使用Microsoft Azure Active Directory配置ISE 3.2 EAP-TLS

下载选项

  • PDF     (1.6 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 12 月 22 日
文档 ID:218197

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何根据EAP-TLS或TEAP的Azure AD组成员身份在ISE中配置授权策略并进行故障排除。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 身份服务引擎 (ISE)
    • Microsoft Azure AD、订阅和应用
    • EAP-TLS 身份验证

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科ISE 3.2
    • Microsoft Azure AD

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息 

    在ISE 3.0中,可以利用ISE与Azure Active Directory(AAD)之间的集成,通过资源所有者密码凭证(ROPC)通信根据Azure AD组和属性对用户进行身份验证。使用ISE 3.2,您可以配置基于证书的身份验证,用户可以根据Azure AD组成员身份和其他属性获得授权。ISE通过图形API查询Azure以获取经过身份验证的用户的组和属性,它根据Azure端的用户主体名称(UPN)使用证书的使用者公用名(CN)。

    注意:基于证书的身份验证可以是EAP-TLS或将EAP-TLS作为内部方法的TEAP。然后,您可以从Azure Active Directory选择属性并将其添加到思科ISE词典。这些属性可用于授权。仅支持用户身份验证。

    配置

    网络图

    下图提供了网络图和流量传输的示例

    rmigisha_0-1663799260041

    步骤:

    1. 证书通过EAP-TLS或TEAP发送到ISE,EAP-TLS作为内部方法。
    2. ISE评估用户的证书(有效期、受信任CA、CRL等。)
    3. ISE获取证书使用者名称(CN)并执行查找Microsoft Graph API以获取用户的组以及该用户的其它属性。这在Azure端称为用户主体名称(UPN)。
    4. ISE授权策略根据从Azure返回的用户属性进行评估。

    意:您必须在Microsoft Azure中配置并授予ISE应用的图形API权限,如下所示:

    API Permissions

    配置

    ISE 配置

    注意:ROPC功能和ISE与Azure AD之间的集成不在本文档的讨论范围之内。从Azure添加组和用户属性很重要。请参阅此处的配置指南

    配置证书身份验证配置文件  

    步骤1: 导航至 Menu图标 rmigisha_18-1663803391946 位于左上角,然后选择 管理>身份管理>外部身份源。

    第二步: 选择 证书身份验证 创建配置文件,然后单击 添加。 

    第三步: 定义名称,设置 身份库 设置为[不适用],并选择“主题 — 公用名称” 使用来自的身份 字段。选择Never on Match 根据身份库中的证书创建客户端证书 字段。 

    rmigisha_2-1663802545501

    第四步: 点击 保存

    rmigisha_2-1663951904221

    第五步: 导航至 Menu图标 rmigisha_18-1663803391946 位于左上角,然后选择 策略>策略集。

    第六步: 选择加号 rmigisha_6-1663802545507 图标以创建新的策略集。定义名称并选择无线802.1x或有线802.1x作为条件。本示例中使用了Default Network Access选项

    rmigisha_0-1663950278197

    步骤 7. 选择箭头 rmigisha_1-1663954795995 在Default Network Access旁边,配置身份验证和授权策略。

    步骤 8 选择Authentication Policy选项,定义名称并添加EAP-TLS作为网络访问EAPAuthentication,如果将TEAP用作身份验证协议,则可以添加TEAP作为网络访问EAPTunnel。选择在步骤3中创建的证书身份验证配置文件,然后点击 保存.

    rmigisha_1-1663811245546

    步骤 9 选择“授权策略”选项,定义名称并将Azure AD组或用户属性添加为条件。在“结果”(Results)下选择配置文件或安全组,具体取决于使用案例,然后单击 保存.  

    rmigisha_1-1663950342613

    用户配置.

    用户证书的主题公用名(CN)必须与Azure端上的用户主体名称(UPN)匹配,才能检索在授权规则中使用的AD组成员身份和用户属性。为使身份验证成功,根CA和任何中间CA证书必须位于ISE受信任库中。

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    验证

    ISE验证

    在Cisco ISE GUI中,点击Menu图标 rmigisha_18-1663803391946 选择 Operations > RADIUS > Live Logs for network authentications(RADIUS)。

    ISE Verify

    点击“详细信息”(Details)列中的放大镜图标,以查看详细的身份验证报告,并确认流是否按预期运行。

    1. 验证身份验证/授权策略
    2. 身份验证方法/协议
    3. 从证书中获取的用户使用者名称
    4. 从Azure目录获取的用户组和其他属性

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    故障排除

    在ISE上启用调试

    导航至 管理>System >记录>调试日志配置 将下一个组件设置为指定的级别。

    节点

    组件名称

      日志级别

    日志文件名

    PSN

    rest-id-store

    调试

    rest-id-store.log

    PSN

    运行时AAA

    调试

    prrt-server.log

    注意:完成故障排除后,请记住重置调试。为此,请选择相关节点,然后单击“重置为默认值”。

    日志片段

    下面的摘录显示了流程的最后两个阶段,如前面的网络图部分所述。

    1. ISE获取证书使用者名称(CN)并执行对Azure Graph API的查找,以获取用户的组以及该用户的其它属性。这在Azure端称为用户主体名称(UPN)。
    2. ISE授权策略根据从Azure返回的用户属性进行评估。

    Rest-id日志:

    rmigisha_17-1663802653185

    打印日志:

    rmigisha_16-1663802653185

    修订历史记录

    版本 发布日期 备注
    2.0
    22-Dec-2023
    已更新标题和简介部分,以满足Cisco.com样式指南要求。
    1.0
    27-Sep-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗密欧·米吉沙
      技术咨询工程师
    • 伊曼纽尔·卡诺
      安全咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们