Configurare ISE 3.2 EAP-TLS con Microsoft Azure Active Directory

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.4 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:22 dicembre 2023
ID documento:218197

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare e risolvere i problemi relativi ai criteri di autorizzazione in ISE in base all'appartenenza al gruppo Azure AD con EAP-TLS o TEAP.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, sottoscrizione e app
    • EAP-TLS autenticazione

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco ISE 3.2
    • Microsoft Azure AD

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse 

    In ISE 3.0 è possibile sfruttare l'integrazione tra ISE e Azure Active Directory (AAD) per autenticare gli utenti in base ai gruppi e agli attributi di Azure AD tramite la comunicazione ROPC (Resource Owner Password Credentials). Con ISE 3.2 è possibile configurare l'autenticazione basata su certificati e autorizzare gli utenti in base all'appartenenza ai gruppi di Azure AD e ad altri attributi. ISE esegue query su Azure tramite l'API del grafico per recuperare gruppi e attributi per l'utente autenticato. Utilizza il nome comune del soggetto (CN) del certificato in base al nome dell'entità utente (UPN) sul lato Azure.

    Nota: le autenticazioni basate sui certificati possono essere EAP-TLS o TEAP con EAP-TLS come metodo interno. È quindi possibile selezionare gli attributi da Azure Active Directory e aggiungerli al dizionario Cisco ISE. Questi attributi possono essere utilizzati per l'autorizzazione. È supportata solo l'autenticazione utente.

    Configurazione

    Esempio di rete

    Nell'immagine seguente viene illustrato un esempio di diagramma di rete e di flusso del traffico

    rmigisha_0-1663799260041

    Procedura:

    1. Il certificato viene inviato all'ISE tramite EAP-TLS o TEAP con EAP-TLS come metodo interno.
    2. ISE valuta il certificato dell'utente (periodo di validità, CA attendibile, CRL e così via).
    3. ISE acquisisce il nome del soggetto del certificato (CN) ed esegue una ricerca nell'API di Microsoft Graph per recuperare i gruppi e altri attributi dell'utente. Questo nome è noto come UPN (User Principal Name) nel lato di Azure.
    4. I criteri di autorizzazione ISE vengono valutati in base agli attributi dell'utente restituiti da Azure.

    Nota: è necessario configurare e concedere le autorizzazioni dell'API Graph per l'app ISE in Microsoft Azure, come mostrato di seguito:

    API Permissions

    Configurazioni

    Configurazione di ISE

    Nota: la funzionalità ROPC e l'integrazione tra ISE e Azure AD non rientrano nell'ambito di questo documento. È importante aggiungere gruppi e attributi utente da Azure. Vedere qui la guida alla configurazione.

    Configurare il profilo di autenticazione del certificato  

    Passaggio 1. Passa a l'icona Menu rmigisha_18-1663803391946 nell'angolo superiore sinistro e selezionare Amministrazione > Gestione delle identità > Origini identità esterne.

    Passaggio 2. Seleziona Autenticazione certificato Profilo, quindi fare clic su Aggiungi. 

    Passaggio 3. Definire il nome, Impostare il Archivio identità come [Non applicabile], quindi selezionare Oggetto - Nome comune in Usa identità da campo. Selezionare Mai in corrispondenza Certificato client rispetto al certificato nell'archivio identità Campo. 

    rmigisha_2-1663802545501

    Passaggio 4. Fare clic su Salva

    rmigisha_2-1663951904221

    Passaggio 5. Passa a l'icona Menu rmigisha_18-1663803391946 nell'angolo superiore sinistro e selezionare Criterio > Set di criteri.

    Passaggio 6. Selezionare il segno più rmigisha_6-1663802545507 per creare un nuovo set di criteri. Assegnare un nome e selezionare Wireless 802.1x o Wireless 802.1x come condizioni. In questo esempio viene utilizzata l'opzione Accesso alla rete predefinito

    rmigisha_0-1663950278197

    Passaggio 7. Selezionare la freccia rmigisha_1-1663954795995 accanto a Accesso alla rete predefinito per configurare i criteri di autenticazione e autorizzazione.

    Passaggio 8. Selezionare l'opzione Authentication Policy (Criterio di autenticazione), definire un nome e aggiungere EAP-TLS come Network Access EAPAuthentication (Autenticazione EAPA accesso alla rete). È possibile aggiungere TEAP come Network Access EAPTunnel se TEAP viene utilizzato come protocollo di autenticazione. Selezionare il profilo di autenticazione certificato creato al passaggio 3 e fare clic su Salva.

    rmigisha_1-1663811245546

    Passaggio 9. Selezionare l'opzione Criteri di autorizzazione, definire un nome e aggiungere gli attributi utente o del gruppo di Azure AD come condizione. Scegliere il profilo o il gruppo di protezione in Risultati, in base allo Use Case, quindi fare clic su Salva.  

    rmigisha_1-1663950342613

    Configurazione utente.

    Il nome comune del soggetto (CN) del certificato utente deve corrispondere al nome dell'entità utente (UPN) sul lato Azure per recuperare l'appartenenza al gruppo AD e gli attributi utente da utilizzare nelle regole di autorizzazione. Affinché l'autenticazione abbia esito positivo, la CA radice e gli eventuali certificati delle CA intermedie devono trovarsi nell'archivio attendibile ISE.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Verifica

    Verifica ISE

    Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu rmigisha_18-1663803391946 e scegliere Operazioni > RADIUS > Live Log per le autenticazioni di rete (RADIUS).

    ISE Verify

    Fare clic sull'icona della lente di ingrandimento nella colonna Dettagli per visualizzare un report di autenticazione dettagliato e verificare se il flusso funziona come previsto.

    1. Verifica criteri di autenticazione/autorizzazione
    2. Metodo/protocollo di autenticazione
    3. Nome soggetto utente ricavato dal certificato
    4. Gruppi di utenti e altri attributi recuperati dalla directory di Azure

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Risoluzione dei problemi

    Abilita debug su ISE

    Passa a Amministrazione > Sistema > Registrazione > Configurazione registro di debug per impostare i componenti successivi al livello specificato.

    Nodo

    Nome componente

      Livello log

    Nome file di log

    PSN

    rest-id-store

    Debug

    rest-id-store.log

    PSN

    runtime-AAA

    Debug

    port-server.log

    Nota: al termine della risoluzione dei problemi, ripristinare i debug. A tale scopo, selezionare il nodo correlato e fare clic su "Ripristina valori predefiniti".

    Registra frammenti

    Gli estratti successivi mostrano le ultime due fasi del flusso, come accennato in precedenza nella sezione diagramma reticolare.

    1. ISE acquisisce il nome soggetto del certificato (CN) ed esegue una ricerca nell'API di Azure Graph per recuperare i gruppi e altri attributi dell'utente. Questo nome è noto come UPN (User Principal Name) sul lato Azure.
    2. I criteri di autorizzazione ISE vengono valutati in base agli attributi dell'utente restituiti da Azure.

    Log ID residuo:

    rmigisha_17-1663802653185

    Registri porte:

    rmigisha_16-1663802653185

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    22-Dec-2023
    Titolo e sezione introduttiva aggiornati per soddisfare i requisiti della guida di stile Cisco.com.
    1.0
    27-Sep-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Romeo Migisha
      Tecnico di consulenza
    • Emmanuel Cano
      Tecnico di consulenza per la sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci