تكوين المصادقة الأصلية متعددة العوامل ISE 3.3 باستخدام Duo

خيارات التنزيل

  • PDF     (2.7 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٢ يونيو ٢٠٢٦
معرّف المستند:221232

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يوضح هذا المستند كيفية دمج التصحيح 3.3 Identity Services Engine (ISE) 1 مع Duo للمصادقة متعددة العوامل. 

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:

  • محرك خدمات كشف الهوية (ISE)

  • Duo

المكونات المستخدمة

من تصحيح الإصدار 3.3 1، يمكن تكوين ISE لعمليات التكامل الأصلية باستخدام خدمات Duo مما يقلل من الحاجة إلى وكيل المصادقة.

تستند المعلومات الواردة في هذا المستند إلى:

  • ISE الإصدار 3.3 من Cisco 1
  • Duo
  • Cisco ASA، الإصدار 9.16(4)
  • Cisco Secure Client الإصدار 5.0.04032

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للتدفق

Flow Diagram

خطوات

  1. تتضمن مرحلة التكوين تحديد مجموعات Active Directory، التي تتم مزامنة المستخدمين لها، وتحدث هذه المزامنة بمجرد اكتمال معالج MFA. يتكون من خطوتين. البحث في Active Directory لاسترداد قائمة المستخدمين وسمات معينة. إستدعاء إلى سحابة Duo باستخدام واجهة برمجة تطبيقات ISE Admin من Cisco، والتي يتم إجراؤها لدفع المستخدمين إلى هناك (يلزم على المسؤولين تسجيل المستخدمين). يمكن للمستخدمين المسجلين تضمين الخطوة الاختيارية لتنشيط المستخدم ل Duo Mobile، والتي تتيح للمستخدمين إستخدام مصادقة ضغطة واحدة مع Duo Push.
  2. بمجرد بدء اتصال VPN، يدخل المستخدم اسم المستخدم وكلمة المرور وينقر على موافق. يرسل جهاز الشبكة طلب وصول RADIUS إلى PSN.
  3. تقوم عقدة PSN بمصادقة المستخدم عبر Active Directory.
  4. عند نجاح المصادقة وتكوين نهج MFA، يتصل PSN بالسحابة المزدوجة. يتم إجراء إستدعاء إلى Duo Cloud باستخدام واجهة برمجة تطبيقات ISE Auth API من Cisco لاستدعاء مصادقة من العامل الثاني باستخدام Duo. تتصل ISE بخدمة Duos على منفذ TCP SSL رقم 443.
  5. تحدث مصادقة من عامل ثان ويكمل المستخدم عملية مصادقة من عامل ثان.
  6. يستجيب Duo لشبكة PSN بنتائج مصادقة العامل الثاني.
  7. يتم إرسال Access-Accept إلى جهاز الشبكة ويتم إنشاء اتصال VPN.

التكوينات

تحديد التطبيقات المراد حمايتها

1. انتقل إلى لوحة معلومات مسؤول Duo. سجل الدخول باستخدام بيانات اعتماد المسؤول.

2. انتقل إلى لوحة المعلومات>تطبيقات> كتالوج التطبيقات. ابحث عن واجهة برمجة تطبيقات Cisco ISE Auth API وحدد + Add.

ISE Auth API 1ISE Auth API 1

3. دون ملاحظات حول IntegrationKey والمفتاح السري.

ISE Auth API 2ISE Auth API 2

4. انتقل إلى لوحة المعلومات>التطبيقات> كتالوج التطبيق. ابحث عن واجهة برمجة تطبيقات Cisco ISE Admin وتحديد + Add

ملاحظة: يمكن للمسؤولين الذين لديهم دور المالك فقط إنشاء تطبيق واجهة برمجة تطبيقات Cisco ISE Admin أو تعديله في لوحة إدارة Duo.

ISE Admin API 1ISE Admin API 1

5. اكتب ملاحظة حول مفتاح التكامل والمفتاح السري واسم مضيف واجهة برمجة التطبيقات.

ISE Admin API 2ISE Admin API 2

تكوين أذونات واجهة برمجة التطبيقات

1. انتقل إلى لوحة المعلومات>التطبيقات> التطبيق. حدد ISE Admin API من Cisco.

2. تحقق من منح مورد القراءة ومنح أذونات مورد الكتابة. انقر فوق حفظ التغييرات.

Admin API Permissionsأذونات واجهة برمجة تطبيقات المسؤول

دمج ISE مع Active Directory

1. انتقل إلى الإدارة >إدارة الهوية >مخازن الهوية الخارجية > خدمة Active Directory >إضافة. قم بتوفير اسم نقطة الربط، ومجال Active Directory وانقر فوق إرسال.

Active Directory 1خدمة Active Directory 1

2. عند المطالبة بضم جميع عقد ISE إلى مجال Active Directory هذا، انقر فوق نعم.

Active Directory 2خدمة Active Directory 2

3. قم بتوفير اسم مستخدم وكلمة مرور الإعلان، انقر على موافق.

Active Directory 3Active Directory 3

4. يمكن أن يحتوي حساب Active Directory المطلوب للوصول إلى المجال في ISE على أي مما يلي:

  • إضافة محطات عمل إلى حق مستخدم المجال في المجال ذي الصلة.
  • إنشاء كائنات كمبيوتر أو إذن حذف كائنات كمبيوتر على حاوية أجهزة الكمبيوتر ذات الصلة حيث يتم إنشاء حساب أجهزة ISE قبل انضمامه إلى جهاز ISE إلى المجال.

ملاحظة: توصي Cisco بتعطيل سياسة التأمين لحساب ISE وتكوين البنية الأساسية AD لإرسال تنبيهات إلى المسؤول إذا تم إستخدام كلمة مرور خاطئة لذلك الحساب. عند إدخال كلمة مرور غير صحيحة، لا يقوم ISE بإنشاء حساب الجهاز الخاص به أو تعديله عندما يكون ذلك ضروريا، وبالتالي قد يرفض جميع المصادقات.

5. وضع الإعلان قيد التشغيل.

Active Directory 4Active Directory 4

6. انتقل إلى مجموعات >إضافة>تحديد مجموعات من الدليل> إسترداد مجموعات. حدد خانات الاختيار في مقابل مجموعات AD التي تختارها (والتي يتم إستخدامها لمزامنة المستخدمين ونهج التخويل):

Active Directory 5خدمة Active Directory 5

 7. انقر فوق حفظ لحفظ مجموعات AD التي تم إستردادها.

Active Directory 6Active Directory 6

تمكين واجهة برمجة التطبيقات المفتوحة

  1. انتقل إلى الإدارة> النظام>الإعدادات >إعدادات واجهة برمجة التطبيقات (API) > إعدادات خدمة واجهة برمجة التطبيقات (API).مكن فتح واجهة برمجة التطبيقات وانقر فوق حفظ.

Open APIفتح واجهة برمجة التطبيقات

تمكين مصدر هوية MFA

  1. انتقل إلى الإدارة>إدارة الهوية>الإعدادات>إعدادات مصادر الهوية الخارجية. مكنت MFA وطقطقة حفظ.

ISE MFA 1ISE MFA 1

تكوين مصدر الهوية الخارجية ل MFA

  1. انتقل إلى الإدارة>إدارة الهوية> مصادر الهوية الخارجية. انقر فوق إضافة ، ثم انقر فوق شاشة الترحيب لنقوم بذلك.

ISE DUO Wizard 1معالج ISE Duo 1

2. في الشاشة التالية، قم بتكوين اسم الاتصال وانقر على التالي.

ISE DUO Wizard 2معالج ISE Duo 2

3. قم بتكوين قيم اسم مضيف واجهة برمجة التطبيقات (API) وتكامل واجهة برمجة التطبيقات (API) لإدارة Cisco والمفاتيح السرية ودمج واجهة برمجة التطبيقات (API) لمحول مصادقة Cisco ISE والمفاتيح السرية من تحديد التطبيقات إلىخطوة الحماية.

ISE DUO Wizard 3معالج ISE Duo 3

4. انقر فوق إختبار الاتصال وبمجرد نجاح إختبار الاتصال، انقر فوق التالي.

ISE DUO Wizard 4معالج ISE Duo 4

5. تكوين مزامنة الهوية. تقوم هذه العملية بمزامنة المستخدمين من مجموعات Active Directory التي قمت بتحديدها في "حساب Duo" باستخدام بيانات اعتماد API التي تم توفيرها مسبقا. حدد نقطة ربط Active Directory ثم انقر فوق التالي.

ملاحظة: تكوين Active Directory خارج نطاق هذا المستند، ارجع إلى هذا المستند لدمج ISE مع Active Directory.

ISE DUO Wizard 5معالج ISE Duo 5

6. حدد مجموعات Active Directory حيث تريد أن يقوم المستخدمون بالمزامنة مع Duo. انقر فوق Next (التالي).

ISE DUO Wizard 6معالج ISE Duo 6

7. تأكد من صحة الإعدادات وانقر فوق تم.

ISE DUO Wizard 7معالج ISE Duo 7

تسجيل المستخدم في Duo

ملاحظة: تسجيل المستخدم الثنائي خارج نطاق هذا المستند، ارجع إلى هذا المستند لمعرفة المزيد حول تسجيل المستخدمين. لأغراض هذا المستند، يتم إستخدام تسجيل المستخدم اليدوي.

1. افتح لوحة معلومات مسؤول Duo وانتقل إلى لوحة المعلومات >المستخدمون.

2. انقر فوق المستخدم الذي تمت مزامنته من ISE.

DUO Enroll 1تسجيل ثنائي 1

3. قم بالتمرير إلى الهواتف وانقر فوق إضافة هاتف.

DUO Enroll 2تسجيل ثنائي 2

4. أدخل رقم الهاتف وانقر فوق إضافة هاتف.

Duo Add Phoneالملتحقين 3

تكوين مجموعات النهج

تكوين نهج المصادقة

1. انتقل إلى النهج >مجموعة النهج وحدد مجموعة النهج حيث تريد تمكين MFA. قم بتكوين نهج المصادقة مع مخزن هوية المصادقة الأساسي كدليل نشط.

Policy Set 1مجموعة النهج 1

تكوين نهج MFA

1. بمجرد تمكين MFA على ISE، يتوفر قسم جديد في مجموعات نهج ISE. قم بتوسيع نهج MFA وانقر فوق + لإضافة نهج MFA. قم بتكوين شروط MFA التي تختارها من خلال تحديد DUO-MFA التي تم تكوينها مسبقا في قسم الاستخدام.

2. انقر فوق حفظ.

ISE Policyسياسة ISE

ملاحظة: تعتمد السياسة التي تم تكوينها مسبقا على مجموعة النفق المسماة RA. يتم إجبار المستخدمين المتصلين بمجموعة نفق RA على تنفيذ MFA. تكوين ASA/FTD خارج نطاق هذا المستند. ارجع إلى هذا المستند لتكوين ASA/FTD.

تكوين نهج التخويل 

1. قم بتكوين نهج التخويل مع شرط مجموعة Active Directory والأذونات التي تختارها.

Policy Set 3مجموعة النهج 3

القيود

في وقت هذا المستند:

1. يتم دعم الدفع الثنائي والهاتف فقط كطريقة مصادقة من العامل الثاني

2. لا يتم دفع أية مجموعات إلى Duo Cloud، يتم دعم مزامنة المستخدم فقط

3. يتم دعم هذه الطلقات من خلال المصادقة متعددة العوامل:

  • مصادقة مستخدم شبكة VPN
  • مصادقة وصول مسؤول TACACS+

التحقق من الصحة

1. افتح Cisco Secure Client، انقر فوق Connect ووفر اسم المستخدم وكلمة المرور وانقر فوق موافق.

VPN Clientعميل شبكة VPN

2. يجب أن يتلقى الجهاز المحمول الخاص بالمستخدمين إخطار دفع ثنائي. الموافقة عليه وإنشاء اتصال VPN.

DUO Pushدفعة ثنائية

3. انتقل إلى عمليات ISE >السجلات المباشرة لتأكيد مصادقة المستخدم.

Live Logs 1السجلات المباشرة 1

4. انقر فوق تقرير المصادقة التفصيلي، وتحقق من سياسة المصادقة، ونهج التخويل ونتائج التخويل. انزلق خلال الخطوات التي على اليمين. لتأكيد نجاح MFA، يجب أن يكون MultiFactor Authentication ناجح السطر موجودا: 

Live Logs 2السجلات الحية 2

استكشاف الأخطاء وإصلاحها

تصحيح الأخطاء للتمكين على ISE:

حالة الاستخدام مكون السجل ملف السجل رسائل السجل الرئيسية
سجلات MFA ذات الصلة محرك السياسات ise-psc.log DuoMfaAuthApiUtils -:::- تم تقديم طلب إلى Duo Client Manager
DuoMfaAuthApiUtils —> إستجابة Duo
السجلات ذات الصلة بالنهج بررت جني prrt-management.log معالج RadiusMfaPolicyRequest
معالج TacacsMfaPolicyRequest
سجلات المصادقة ذات الصلة Runtime-AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::SendAuthenticateEvent
MfaAuthenticator::onResponseEvaluationPolicyEvent
المصادقة الثنائية والسجلات ذات الصلة بمزامنة المعرف duo-sync-service.log

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
3.0
12-Jun-2026
مقدمة محدثة، العنوان، التدقيق الإملائي، النحوي، هيكل الجملة، نص بديل، المسافات، عناوين URL مضمنة، عنوان HTML URL
2.0
08-May-2025
تحديث سير العمل
1.0
11-Dec-2023
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Eugene Korneychuk
    Cisco TAC Technical Leader

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات