Configuración de la autenticación multifactor nativa ISE 3.3 con Duo

Opciones de descarga

  • PDF     (2.7 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:12 de junio de 2026
ID del documento:221232

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo integrar Identity Services Engine (ISE) 3.3 Parche 1 con Duo para la autenticación multifactor. 

Prerequisites

Requirements

Cisco recomienda tener conocimientos básicos sobre estos temas:

  • ISE

  • Duo

Componentes Utilizados

A partir del parche 1 de la versión 3.3, ISE se puede configurar para integraciones nativas con servicios Duo, lo que elimina la necesidad de un proxy de autenticación.

La información de este documento se basa en:

  • Parche 1 de Cisco ISE versión 3.3
  • Duo
  • Cisco ASA versión 9.16(4)
  • Cisco Secure Client versión 5.0.04032

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

Diagrama de flujo

Flow Diagram

Pasos

  1. La fase de configuración incluye la selección de los grupos de Active Directory, en los que se sincronizan los usuarios y esta sincronización se realiza una vez finalizado el asistente de MFA. Consta de dos pasos. Búsquedas en Active Directory para recuperar la lista de usuarios y determinados atributos. Una llamada a la nube Duo con la API de administración de ISE de Cisco, que se realiza para atraer a los usuarios (los administradores deben inscribir a los usuarios). La inscripción de usuarios puede incluir el paso opcional de activar el usuario para Duo Mobile, que permite a los usuarios utilizar la autenticación de un solo toque con Duo Push.
  2. Una vez que se inicia una conexión VPN, el usuario introduce su nombre de usuario y contraseña y hace clic en Aceptar. El dispositivo de red envía una solicitud de acceso RADIUS a PSN.
  3. El nodo PSN autentica al usuario mediante Active Directory.
  4. Cuando la autenticación se realiza correctamente y se configura la política MFA, PSN se pone en contacto con Duo Cloud. Se realiza una llamada a Duo Cloud con la API de autenticación ISE de Cisco para invocar una autenticación de segundo factor con Duo. ISE se comunica con el servicio Duos en el puerto TCP SSL 443.
  5. Se lleva a cabo una autenticación de segundo factor y el usuario completa un proceso de autenticación de segundo factor.
  6. Duo responde a PSN con el resultado de la autenticación de segundo factor.
  7. La aceptación de acceso se envía al dispositivo de red y se establece la conexión VPN.

Configuraciones

Seleccione las aplicaciones que desea proteger

1. Acceda a Panel de administración de Duo. Inicie sesión con credenciales de administrador.

2. Acceda a Panel > Aplicaciones > Catálogo de Aplicaciones. Busque Cisco ISE Auth API y seleccione + Add.

ISE Auth API 1API de autenticación ISE 1

3. Anote las teclas Integrationkey y Secret.

ISE Auth API 2API de autenticación ISE 2

4. Acceda a Panel > Aplicaciones > Catálogo de Aplicaciones. Busque Cisco ISE Admin API y seleccione + Add

Nota: Solo los administradores con el rol Propietario pueden crear o modificar la aplicación API de administración de Cisco ISE en el panel de administración de Duo.

ISE Admin API 1API de administración de ISE 1

5. Anote la clave de integración, la clave secreta y el nombre de host de la API.

ISE Admin API 2API 2 de administración de ISE

Configurar permisos de API

1. Acceda a Panel > Aplicaciones > Aplicación. Seleccione Cisco ISE Admin API.

2. Active Conceder recurso de lectura y Conceder permisos de recurso de escritura. Haga clic en Guardar cambios.

Admin API PermissionsPermisos API de administración

Integración de ISE con Active Directory

1. Vaya a Administración > Administración de identidades > Almacenes de identidades externas > Active Directory > Agregar. Proporcione el nombre del punto de unión, el dominio de Active Directory y haga clic en Enviar.

Active Directory 1Active Directory 1

2. Cuando se le solicite que una todos los nodos ISE a este dominio de Active Directory, haga clic en Sí.

Active Directory 2Active Directory 2

3. Proporcione el nombre de usuario y la contraseña de AD y haga clic en Aceptar.

Active Directory 3Directorio activo 3

4. La cuenta de Active Directory necesaria para el acceso al dominio en ISE puede tener cualquiera de estas opciones:

  • Agregue estaciones de trabajo a los derechos de usuario del dominio correspondiente.
  • Crear objetos de equipo o Eliminar objetos de equipo en el contenedor de equipos correspondiente donde se crea la cuenta de equipos ISE antes de unir el equipo ISE al dominio.

Nota: Cisco recomienda deshabilitar la política de bloqueo para la cuenta ISE y configurar la infraestructura AD para enviar alertas al administrador si se utiliza una contraseña incorrecta para esa cuenta. Cuando se introduce una contraseña incorrecta, ISE no crea ni modifica su cuenta de equipo cuando es necesario y, por lo tanto, posiblemente deniegue todas las autenticaciones.

5. El estado de AD es operativo.

Active Directory 4Directorio activo 4

6. Acceda a Grupos > Agregar > Seleccionar Grupos desde Directorio > Recuperar Grupos. Active las casillas de verificación de los grupos de AD que desee (que se utilizan para sincronizar usuarios y para la directiva de autorización):

Active Directory 5Active Directory 5

 7. Haga clic en Guardar para guardar los grupos de AD recuperados.

Active Directory 6Active Directory 6

Activar API abierta

  1. Vaya a Administration > System > Settings >API Settings > API Service Settings.Enable Open API y haga clic en Save.

Open APIAPI abierta

Activar origen de identidad de MFA

  1. Vaya a Administration > Identity Management > Settings > External Identity Sources Settings. Active MFA y haga clic en Guardar.

ISE MFA 1ISE MFA 1

Configurar origen de identidad externa de MFA

  1. Navegue hasta Administración > Administración de identidades > Orígenes de identidades externas. Haga clic en Add y en la pantalla Welcome (Bienvenido) haga clic en Let's Do It.

ISE DUO Wizard 1Asistente ISE Duo 1

2. En la siguiente pantalla, configure el nombre de la conexión y haga clic en Next.

ISE DUO Wizard 2Asistente ISE Duo 2

3. Configure los valores del nombre de host de la API, la integración de la API de administración de Cisco ISE, las claves secretas, la integración de la API de autenticación de Cisco ISE y las claves secretas desde el paso Select Applications hasta el paso Protect.

ISE DUO Wizard 3Asistente de ISE Duo 3

4. Haga clic en Probar conexión y una vez que la Conexión de prueba se realice correctamente, haga clic en Siguiente.

ISE DUO Wizard 4Asistente para ISE Duo 4

5. Configure Identity Sync. Este proceso sincroniza a los usuarios de los grupos de Active Directory que seleccionó en la cuenta Duo mediante las credenciales de la API proporcionadas anteriormente. Seleccione Active Directory Join Point y haga clic en Next.

Nota: La configuración de Active Directory está fuera del alcance de este documento. Consulte este documento para integrar ISE con Active Directory.

ISE DUO Wizard 5Asistente para ISE Duo 5

6. Seleccione Grupos de Active Directory donde desea que los usuarios sincronicen con Duo. Haga clic en Next (Siguiente).

ISE DUO Wizard 6Asistente para ISE Duo 6

7. Compruebe que los parámetros son correctos y haga clic en Finalizado.

ISE DUO Wizard 7Asistente para ISE Duo 7

Inscribir al usuario en Duo

Nota: La inscripción de usuarios duales está fuera del alcance de este documento. Consulte este documento para obtener más información sobre la inscripción de usuarios. A los efectos de este documento, se utiliza la inscripción de usuario manual.

1. Abra el Panel de administración de Duo y navegue hasta Panel > Usuarios.

2. Haga clic en el usuario sincronizado desde ISE.

DUO Enroll 1Duo enroll 1

3. Desplácese hasta Teléfonos y haga clic en Agregar teléfono.

DUO Enroll 2Duo enroll 2

4. Introduzca el número de teléfono y haga clic en Agregar teléfono.

Duo Add PhoneDuo Enroll 3

Configurar conjuntos de políticas

Configurar política de autenticación

1. Navegue hasta Política > Juego de Políticas y seleccione el Juego de Políticas en el que desea activar MFA. Configure la política de autenticación con el almacén de identidades de autenticación principal como Active Directory.

Policy Set 1Conjunto de políticas 1

Configurar política MFA

1. Una vez que MFA esté habilitado en ISE, habrá disponible una nueva sección en los conjuntos de políticas de ISE. Expanda la Política de MFA y haga clic en el botón + para agregar la Política de MFA. Configure las condiciones MFA de su elección seleccionando el DUO-MFA configurado previamente en la sección Usar.

2. Haga clic en Guardar.

ISE PolicyPolítica de ISE

Nota: La política configurada anteriormente depende del grupo de túnel denominado RA. Los usuarios conectados al grupo de túnel RA se ven obligados a realizar MFA. La configuración de ASA/FTD está fuera del alcance de este documento. Consulte este documento para configurar ASA/FTD.

Configurar directiva de autorización 

1. Configure la directiva de autorización con la condición de grupo de Active Directory y los permisos que elija.

Policy Set 3Conjunto de políticas 3

Limitaciones

En el momento de redactar este documento:

1. Solo Duo push y teléfono son compatibles como método de autenticación de segundo factor

2. No se envía ningún grupo a Duo Cloud, solo se admite User Sync

3. Estas viñetas son compatibles con la autenticación multifactor:

  • Autenticación de usuario VPN
  • Autenticación de acceso de administrador TACACS+

Verificación

1. Abra Cisco Secure Client, haga clic en Connect y proporcione el nombre de usuario y la contraseña y haga clic en OK.

VPN ClientCliente VPN

2. El dispositivo móvil del usuario debe recibir una notificación Push Duo. Aprovéchelo y se establecerá la conexión VPN.

DUO PushDuo Push

3. Navegue hasta Operaciones ISE > Live Logs para confirmar la autenticación de usuario.

Live Logs 1Registros activos 1

4. Haga clic en el informe de autenticación de detalles, verifique la política de autenticación y la política de autorización y el resultado de la autorización. Desplácese por los pasos de la derecha. Para confirmar que MFA fue exitoso, la línea MultiFactor Authentication is Successful debe estar presente: 

Live Logs 2Registros activos 2

Troubleshoot

Depuraciones para habilitar en ISE:

caso de uso Componente de registro Archivo de registro Mensajes de registro de claves
Registros relacionados con MFA motor de políticas ise-psc.log DuoMfaAuthApiUtils -::::- Solicitud enviada a Duo Client manager
DuoMfaAuthApiUtils —> Duo response
Registros relacionados con la política prt-JNI port-management.log RadiusMfaPolicyRequestProcessor
TacacsMfaPolicyRequestProcessor
Registros relacionados con la autenticación Runtime-AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MfaAuthenticator::onResponseEvaluatePolicyEvent
Registros relacionados con la autenticación Duo y la sincronización de ID duo-sync-service.log

Historial de revisiones

Revisión Fecha de publicación Comentarios
3.0
12-Jun-2026
Actualización Introducción, título, ortografía, gramática, estructura de oración, texto alternativo, espaciado, URL en línea, URL HTML
2.0
08-May-2025
Actualización de flujo
1.0
11-Dec-2023
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Eugene Korneychuk
    Cisco TAC Technical Leader

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos