Konfigurieren von ISE 3.2 EAP-TLS mit Microsoft Azure Active Directory

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:30. Januar 2025
Dokument-ID:218197

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie Autorisierungsrichtlinien in ISE auf Basis der Azure AD-Gruppenmitgliedschaft mit EAP-TLS oder TEAP konfigurieren und Fehler beheben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Identity Services Engine (ISE)
    • Microsoft Azure AD, Abonnement und Apps
    • EAP-TLS authentifizierung

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco ISE 3.2
    • Microsoft Azure AD

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen 

    In ISE 3.0 ist es möglich, die Integration zwischen ISE und Azure Active Directory (AAD) zu nutzen, um die Benutzer basierend auf Azure AD-Gruppen und -Attributen über die ROPC-Kommunikation (Resource Owner Password Credentials) zu authentifizieren. Mit ISE 3.2 können Sie eine zertifikatbasierte Authentifizierung konfigurieren, und Benutzer können basierend auf Azure AD-Gruppenmitgliedschaften und anderen Attributen autorisiert werden. ISE fragt Azure über eine Grafik-API ab, um Gruppen und Attribute für den authentifizierten Benutzer abzurufen. Dabei wird der Common Name (CN) des Zertifikats mit dem UPN (User Principal Name) auf Azure-Seite verglichen.

    Anmerkung: Bei den zertifikatbasierten Authentifizierungen kann es sich entweder um EAP-TLS oder um TEAP mit EAP-TLS als interner Methode handeln. Anschließend können Sie Attribute aus Azure Active Directory auswählen und sie dem Cisco ISE-Wörterbuch hinzufügen. Diese Attribute können für die Autorisierung verwendet werden. Nur die Benutzerauthentifizierung wird unterstützt.

    Konfigurieren

    Netzwerkdiagramm

    Das nächste Bild zeigt ein Netzwerkdiagramm und einen Verkehrsfluss.:

    Network Diagram

    Vorgehensweise

    1. Das Zertifikat wird über EAP-TLS oder TEAP mit EAP-TLS als interner Methode an die ISE gesendet.
    2. Die ISE wertet das Zertifikat des Benutzers aus (Gültigkeitsdauer, vertrauenswürdige Zertifizierungsstelle, Zertifikatsperrliste usw.).
    3. Die ISE sucht anhand des Zertifikatssubjektnamens (CN) nach der Microsoft Graph-API, um die Benutzergruppen und andere Attribute für diesen Benutzer abzurufen. Dies wird auf der Azure-Seite als Benutzerprinzipalname (User Principal Name, UPN) bezeichnet.
    4. ISE-Autorisierungsrichtlinien werden anhand der von Azure zurückgegebenen Benutzerattribute ausgewertet.

    Anmerkung: Sie müssen die Graph-API-Berechtigungen für die ISE-App in Microsoft Azure konfigurieren und erteilen, wie unten gezeigt:

    API Permissions

    Konfigurationen

    ISE-Konfiguration

    Anmerkung: Die ROPC-Funktionalität und die Integration zwischen ISE und Azure AD werden in diesem Dokument nicht behandelt. Es ist wichtig, dass Gruppen und Benutzerattribute von Azure hinzugefügt werden. Siehe Konfigurationsleitfaden.

    Konfigurieren des Zertifikatauthentifizierungsprofils  

    Schritt 1. Navigieren Sie zum Symbol Menu (Menü). Menu Icon in der oberen linken Ecke, und wählen Sie Administration > Identity Management > External Identity sources aus

    Schritt 2. Wählen Sie Zertifikatauthentifizierungsprofil aus, und klicken Sie dann auf Hinzufügen

    Schritt 3: Definieren Sie den Namen. Stellen Sie Identitätsspeicher als [Nicht zutreffend] aus, und wählen Sie Subject - Common Name on Identität verwenden von feld. Nie zuordnen auswählen Clientzertifikat für Zertifikat im Identitätsspeicher Feld. 

    Certificate Authentication Profile Screen

    Schritt 4. Klicken Sie auf Speichern:

    Save Certificate Authentication Profile

    Schritt 5: Navigieren Sie zum Symbol "Menü". Menu Icon in der linken oberen Ecke, und wählen Sie Policy > Policy Sets aus

    Schritt 6: Wählen Sie das Plus Plus Icon um einen neuen Richtliniensatz zu erstellen. Definieren Sie einen Namen, und wählen Sie als Bedingungen Wireless 802.1x oder kabelgebundene 802.1x-Verbindungen aus. In diesem Beispiel wird die Option Default Network Access (Standard-Netzwerkzugriff) verwendet:

    Policy Sets Screen

    Schritt 7. Pfeil auswählen Arrow Icon neben Standard-Netzwerkzugriff, um Authentifizierungs- und Autorisierungsrichtlinien zu konfigurieren.

    Schritt 8: Wählen Sie die Authentifizierungsrichtlinie Option, definieren Sie einen Namen und fügen Sie EAP-TLS als Network Access EAPAuthentication, es ist möglich, TEAP als Network Access EAPTunnel hinzuzufügen, wenn TEAP als Authentifizierungsprotokoll verwendet wird. Wählen Sie das in Schritt 3 erstellte Zertifikatauthentifizierungsprofil aus, und klicken Sie auf Speichern.

    Authentication Policy Screen

    Schritt 9. Wählen Sie die Option Autorisierungsrichtlinie aus, definieren Sie einen Namen, und fügen Sie Azure AD-Gruppen- oder Benutzerattribute als Bedingung hinzu. Wählen Sie das Profil oder die Sicherheitsgruppe unter "Ergebnisse" aus, abhängig vom Anwendungsfall, und klicken Sie dann auf Speichern.  

    Authorization Policy Screen

    Benutzerkonfiguration

    Der Common Name (CN) des Antragstellers aus dem Benutzerzertifikat muss mit dem UPN (User Principal Name) auf Azure-Seite übereinstimmen, damit die AD-Gruppenmitgliedschaft und die Benutzerattribute abgerufen werden können, die in Autorisierungsregeln verwendet werden. Damit die Authentifizierung erfolgreich ist, müssen sich die Stammzertifizierungsstelle und alle zwischengeschalteten Zertifizierungsstellenzertifikate im vertrauenswürdigen ISE-Speicher befinden.

    User Configuration Screen

    User Certificate Screen in Azure

    Überprüfung

    ISE-Verifizierung

    Klicken Sie in der Cisco ISE-GUI auf das Menü-Symbol Menu Icon und wählen Sie Operations > RADIUS > Live Logs for network authentication (RADIUS).

    ISE Verify

    Klicken Sie in der Spalte "Details" auf das Lupensymbol, um einen detaillierten Authentifizierungsbericht anzuzeigen und zu überprüfen, ob der Fluss wie erwartet funktioniert.

    1. Überprüfen der Authentifizierungs-/Autorisierungsrichtlinien
    2. Authentifizierungsmethode/-protokoll.
    3. Dem Zertifikat entnommener Benutzername.
    4. Benutzergruppen und andere Attribute, die aus dem Azure-Verzeichnis abgerufen werden.

    User Groups Policies

    User Groups Names and Subject

    Fehlerbehebung

    Debuggen auf ISE aktivieren

    Navigieren Sie zu Administration > System > Protokollierung > Konfiguration des Debug-Protokolls , um die nächsten Komponenten auf die angegebene Ebene zu setzen.

    Knoten

    Komponentenname

      Protokollstufe

    Protokolldateiname

    PSN

    Ruhestandslager

    Fehlersuche

    rest-id-store.log

    PSN

    Laufzeit-AAA

    Fehlersuche

    prrt-server.log

    Anmerkung: Wenn Sie mit der Fehlerbehebung fertig sind, sollten Sie die Fehlerbehebungen zurücksetzen. Wählen Sie dazu den entsprechenden Knoten aus, und klicken Sie auf Auf Standard zurücksetzen.

    Ausschnitte protokollieren

    Die nächsten Auszüge zeigen die letzten beiden Phasen im Fluss, die bereits im Netzwerkdiagrammabschnitt erwähnt wurden.

    1. ISE verwendet den Zertifikatssubjektnamen (CN) und führt eine Suche in der Azure Graph-API durch, um Benutzergruppen und andere Attribute für diesen Benutzer abzurufen. Dies wird auf Azure-Seite als Benutzerprinzipalname (UPN) bezeichnet.
    2. ISE-Autorisierungsrichtlinien werden anhand der von Azure zurückgegebenen Benutzerattribute ausgewertet.

    Rest-ID-Protokolle:

    REST ID Logs

    Port-Protokolle: 

    Print Logs

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    30-Jan-2025
    Header und Alternativtext hinzugefügt, Formatierung.
    2.0
    22-Dec-2023
    Überschrift und Einführungsabschnitt aktualisiert, um die Anforderungen des Cisco.com zu erfüllen.
    1.0
    27-Sep-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Romeo Migisha
      Technical Consulting Engineer
    • Emmanuel Cano
      Security Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren