Konfigurieren der nativen Multifaktor-Authentifizierung nach ISE 3.3 mit Duo

Download-Optionen

  • PDF     (2.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:12. Juni 2026
Dokument-ID:221232

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Integration von Identity Services Engine (ISE) 3.3 Patch 1 mit Duo for Multifactor Authentication beschrieben. 

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:

  • ISE

  • Duo

Verwendete Komponenten

Ab Version 3.3 Patch 1 kann die ISE für native Integrationen mit Duo Services konfiguriert werden, sodass der Authentifizierungsproxy nicht mehr erforderlich ist.

Die Informationen in diesem Dokument basieren auf:

  • Cisco ISE Version 3.3 Patch 1
  • Duo
  • Cisco ASA Version 9.16(4)
  • Cisco Secure Client Version 5.0.04032

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Flussdiagramm

Flow Diagram

Schritte

  1. Die Konfigurationsphase beinhaltet die Auswahl der Active Directory-Gruppen, mit denen die Benutzer synchronisiert werden. Diese Synchronisierung erfolgt, sobald der MFA-Assistent abgeschlossen ist. Es besteht aus zwei Schritten. Sucht in Active Directory nach der Liste der Benutzer und bestimmten Attributen. Ein Aufruf an die Duo Cloud mit der Cisco ISE Admin API, die Benutzer dorthin bringt (Administratoren müssen Benutzer registrieren). Die Registrierung von Benutzern kann den optionalen Schritt der Aktivierung des Benutzers für Duo Mobile umfassen, der es Ihren Benutzern ermöglicht, eine One-Tap-Authentifizierung mit Duo Push zu verwenden.
  2. Sobald eine VPN-Verbindung initiiert wurde, gibt der Benutzer seinen Benutzernamen und sein Kennwort ein und klickt auf OK. Das Netzwerkgerät sendet eine RADIUS Access-Request an PSN.
  3. Der PSN-Knoten authentifiziert den Benutzer über Active Directory.
  4. Wenn die Authentifizierung erfolgreich ist und die MFA-Richtlinie konfiguriert ist, kontaktiert PSN Duo Cloud. Über einen Aufruf an Duo Cloud mit der ISE Auth API von Cisco wird eine Zwei-Faktor-Authentifizierung mit Duo aufgerufen. Die ISE kommuniziert über den SSL TCP-Port 443 mit dem Duos-Dienst.
  5. Es findet eine Authentifizierung mit dem zweiten Faktor statt, und der Benutzer schließt einen Authentifizierungsprozess mit dem zweiten Faktor ab.
  6. Duo antwortet auf PSN mit dem Ergebnis der Second-Faktor-Authentifizierung.
  7. Der Access-Accept wird an das Netzwerkgerät gesendet und die VPN-Verbindung hergestellt.

Konfigurationen

Zu schützende Anwendungen auswählen

1. Navigieren Sie zum Duo Admin Dashboard. Melden Sie sich mit Administratorrechten an.

2. Navigieren Sie zu Dashboard > Anwendungen > Anwendungskatalog. Suchen Sie nach der Cisco ISE-Auth-API, und wählen Sie + Hinzufügen aus.

ISE Auth API 1ISE-Auth-API 1

3. Notieren Sie sich den Integrationsschlüssel und den geheimen Schlüssel.

ISE Auth API 2ISE-Auth-API 2

4. Navigieren Sie zu Dashboard > Anwendungen > Anwendungskatalog. Suchen Sie nach der Cisco ISE-Admin-API, und wählen Sie + Hinzufügen aus

Anmerkung: Nur Administratoren mit der Owner-Rolle können die Cisco ISE-Anwendung für die Admin-API im Duo-Bereich erstellen oder ändern.

ISE Admin API 1ISE-Admin-API 1

5. Notieren Sie sich den Integrations-Schlüssel, den geheimen Schlüssel und den API-Hostnamen.

ISE Admin API 2ISE-Admin-API 2

Konfigurieren von API-Berechtigungen

1. Navigieren Sie zu Dashboard > Anwendungen > Anwendung. Wählen Sie die Cisco ISE Admin API aus.

2. Aktivieren Sie Leseressourcen gewähren und Schreibressourcenberechtigungen gewähren. Klicken Sie auf Änderungen speichern.

Admin API PermissionsAdmin-API-Berechtigungen

Integration der ISE mit Active Directory

1. Navigieren Sie zu Administration > Identity Management> External Identity Stores > Active Directory > Add (Verwaltung> Externe Identitätsdatenspeicher> Active Directory> Hinzufügen). Geben Sie den Namen des Join Points und die Active Directory-Domäne an, und klicken Sie auf Submit (Senden).

Active Directory 1Active Directory 1

2. Wenn Sie aufgefordert werden, allen ISE-Knoten dieser Active Directory-Domäne beizutreten, klicken Sie auf Ja.

Active Directory 2Active Directory 2

3. Geben Sie den AD-Benutzernamen und das Kennwort ein, und klicken Sie auf OK.

Active Directory 3Active Directory 3

4. Das Active Directory-Konto, das für den Domänenzugriff in der ISE erforderlich ist, kann eine der folgenden Optionen aufweisen:

  • Fügen Sie den Domänenbenutzern Workstations direkt in der entsprechenden Domäne hinzu.
  • Berechtigung "Computerobjekte erstellen" oder "Computerobjekte löschen" für den entsprechenden Computer-Container, in dem das ISE-Computerkonto erstellt wird, bevor der ISE-Computer der Domäne beitritt.

Anmerkung: Cisco empfiehlt, die Sperrrichtlinie für das ISE-Konto zu deaktivieren und die AD-Infrastruktur so zu konfigurieren, dass Warnmeldungen an den Administrator gesendet werden, wenn ein falsches Kennwort für das Konto verwendet wird. Bei Eingabe eines falschen Passworts erstellt oder ändert die ISE ihr Computerkonto nicht, wenn dies erforderlich ist, und verweigert daher möglicherweise alle Authentifizierungen.

5. Der Status von AD ist operationell.

Active Directory 4Active Directory 4

6. Navigieren Sie zu Gruppen > Hinzufügen > Gruppen aus Verzeichnis auswählen > Gruppen abrufen. Aktivieren Sie die Kontrollkästchen für die AD-Gruppen Ihrer Wahl (die zum Synchronisieren von Benutzern und für Autorisierungsrichtlinien verwendet werden):

Active Directory 5Active Directory 5

 7. Klicken Sie auf Speichern, um die abgerufenen AD-Gruppen zu speichern.

Active Directory 6Active Directory 6

Offene API aktivieren

  1. Navigieren Sie zu Administration > System > Settings > API Settings > API Service Settings.Enable Open API, und klicken Sie auf Save (Speichern).

Open APIOffene API

MFA-Identitätsquelle aktivieren

  1. Navigieren Sie zu Administration > Identity Management > Settings > External Identity Sources Settings. Aktivieren Sie MFA, und klicken Sie auf Speichern.

ISE MFA 1ISE MFA 1

Externe MFA-Identitätsquelle konfigurieren

  1. Navigieren Sie zu Administration > Identity Management > External Identity Sources. Klicken Sie auf Hinzufügen und auf dem Willkommensbildschirm auf Let's Do It.

ISE DUO Wizard 1ISE Duo Assistent 1

2. Konfigurieren Sie auf dem nächsten Bildschirm den Verbindungsnamen, und klicken Sie auf Weiter.

ISE DUO Wizard 2ISE Duo Wizard 2

3. Konfigurieren Sie die Werte für den API-Hostnamen, die Cisco ISE-Admin-API-Integration, die geheimen Schlüssel, die Cisco ISE-Auth-API-Integration und die geheimen Schlüssel aus dem Schritt "Anwendungen auswählen" bis zum Schritt "Schützen".

ISE DUO Wizard 3ISE Duo-Assistent 3

4. Klicken Sie auf Verbindung testen und klicken Sie nach erfolgreicher Verbindung auf Weiter.

ISE DUO Wizard 4ISE Duo-Assistent 4

5. Konfigurieren Sie die Identitätssynchronisierung. Dieser Prozess synchronisiert Benutzer aus Active Directory-Gruppen, die Sie mithilfe der zuvor bereitgestellten API-Anmeldeinformationen für das Duo-Konto ausgewählt haben. Wählen Sie Active Directory Join Point aus, und klicken Sie dann auf Weiter.

Anmerkung: Die Active Directory-Konfiguration ist nicht Bestandteil des vorliegenden Dokuments. Weitere Informationen zur Integration von ISE in Active Directory finden Sie in diesem Dokument.

ISE DUO Wizard 5ISE Duo-Assistent 5

6. Wählen Sie Active Directory-Gruppen, in denen Benutzer mit Duo synchronisiert werden sollen. Klicken Sie auf Next (Weiter).

ISE DUO Wizard 6ISE Duo-Assistent 6

7. Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig.

ISE DUO Wizard 7ISE Duo-Assistent 7

Benutzer für Duo registrieren

Anmerkung: Die Registrierung für Duo-Benutzer ist nicht Bestandteil dieses Dokuments. Weitere Informationen zur Registrierung von Benutzern finden Sie in diesem Dokument. Für dieses Dokument wird die manuelle Benutzerregistrierung verwendet.

1. Öffnen Sie das Duo Admin Dashboard und navigieren Sie zu Dashboard > Benutzer.

2. Klicken Sie auf den von der ISE synchronisierten Benutzer.

DUO Enroll 1Duo Einschreibung 1

3. Blättern Sie nach unten zu Telefone, und klicken Sie auf Telefon hinzufügen.

DUO Enroll 2Duo Einschreibung 2

4. Geben Sie die Telefonnummer ein, und klicken Sie auf Telefon hinzufügen.

Duo Add PhoneDuo-Registrierung 3

Konfigurieren von Richtliniensätzen

Authentifizierungsrichtlinie konfigurieren

1. Navigieren Sie zu Richtlinie >Richtliniensatz, und wählen Sie den Richtliniensatz aus, in dem Sie MFA aktivieren möchten. Konfigurieren Sie die Authentifizierungsrichtlinie mit dem primären Authentifizierungsidentitätsspeicher als Active Directory.

Policy Set 1Richtliniensatz 1

MFA-Richtlinie konfigurieren

1. Sobald MFA auf der ISE aktiviert ist, steht ein neuer Abschnitt in den ISE-Richtliniensätzen zur Verfügung. Erweitern Sie die MFA-Richtlinie, und klicken Sie auf +, um die MFA-Richtlinie hinzuzufügen. Konfigurieren Sie die gewünschten MFA-Bedingungen, indem Sie im Abschnitt Verwenden die zuvor konfigurierte DUO-MFA auswählen.

2. Klicken Sie auf Speichern.

ISE PolicyISE-Richtlinie

Anmerkung: Die zuvor konfigurierte Richtlinie basiert auf der Tunnel-Gruppe mit dem Namen RA. Benutzer, die mit der RA-Tunnelgruppe verbunden sind, müssen MFA durchführen. Die ASA-/FTD-Konfiguration wird in diesem Dokument nicht behandelt. Weitere Informationen zur Konfiguration von ASA/FTD finden Sie in diesem Dokument.

Autorisierungsrichtlinie konfigurieren 

1. Konfigurieren Sie die Autorisierungsrichtlinie mit der Bedingung und den Berechtigungen der Active Directory-Gruppe Ihrer Wahl.

Policy Set 3Richtliniensatz 3

Einschränkungen

Zum Zeitpunkt des Dokuments:

1. Nur Duo-Push und Telefon werden als Authentifizierungsmethode des zweiten Faktors unterstützt.

2. Es werden keine Gruppen an die Duo Cloud weitergeleitet, nur die Benutzer-Synchronisierung wird unterstützt

3. Diese Aufzählungszeichen werden mit mehrstufiger Authentifizierung unterstützt:

  • VPN-Benutzerauthentifizierung
  • TACACS+-Administrator-Zugriffsauthentifizierung

Überprüfung

1. Öffnen Sie Cisco Secure Client, klicken Sie auf Verbinden, geben Sie den Benutzernamen und das Kennwort ein, und klicken Sie auf OK.

VPN ClientVPN-Client

2. Das Mobilgerät des Benutzers muss eine Duo-Push-Benachrichtigung erhalten. Genehmigen und die VPN-Verbindung wird hergestellt.

DUO PushDuo Push

3. Navigieren Sie zu ISE Operations> Live Logs, um die Benutzerauthentifizierung zu bestätigen.

Live Logs 1Live-Protokolle 1

4. Klicken Sie auf Details Authentication Report (Authentifizierungsbericht), überprüfen Sie die Authentifizierungsrichtlinie sowie die Autorisierungsrichtlinie und das Autorisierungsergebnis. Blättern Sie durch die Schritte auf der rechten Seite. Um zu bestätigen, dass die MFA erfolgreich war, muss die Zeile MultiFactor Authentication is Successful vorhanden sein: 

Live Logs 2Live-Protokolle 2

Fehlerbehebung

Debuggen zur Aktivierung auf der ISE:

Anwendungsfall Protokollkomponente Protokolldatei Wichtige Protokollnachrichten
MFA-bezogene Protokolle Policy-Engine ise-psc.log DuoMfaAuthApiUtils -::::- Anfrage an Duo Client Manager gesendet
DuoMfaAuthApiUtils —> Duo-Antwort
Richtlinienbezogene Protokolle Port-JNI prrt-management.log RadiusMfaPolicyRequestProzessor
TACACSmfaPolicyRequestProcessor
Authentifizierungsbezogene Protokolle Laufzeit-AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MfaAuthenticator::onResponseEvaluatePolicyEvent
Duo-Authentifizierung, ID-Sync-Protokolle duo-sync-service.log

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
3.0
12-Jun-2026
Aktualisierte Einführung, Titel, Rechtschreibung, Grammatik, Satzstruktur, Alternativtext, Abstände, Inline-URLs, HTML-URL
2.0
08-May-2025
Flow-Aktualisierung
1.0
11-Dec-2023
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Eugene Korneychuk
    Cisco TAC Technical Leader

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.