使用Microsoft Azure Active Directory配置ISE 3.2 EAP-TLS

下載選項

  • PDF     (1.6 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 12 月 22 日
文件 ID:218197

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何根據EAP-TLS或TEAP的Azure AD組成員身份在ISE中配置授權策略並對其進行故障排除。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 身分識別服務引擎 (ISE)
    • Microsoft Azure AD、訂閱和應用
    • EAP-TLS 驗證

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • Cisco ISE 3.2
    • Microsoft Azure AD

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊 

    在ISE 3.0中,可以利用ISE與Azure Active Directory(AAD)之間的整合,通過資源所有者密碼憑證(ROPC)通訊基於Azure AD組和屬性對使用者進行身份驗證。使用ISE 3.2,您可以配置基於證書的身份驗證,並且使用者可以基於azure AD組成員身份和其他屬性獲得授權。ISE通過圖形API查詢Azure來獲取經過身份驗證的使用者的組和屬性,它根據Azure端的使用者主體名稱(UPN)使用證書的使用者公用名(CN)。

    :基於證書的身份驗證可以是EAP-TLS或以EAP-TLS作為內部方法的TEAP。然後,您可以從Azure Active Directory選擇屬性並將其新增到思科ISE詞典。這些屬性可用於授權。僅支援使用者身份驗證。

    設定

    網路圖表

    下一張圖提供網路圖表和流量傳輸的範例

    rmigisha_0-1663799260041

    過程:

    1. 證書通過EAP-TLS或TEAP傳送到ISE,EAP-TLS作為內部方法。
    2. ISE評估使用者證書(有效期、受信任CA、CRL等。)
    3. ISE獲取證書使用者名稱(CN)並執行查詢Microsoft Graph API以獲取該使用者的組和其他屬性。這在Azure端稱為使用者主體名稱(UPN)。
    4. 根據從Azure返回的使用者屬性評估ISE授權策略。

    注意:您必須配置圖形API許可權並將其授予Microsoft Azure中的ISE應用,如下所示:

    API Permissions

    組態

    ISE 組態

    注意:ROPC功能和ISE與Azure AD之間的整合不在本文檔的範圍之內。從Azure新增組和使用者屬性很重要。請參閱此處的配置指南

    配置證書身份驗證配置檔案  

    步驟 1. 導航至 Menu圖示 rmigisha_18-1663803391946 位於左上角,然後選擇 管理>身份管理>外部身份源。

    步驟 2. 選擇 憑證驗證 配置式,然後按一下 新增. 

    步驟 3. 定義名稱,設定 身份庫 為[不適用],然後選擇主題 — 通用名稱 使用身份源 欄位.選擇Never on Match 針對身份庫中的證書的客戶端證書 欄位. 

    rmigisha_2-1663802545501

    步驟 4. 按一下 儲存

    rmigisha_2-1663951904221

    步驟 5. 導航至 Menu圖示 rmigisha_18-1663803391946 位於左上角,然後選擇 策略>策略集。

    步驟 6. 選擇加號 rmigisha_6-1663802545507 圖示以建立新的策略集。定義名稱並選擇無線802.1x或有線802.1x作為條件。本示例中使用了Default Network Access選項

    rmigisha_0-1663950278197

    步驟 7. 選取箭頭 rmigisha_1-1663954795995 在Default Network Access旁,配置身份驗證和授權策略。

    步驟 8. 選擇Authentication Policy選項,定義名稱並新增EAP-TLS作為網路訪問EAPAuthentication,如果將TEAP用作身份驗證協定,則可能新增TEAP作為網路訪問EAPTunnel。選擇步驟3中建立的證書身份驗證配置檔案,然後按一下 儲存.

    rmigisha_1-1663811245546

    步驟 9. 選擇「授權策略」選項,定義名稱並將Azure AD組或使用者屬性新增為條件。選擇結果下的配置檔案或安全組(取決於用例),然後按一下 儲存.  

    rmigisha_1-1663950342613

    使用者配置。

    使用者證書中的使用者公用名稱(CN)必須與Azure端上的使用者主體名稱(UPN)匹配,才能檢索在授權規則中使用的AD組成員身份和使用者屬性。為使身份驗證成功,根CA和任何中間CA證書必須位於ISE受信任儲存中。

    rmigisha_12-1663802565885

    rmigisha_11-1663802565884

    驗證

    ISE驗證

    在Cisco ISE GUI中,按一下Menu圖示 rmigisha_18-1663803391946 選擇 Operations > RADIUS > Live Logs for network authentications(RADIUS)。

    ISE Verify

    按一下Details列中的放大鏡圖示以檢視詳細的身份驗證報告,並確認流是否按預期運行。

    1. 驗證身份驗證/授權策略
    2. 驗證方法/協定
    3. 從證書中獲取的使用者使用者名稱
    4. 從Azure目錄提取的使用者組和其他屬性

    rmigisha_14-1663802613946

    rmigisha_15-1663802613947

    疑難排解

    在ISE上啟用調試

    導航至 管理>系統>記錄>調試日誌配置 將下一個元件設定為指定級別。

    節點

    元件名稱

      日誌級別

    日誌檔名

    PSN

    rest-id-store

    偵錯

    rest-id-store.log

    PSN

    運行時AAA

    偵錯

    prrt-server.log

    注意:完成故障排除後,請記住重置調試。為此,請選擇相關節點,然後按一下「重置為預設值」。

    日誌片段

    接下來的摘錄顯示了流程的最後兩個階段,如前面網路圖部分所述。

    1. ISE獲取證書使用者名稱(CN)並執行對Azure Graph API的查詢,以獲取該使用者的組和其他屬性。這在Azure端稱為使用者主體名稱(UPN)。
    2. 根據從Azure返回的使用者屬性評估ISE授權策略。

    Rest-id日誌:

    rmigisha_17-1663802653185

    埠日誌:

    rmigisha_16-1663802653185

    修訂記錄

    修訂 發佈日期 意見
    2.0
    22-Dec-2023
    已更新標題和簡介部分,以滿足Cisco.com樣式指南要求。
    1.0
    27-Sep-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Romeo Migisha
      Technical Consulting Engineer
    • Emmanuel Cano
      Security Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您