Duoを使用したISE 3.3ネイティブMulti-factor Authenticationの設定

ダウンロード オプション

  • PDF     (2.6 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.4 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.9 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 12 月 11 日
Document ID:221232

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Identity Services Engine(ISE)3.3パッチ1とDuo for Multi-factor Authentication(MIC)を統合する方法について説明します。バージョン3.3パッチ1以降では、ISEはDuoサービスとのネイティブ統合を設定できるため、認証プロキシは不要です。

    前提条件

    要件

    次の項目に関する基本的な知識が推奨されます。

    • ISE

    • Duo

    使用するコンポーネント

    このドキュメントの情報は、次のハードウェアに基づくものです。

    • Cisco ISEバージョン3.3パッチ1
    • Duo
    • Cisco ASA バージョン 9.16(4)
    • Cisco Secure Clientバージョン5.0.04032

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    フロー図

    フロー図フロー図

    手順

    0. 構成フェーズには、ユーザーが同期されるActive Directoryグループの選択が含まれます。同期は、MFAウィザードが完了すると行われます。この操作は、次の 2 つの手順からなります。Active Directoryを参照して、ユーザと特定の属性のリストを取得します。Cisco ISE Admin APIを使用したDuo Cloudへの呼び出しは、ユーザをそこにプッシュするために行われます。管理者はユーザーを登録する必要があります。登録には、Duo Mobileのユーザーをアクティブ化するオプションのステップを含めることができます。これにより、ユーザーはDuo Pushでワンタップ認証を使用できます

    1. VPN接続が開始され、ユーザがユーザ名とパスワードを入力して「OK」をクリックします。ネットワークデバイスがRADIUS Access-RequestをPSNに送信

    2. PSNノードがActive Directoryを介してユーザを認証する

    3. 認証が成功し、MFAポリシーが設定されると、PSNはDuo Cloudに接続するためにPANを実行します

    4. Duo CloudとCisco ISE Auth APIの呼び出しは、Duoによる第2因子認証を呼び出すために行われます。ISEは、SSL TCPポート443でDuoのサービスと通信します。

    5. 2段階認証が行われます。ユーザが第2因子認証プロセスを完了する

    6. Duoは、第2因子認証の結果をPANに応答します

    7. PANは、第2要素認証の結果をPSNに応答します

    8. Access-Acceptがネットワークデバイスに送信され、VPN接続が確立されます。

    コンフィギュレーション

    保護するアプリケーションの選択

    Duo Admin Dashboard https://admin.duosecurity.com/loginに移動します。管理者クレデンシャルでログインします。

    Dashboard > Applications > Protect an Applicationの順に移動します。Cisco ISE Auth APIを探して、Protectを選択します。

    認証API 1認証API 1

    統合キーと秘密キーをメモします。

    認証API 2認証API 2

    Dashboard > Applications > Protect an Applicationの順に移動します。Cisco ISE Admin APIを探して、Protectを選択します。

    注:Duo管理パネルでCisco ISE Admin APIアプリケーションを作成または変更できるのは、Ownerロールを持つ管理者だけです。

    認証API 1認証API 1

    統合キー秘密キー、およびAPIホスト名をメモします。

    管理API 2管理API 2

    API権限の設定

    ダッシュボード>アプリケーション>アプリケーションに移動します。Cisco ISE Admin APIを選択します。

    Grant Read ResourceおよびGrant Write Resourceパーミッションをチェックします。Save Changesをクリックします。

    管理API 3管理API 3

    ISEとActive Directoryの統合

    1. Administration > Identity Management > External Identity Stores > Active Directory > Addの順に移動します。[Join Point Name] と [Active Directory Domain] に入力し、[Submit] をクリックします。

    Active Directory 1Active Directory 1

    2. すべてのISEノードをこのActive Directoryドメインに参加させるプロンプトが表示されたら、Yesをクリックします。

    Active Directory 2Active Directory 2

    3. ADのユーザ名とパスワードを入力し、OKをクリックします。

    Active Directory 3Active Directory 3

    ISEでのドメインアクセスに必要なADアカウントは、次のいずれかになります。

    • 各ドメインのドメインユーザ権限にワークステーションを追加
    • ISEマシンのアカウントがドメインに参加する前に作成される各コンピュータコンテナに対するコンピュータオブジェクトの作成またはコンピュータオブジェクトの削除の権限

    :シスコでは、ISEアカウントのロックアウトポリシーを無効にし、誤ったパスワードが管理者に使用された場合に管理者にアラートを送信するようにADインフラストラクチャを設定することを推奨します。誤ったパスワードが入力されると、ISEは必要なときにマシンアカウントを作成または変更しないため、すべての認証が拒否される可能性があります。

    4. ADのステータスはOperationalです。

    Active Directory 4Active Directory 4

    5. 「グループ」>「追加」>「ディレクトリからグループを選択」>「グループの取得」に移動します。次の図に示すように、選択したADグループ(ユーザの同期と認可ポリシーに使用)に対してチェックボックスをオンにします。

    Active Directory 5Active Directory 5

     6. Saveをクリックして、取得したADグループを保存します。

    Active Directory 6Active Directory 6

    オープンAPIの有効化

    Administration > System > Settings > API Settings > API Service Settingsの順に移動します。Open APIを有効にして、Saveをクリックします。

    オープンAPIオープンAPI

    MFAアイデンティティ・ソースの有効化

    Administration > Identity Management > Settings > External Identity Sources Settingsの順に移動します。MFAをイネーブルにして、Saveをクリックします。

    ISE MFA 1ISE MFA 1

    MFA外部アイデンティティソースの設定

    [Administration] > [Identity Management] > [External Identity Sources] に移動します。[Add] をクリックします。初期画面でLet's Do Itをクリックします。

    ISE DUOウィザード1ISE Duoウィザード1

    次の画面で接続名を設定し、Nextをクリックします。

    ISE DUOウィザード2ISE Duoウィザード2

    APIホスト名、Cisco ISE Admin API統合と秘密キー、Cisco ISE Auth API統合と秘密キーの値を、保護するアプリケーションの選択ステップで設定します。

    ISE DUOウィザード3ISE Duoウィザード3

    Test Connectionをクリックします。Test Connectionが成功したら、Nextをクリックします。

    ISE DUOウィザード4ISE Duoウィザード4

    Identity Syncを設定します。このプロセスでは、選択したActive Directoryグループのユーザが、前に提供されたAPIクレデンシャルを使用してDuoアカウントに同期されます。Active Directory Join Pointを選択します。[Next] をクリックします。

    注:Active Directoryの設定はこのドキュメントの対象範囲外です。ISEをActive Directoryと統合するには、このドキュメントの説明に従ってください。

    ISE DUOウィザード5ISE Duoウィザード5

    ユーザをDuoと同期させるActive Directoryグループを選択します。[Next] をクリックします。

    ISE DUOウィザード6ISE Duoウィザード6

    設定が正しいことを確認して、Doneをクリックします。

    ISE DUOウィザード7ISE Duoウィザード7

    ユーザをDuoに登録

    注:Duoユーザの登録は、このドキュメントの対象範囲外です。ユーザの登録の詳細については、このドキュメントを参照してください。このドキュメントの目的に従い、手動によるユーザ登録を使用します。

    Duo Adminダッシュボードを開きます。Dashboard > Usersの順に移動します。ISEから同期されたユーザをクリックします。

    DUO登録1Duo登録1

    Phonesまでスクロールダウンします。Add Phoneをクリックします。

    DUO登録2Duo登録2

    電話番号を入力し、電話の追加をクリックします。

    スクリーンショット_2023-11-16_at_14_47_32Duo登録3

    ポリシーセットの設定

    1. 認証ポリシーの設定

    Policy > Policy Setの順に移動します。MFAを有効にするポリシーセットを選択します。プライマリ認証IDストアをActive Directoryとして使用する認証ポリシーを設定します。

    ポリシーセット1ポリシーセット1

    2. MFAポリシーの設定

    ISEでMFAを有効にすると、ISEポリシーセットの新しいセクションが使用可能になります。MFA Policyを展開し、+をクリックしてMFA Policyを追加します。MFA条件の設定:好みに応じて、使用セクションで事前に設定したDUO-MFAを選択します。[Save] をクリックします。

    ISEポリシーISEポリシー

    注:上記で設定したポリシーは、RAという名前のTunnel-Groupに依存しています。RAトンネルグループに接続されたユーザは、強制的にMFAを実行されます。ASA/FTDの設定は、このドキュメントの対象範囲外です。このドキュメントを使用して、ASA/FTDを設定します

    3. 許可ポリシーの設定 

    Active Directoryグループの条件と任意の権限を使用して認可ポリシーを設定します。

    ポリシーセット3ポリシーセット3

    制限事項

    このドキュメントの作成時点:

    1. 2次認証方式としてサポートされているのは、Duoプッシュと電話のみ

    2. Duo Cloudにプッシュされるグループはありません。ユーザー同期のみがサポートされます

    3. 次の多要素認証の使用例のみがサポートされます。

    • VPNユーザ認証
    • TACACS+管理アクセス認証

    確認

    Cisco Secure Clientを開き、Connectをクリックします。UsernamePasswordを指定して、OKをクリックします。

    VPN クライアントVPN クライアント

    ユーザのモバイルデバイスは、Duoプッシュ通知を受信する必要があります。承認します。VPN接続が確立されます。

    DUOプッシュデュオプッシュ

    ISEでOperations > Live Logsの順に移動し、ユーザ認証を確認します。

    ライブログ1ライブログ1

    Details Authentication Reportをクリックして、Authentication Policy、Authorization Policy、Authorization Resultを確認します。右側の手順をスクロールします。MFAが成功したことを確認するには、次の行が存在する必要があります。

    多要素認証が成功しました

    ライブログ2ライブログ2

    トラブルシュート

    ISEで有効にするデバッグ。

    使用例 ログコンポーネント ログファイル キーログメッセージ
    MFA関連のログ ポリシーエンジン ise-psc.log DuoMfaAuthApiUtils -:::- Duoクライアントマネージャに要求を送信しました
    DuoMfaAuthApiUtils —> Duo応答
    ポリシー関連のログ prrt-JNI prrt管理.log RadiusMfaPolicyRequestProcessorです
    TacacsMfaPolicyRequestProcessor(オプション)
    認証に関連するログ ランタイムAAA prrtサーバ.log MfaAuthenticator::onAuthenticateEvent
    MfaAuthenticator::sendAuthenticateEvent
    MfaAuthenticator::onResponseEvaluatePolicyEvent
    Duo認証、ID同期関連のログ duo-sync-service.logファイル

    更新履歴

    改定 発行日 コメント
    1.0
    11-Dec-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • ユージーン・コルネイチュク
      Cisco TACテクニカルリーダー

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています