Configurar o EAP-TLS do ISE 3.2 com o Ative Diretory do Microsoft Azure

Opções de download

  • PDF     (1.5 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de dezembro de 2023
ID do documento:218197

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar e solucionar problemas de políticas de autorização no ISE com base na associação de grupo do Azure AD com EAP-TLS ou TEAP.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Identity services engine (ISE)
    • Microsoft Azure AD, assinatura e aplicativos
    • EAP-TLS Autenticação

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ISE 3.2
    • AD do Microsoft Azure

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio 

    No ISE 3.0, é possível aproveitar a integração entre o ISE e o Azure Ative Diretory (AAD) para autenticar os usuários com base nos grupos e atributos do Azure AD por meio da comunicação ROPC (Resource Owner Password Credentials). Com o ISE 3.2, você pode configurar a autenticação baseada em certificado e os usuários podem ser autorizados com base em associações de grupo do Azure AD e outros atributos. O ISE consulta o Azure por meio da API de gráfico para buscar grupos e atributos para o usuário autenticado. Ele usa o Nome Comum do Requerente (CN) do certificado em relação ao Nome UPN no Azure.

    Observação: as autenticações baseadas em certificado podem ser EAP-TLS ou TEAP com EAP-TLS como o método interno. Em seguida, você pode selecionar atributos do Ative Diretory do Azure e adicioná-los ao dicionário do Cisco ISE. Esses atributos podem ser usados para autorização. Somente a autenticação de usuário é suportada.

    Configurar

    Diagrama de Rede

    A próxima imagem fornece um exemplo de um diagrama de rede e fluxo de tráfego

    rmigisha_0-1663799260041

    Procedimento:

    1. O certificado é enviado ao ISE por meio de EAP-TLS ou TEAP com EAP-TLS como o método interno.
    2. O ISE avalia o certificado do usuário (período de validade, CA confiável, CRL e assim por diante).
    3. O ISE pega o CN (nome da entidade) do certificado e faz uma pesquisa na API do Microsoft Graph para buscar os grupos do usuário e outros atributos para esse usuário. Isso é conhecido como nome UPN no Azure.
    4. As políticas de Autorização do ISE são avaliadas em relação aos atributos do usuário retornados do Azure.

    Observação: você deve configurar e conceder as permissões da API do Graph para o aplicativo ISE no Microsoft Azure como mostrado abaixo:

    API Permissions

    Configurações

    Configuração do ISE

    Observação: a funcionalidade ROPC e a Integração entre o ISE e o Azure AD estão fora do escopo deste documento. É importante que grupos e atributos de usuário sejam adicionados do Azure. Consulte o guia de configuração aqui.

    Configurar o Perfil de Autenticação de Certificado  

    Etapa 1. Navegue até o ícone Menu rmigisha_18-1663803391946 localizado no canto superior esquerdo e selecione Administração > Gerenciamento de Identidades > Origens de Identidades Externas.

    Etapa 2. Selecionar Autenticação de certificado Perfil e clique em Adicionar. 

    Etapa 3. Defina o nome, defina o Repositório de Identidades como [Não aplicável] e selecione Assunto - Nome comum em Usar Identidade de campo. Selecionar Nunca na Correspondência Certificado do Cliente em relação ao Certificado no Repositório de Identidades Campo. 

    rmigisha_2-1663802545501

    Etapa 4. Clique em Save

    rmigisha_2-1663951904221

    Etapa 5. Navegue até o ícone Menu rmigisha_18-1663803391946 localizado no canto superior esquerdo e selecione Política > Conjuntos de Políticas.

    Etapa 6. Selecione o sinal de mais rmigisha_6-1663802545507 para criar um novo conjunto de políticas. Defina um nome e selecione Wireless 802.1x ou wired 802.1x como condições. A opção Acesso à rede padrão é usada neste exemplo

    rmigisha_0-1663950278197

    Passo 7. Selecione a seta rmigisha_1-1663954795995 ao lado de Default Network Access (Acesso de rede padrão) para configurar Authentication and Authorization Policies (Políticas de autenticação e autorização).

    Etapa 8. Selecione a opção Authentication Policy, defina um nome e adicione EAP-TLS como Network Access EAPAutenticação, será possível adicionar TEAP como Network Access EAPTunnel se TEAP for usado como o protocolo de autenticação. Selecione o perfil de autenticação de certificado criado na etapa 3 e clique em Save.

    rmigisha_1-1663811245546

    Etapa 9. Selecione a opção Política de Autorização, defina um nome e adicione atributos de usuário ou grupo do Azure AD como uma condição. Escolha o perfil ou o grupo de segurança em Resultados, dependendo do caso de uso e clique em Save.  

    rmigisha_1-1663950342613

    User Configuration (Configuração do usuário).

    O Nome Comum do Requerente (CN) do certificado do usuário deve corresponder ao Nome UPN no Azure para recuperar a Associação de grupo do AD e os atributos do usuário que serão usados nas regras de autorização. Para que a autenticação seja bem-sucedida, a CA raiz e todos os certificados de CAs intermediários devem estar no ISE Trusted Store.

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    Verificar

    verificação de ISE

    Na GUI do Cisco ISE, clique no ícone Menu rmigisha_18-1663803391946 e escolher Operations > RADIUS > Live Logs para autenticações de rede (RADIUS).

    ISE Verify

    Clique no ícone de lupa na coluna Detalhes para exibir um relatório de autenticação detalhado e confirme se o fluxo funciona como esperado.

    1. Verificar as políticas de autenticação/autorização
    2. Método/protocolo de autenticação
    3. Nome da entidade do usuário obtido do certificado
    4. Grupos de usuários e outros atributos buscados do diretório do Azure

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    Troubleshooting

    Habilitar depurações no ISE

    Navegue até Administração > Sistema > Registro > Configuração do Log de Depuração para definir os próximos componentes para o nível especificado.

    Nome do componente

      Nível de log

    Nome do arquivo de log

    PSN

    rest-id-store

    Debug

    rest-id-store.log

    PSN

    runtime-AAA

    Debug

    prt-server.log

    Observação: quando terminar de solucionar problemas, lembre-se de redefinir as depurações. Para fazer isso, selecione o nó relacionado e clique em "Redefinir para padrão".

    Registra trechos

    Os próximos trechos mostram as duas últimas fases do fluxo, como mencionado anteriormente na seção do diagrama de rede.

    1. O ISE pega o CN (nome da entidade) do certificado e executa uma pesquisa na API do Azure Graph para buscar grupos de usuários e outros atributos para esse usuário. Isso é conhecido como nome UPN no Azure.
    2. As políticas de Autorização do ISE são avaliadas em relação aos atributos do usuário retornados do Azure.

    Logs Rest-id:

    rmigisha_17-1663802653185

    Logs de porta:

    rmigisha_16-1663802653185

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    22-Dec-2023
    Título e seção de introdução atualizados para atender aos requisitos do guia de estilo Cisco.com.
    1.0
    27-Sep-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Romeo Migisha
      Engenheiro de consultoria técnica
    • Emmanuel Cano
      Engenheiro de consultoria de segurança

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco