Introduction
Ce document décrit comment configurer et dépanner des stratégies d'autorisation dans ISE en fonction de l'appartenance au groupe Azure AD avec EAP-TLS ou TEAP.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Identity Services Engine (ISE)
- Microsoft Azure AD, abonnement et applications
- EAP-TLS authentification
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco ISE 3.2
- Microsoft Azure AD
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Dans ISE 3.0, il est possible de tirer parti de l'intégration entre ISE et Azure Active Directory (AAD) pour authentifier les utilisateurs en fonction des groupes et attributs Azure AD via la communication ROPC (Resource Owner Password Credentials). Avec ISE 3.2, vous pouvez configurer l'authentification basée sur les certificats et les utilisateurs peuvent être autorisés en fonction des appartenances aux groupes Azure AD et d'autres attributs. ISE interroge Azure via l'API graphique pour récupérer des groupes et des attributs pour l'utilisateur authentifié. Il utilise le nom commun de l'objet (CN) du certificat par rapport au nom principal de l'utilisateur (UPN) côté Azure.
Remarque : les authentifications basées sur les certificats peuvent être EAP-TLS ou TEAP avec EAP-TLS comme méthode interne. Vous pouvez ensuite sélectionner des attributs dans Azure Active Directory et les ajouter au dictionnaire Cisco ISE. Ces attributs peuvent être utilisés pour l'autorisation. Seule l'authentification utilisateur est prise en charge.
Configurer
Diagramme du réseau
L’image suivante fournit un exemple de schéma de réseau et de flux de trafic
Procédure:
- Le certificat est envoyé à ISE via EAP-TLS ou TEAP avec EAP-TLS comme méthode interne.
- ISE évalue le certificat de l'utilisateur (période de validité, CA approuvée, CRL, etc.).
- ISE prend le nom de sujet du certificat (CN) et effectue une recherche dans l'API Microsoft Graph pour récupérer les groupes et autres attributs de l'utilisateur. Il s'agit du nom d'utilisateur principal (UPN) côté Azure.
- Les stratégies d'autorisation ISE sont évaluées par rapport aux attributs de l'utilisateur renvoyés par Azure.
Remarque : vous devez configurer et accorder les autorisations de l'API Graph à l'application ISE dans Microsoft Azure, comme indiqué ci-dessous :
Configurations
Configuration ISE
Remarque : la fonctionnalité ROPC et l'intégration entre ISE et Azure AD ne sont pas abordées dans ce document. Il est important que les groupes et les attributs d'utilisateur soient ajoutés à partir d'Azure. Reportez-vous au guide de configuration ici.
Configurer le profil d'authentification du certificat
Étape 1. Naviguez jusqu'à l'icône Menu dans l'angle supérieur gauche et sélectionnez Administration > Gestion des identités > Sources d'identités externes.
Étape 2. Sélectionner Authentification du certificat Profil, puis cliquez sur Ajouter.
Étape 3. Définissez le nom, Définissez le Magasin d'identités comme [Sans objet], et sélectionnez Objet - Nom commun sur Utiliser l'identité de champ. Sélectionnez Jamais en correspondance Certificat client contre certificat dans le magasin d'identités Champ.
Étape 4. Cliquez sur Enregistrer
Étape 5. Naviguez jusqu'à l'icône Menu dans l'angle supérieur gauche et sélectionnez Stratégie > Ensembles de stratégies.
Étape 6. Sélectionnez le signe plus pour créer un nouvel ensemble de stratégies. Définissez un nom et sélectionnez Wireless 802.1x (Sans fil 802.1x) ou wired 802.1x (Filaire 802.1x) comme conditions. L'option Accès réseau par défaut est utilisée dans cet exemple
Étape 7. Sélectionnez la flèche en regard de Default Network Access pour configurer les stratégies d'authentification et d'autorisation.
Étape 8. Sélectionnez l'option Authentication Policy, définissez un nom et ajoutez EAP-TLS comme Network Access EAPAuthentication. Il est possible d'ajouter TEAP comme Network Access EAPTunnel si TEAP est utilisé comme protocole d'authentification. Sélectionnez le profil d'authentification de certificat créé à l'étape 3 et cliquez sur Enregistrer.
Étape 9. Sélectionnez l'option Stratégie d'autorisation, définissez un nom et ajoutez des attributs de groupe ou d'utilisateur Azure AD comme condition. Sélectionnez le profil ou le groupe de sécurité sous Résultats, en fonction de l'exemple d'utilisation, puis cliquez sur Enregistrer.
Configuration utilisateur.
Le nom commun d'objet (CN) du certificat d'utilisateur doit correspondre au nom principal d'utilisateur (UPN) côté Azure afin de récupérer l'appartenance au groupe AD et les attributs d'utilisateur qui seront utilisés dans les règles d'autorisation. Pour que l'authentification réussisse, l'autorité de certification racine et tous les certificats d'autorités de certification intermédiaires doivent se trouver dans le magasin de confiance ISE.
Vérifier
Vérification ISE
Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu et choisissez for network authentications (RADIUS).
Cliquez sur l'icône de la loupe dans la colonne Détails pour afficher un rapport d'authentification détaillé et vérifier si le flux fonctionne comme prévu.
- Vérifier les stratégies d'authentification/autorisation
- Méthode/protocole d'authentification
- Nom du sujet de l'utilisateur extrait du certificat
- Groupes d'utilisateurs et autres attributs extraits du répertoire Azure
Dépannage
Activer les débogages sur ISE
Naviguez jusqu'à Administration > System > Logging > Debug Log Configuration pour définir les composants suivants sur le niveau spécifié.
Noeud |
Nom du composant |
Niveau de consignation |
Nom du fichier journal |
PSN |
rest-id-store |
Déboguer |
rest-id-store.log |
PSN |
runtime-AAA |
Déboguer |
prt-server.log |
Remarque : lorsque vous avez terminé le dépannage, n'oubliez pas de réinitialiser les débogages. Pour ce faire, sélectionnez le noeud associé et cliquez sur « Reset to Default ».
Extraits de journaux
Les extraits suivants montrent les deux dernières phases du flux, comme indiqué précédemment dans la section du schéma de réseau.
- ISE prend le nom du sujet du certificat (CN) et effectue une recherche dans l'API Azure Graph pour récupérer les groupes et autres attributs de l'utilisateur. Il s'agit du nom d'utilisateur principal (UPN) côté Azure.
- Les stratégies d'autorisation ISE sont évaluées par rapport aux attributs de l'utilisateur renvoyés par Azure.
Journaux Rest-id :
Journaux de port: