ISE 3.2 EAP-TLS configureren met Microsoft Azure Active Directory

Downloadopties

  • PDF     (1.5 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 december 2023
Document-id:218197

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u autorisatiebeleid in ISE kunt configureren en oplossen op basis van Azure AD-groepslidmaatschap met EAP-TLS of TEAP.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, abonnement en apps
    • EAP-TLS verificatie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE-lijnkaart 3.2
    • Microsoft Azure AD

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie 

    In ISE 3.0 kan gebruik worden gemaakt van de integratie tussen ISE en Azure Active Directory (AAD) om gebruikers te verifiëren op basis van Azure AD-groepen en -kenmerken via ROPC-communicatie (Resource Owner Password Credentials). Met ISE 3.2 kunt u op certificaat gebaseerde verificatie configureren en kunnen gebruikers worden geautoriseerd op basis van azure AD-groepslidmaatschap en andere kenmerken. ISE vraagt Azure via grafiek API om groepen en attributen voor de geauthenticeerde gebruiker op te halen, het gebruikt de onderwerpnaam (Onderwerp Common Name, CN) van het certificaat tegen Gebruiker Principal Name (UPN) aan de Azure-kant.

    Opmerking: de op certificaten gebaseerde verificaties kunnen EAP-TLS of TEAP zijn met EAP-TLS als binnenmethode. Vervolgens kunt u kenmerken selecteren uit Azure Active Directory en deze toevoegen aan het Cisco ISE-woordenboek. Deze eigenschappen kunnen voor vergunning worden gebruikt. Alleen gebruikersverificatie wordt ondersteund.

    Configureren

    Netwerkdiagram

    Het volgende beeld verstrekt een voorbeeld van een netwerkdiagram en een verkeersstroom

    rmigisha_0-1663799260041

    Procedure:

    1. Het certificaat wordt naar ISE verzonden via EAP-TLS of TEAP met EAP-TLS als binnenmethode.
    2. ISE evalueert het gebruikerscertificaat (geldigheidsperiode, vertrouwde CA, CRL enzovoort).
    3. ISE neemt de certificaatonderwerpnaam (CN) en voert een raadpleging uit naar de Microsoft Graph API om de gebruikersgroepen en andere kenmerken voor die gebruiker te halen. Dit staat bekend als User Principal Name (UPN) aan de kant van Azure.
    4. ISE-autorisatiebeleid wordt beoordeeld aan de hand van de gebruikerskenmerken die door Azure zijn geretourneerd.

    Opmerking: U moet de Graph API-rechten configureren en verlenen aan de ISE-app in Microsoft Azure, zoals hieronder wordt getoond:

    API Permissions

    Configuraties

    ISE-configuratie

    Opmerking: ROPC-functionaliteit en integratie tussen ISE en Azure AD valt buiten het bereik van dit document. Het is belangrijk dat groepen en gebruikerskenmerken worden toegevoegd van Azure. Zie hier de configuratiehandleiding.

    Het profiel voor certificaatverificatie configureren  

    Stap 1. Naar navigeren het menu-pictogram rmigisha_18-1663803391946 in de linkerbovenhoek en selecteer Administratie > Identiteitsbeheer > Externe identiteitsbronnen.

    Stap 2. Kiezen Certificaatverificatie Profiel en klik op Toevoegen. 

    Stap 3. Bepaal de naam, Stel de Identity Store als [Niet van toepassing], en selecteer Onderwerp - Gemeenschappelijke naam op Identiteit gebruiken van veld. Selecteer nooit op overeenkomst Clientcertificaat tegen certificaat in Identity Store Veld. 

    rmigisha_2-1663802545501

    Stap 4. Klik op Opslaan

    rmigisha_2-1663951904221

    Stap 5. Naar navigeren het menu-pictogram rmigisha_18-1663803391946 in de linkerbovenhoek en selecteer Beleid > Beleidssets.

    Stap 6. Selecteer de plus rmigisha_6-1663802545507 pictogram om een nieuwe beleidsset te maken. Definieer een naam en selecteer Wireless 802.1x of bekabeld 802.1x als voorwaarden. De optie Standaard netwerktoegang wordt in dit voorbeeld gebruikt

    rmigisha_0-1663950278197

    Stap 7. Selecteer de pijl rmigisha_1-1663954795995 naast Default Network Access om verificatie- en autorisatiebeleid te configureren.

    Stap 8. Selecteer de optie Verificatiebeleid, definieer een naam en voeg EAP-TLS toe als EAPA-verificatie voor netwerktoegang. Het is mogelijk om TEAP toe te voegen als EAPT-tunnel voor netwerktoegang als TEAP wordt gebruikt als verificatieprotocol. Selecteer het certificaatverificatieprofiel dat in stap 3 is gemaakt en klik op Opslaan.

    rmigisha_1-1663811245546

    Stap 9. Selecteer de optie Autorisatiebeleid, definieer een naam en voeg Azure AD-groep of gebruikerskenmerken als voorwaarde toe. Kies het profiel of de beveiligingsgroep onder Resultaten, hangt af van de gebruikscase en klik vervolgens op Opslaan.  

    rmigisha_1-1663950342613

    Gebruikersconfiguratie.

    De onderwerpnaam (CN) uit het gebruikerscertificaat moet overeenkomen met de hoofdnaam van de gebruiker (UPN) aan de kant van Azure om het lidmaatschap van de AD-groep en gebruikerskenmerken op te halen die in de machtigingsregels worden gebruikt. De authenticatie kan alleen succesvol zijn als de root-CA en alle tussenliggende CA’s-certificaten zich in de ISE Trusted Store bevinden.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Verifiëren

    ISE-verificatie

    Klik in de Cisco ISE GUI op het pictogram Menu rmigisha_18-1663803391946 en kiezen Operations > RADIUS > Live logs voor netwerkverificatie (RADIUS).

    ISE Verify

    Klik in de kolom Details op het pictogram vergrootglas om een gedetailleerd verificatierapport te bekijken en te bevestigen of de stroom werkt zoals verwacht.

    1. Verifieer het verificatie-/autorisatiebeleid
    2. Verificatiemethode/protocol
    3. Onderwerpnaam van de gebruiker overgenomen van het certificaat
    4. Gebruikersgroepen en andere kenmerken gehaald uit Azure-directory

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Problemen oplossen

    Debugs inschakelen op ISE

    Naar navigeren Beheer > Systeem > Vastlegging > Configuratie debug-log om de volgende onderdelen op het opgegeven niveau in te stellen.

    Knooppunt

    Naam van component

      Logniveau

    Logbestandsnaam

    PSN

    winkel voor ruilhandel

    Debuggen

    rest-id-store.log

    PSN

    runtime-AAA

    Debuggen

    prtserver.log

    Opmerking: wanneer u klaar bent met probleemoplossing, vergeet niet de debugs opnieuw in te stellen. Hiertoe selecteert u het betreffende knooppunt en klikt u op "Standaard opnieuw instellen".

    Logs-fragmenten

    De volgende uittreksels tonen de laatste twee fasen in de stroom, zoals eerder vermeld in de sectie van het netwerkdiagram.

    1. ISE neemt de certificaatonderwerpnaam (CN) en voert een opzoekactie uit naar de Azure Graph API om gebruikersgroepen en andere kenmerken voor die gebruiker te halen. Dit staat bekend als User Principal Name (UPN) aan Azure-zijde.
    2. ISE-autorisatiebeleid wordt beoordeeld aan de hand van de gebruikerskenmerken die door Azure zijn geretourneerd.

    logbestanden van rest-id's:

    rmigisha_17-1663802653185

    Printerlogboeken:

    rmigisha_16-1663802653185

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    22-Dec-2023
    Bijgewerkt titel en inleiding om te voldoen aan Cisco.com style guide requirements.
    1.0
    27-Sep-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Romeo Migisha
      Technisch adviseur-engineer
    • Emmanuel Cano
      Security Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco