RADIUS > Live Logs for network authentications (RADIUS).

    ISE Verify

    Cliquez sur l'icône de la loupe dans la colonne Détails pour afficher un rapport d'authentification détaillé et vérifier si le flux fonctionne comme prévu.

    1. Vérifier les stratégies d'authentification/autorisation
    2. Méthode/protocole d'authentification
    3. Nom du sujet de l'utilisateur extrait du certificat
    4. Groupes d'utilisateurs et autres attributs extraits du répertoire Azure

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Dépannage

    Activer les débogages sur ISE

    Naviguez jusqu'à Administration > System > Logging > Debug Log Configuration pour définir les composants suivants sur le niveau spécifié.

    Noeud

    Nom du composant

      Niveau de consignation

    Nom du fichier journal

    PSN

    rest-id-store

    Déboguer

    rest-id-store.log

    PSN

    runtime-AAA

    Déboguer

    prt-server.log

    Remarque : lorsque vous avez terminé le dépannage, n'oubliez pas de réinitialiser les débogages. Pour ce faire, sélectionnez le noeud associé et cliquez sur « Reset to Default ».

    Extraits de journaux

    Les extraits suivants montrent les deux dernières phases du flux, comme indiqué précédemment dans la section du schéma de réseau.

    1. ISE prend le nom du sujet du certificat (CN) et effectue une recherche dans l'API Azure Graph pour récupérer les groupes et autres attributs de l'utilisateur. Il s'agit du nom d'utilisateur principal (UPN) côté Azure.
    2. Les stratégies d'autorisation ISE sont évaluées par rapport aux attributs de l'utilisateur renvoyés par Azure.

    Journaux Rest-id :

    rmigisha_17-1663802653185

    Journaux de port:

    rmigisha_16-1663802653185

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    22-Dec-2023
    Titre et section d'introduction mis à jour pour répondre aux exigences du guide de style Cisco.com.
    1.0
    27-Sep-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Romeo Migisha
      Ingénieur-conseil technique
    • Emmanuel Cano
      Ingénieur-conseil en sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco