Configurer des listes de contrôle d'accès dynamiques par utilisateur dans ISE

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.0 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 janvier 2021
ID du document:212419

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration d'une liste de contrôle d'accès dynamique (dACL) par utilisateur pour les utilisateurs présents dans le magasin d'identité interne ISE ou un magasin d'identité externe. 

    Conditions préalables

    Conditions requises

    Cisco recommande que vous connaissiez la configuration des stratégies sur Identity Services Engine (ISE).

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    •  Identity Services Engine 3.0
    •  Microsoft Windows Active Directory 2016

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    La liste de contrôle d'accès par utilisateur peut être configurée pour n'importe quel utilisateur du magasin interne à l'aide d'un attribut utilisateur personnalisé. Pour un utilisateur dans Active Directory (AD), tout attribut de type chaîne peut être utilisé pour obtenir le même résultat. Cette section fournit les informations requises pour configurer les attributs à la fois sur ISE et AD, ainsi que la configuration requise sur ISE pour que cette fonctionnalité fonctionne. 

    Configurer un nouvel attribut utilisateur personnalisé sur ISE

    Accédez à Administration > Identity Management > Settings > User Custom Attributes. Cliquez sur le bouton +, comme illustré dans l'image, pour ajouter un nouvel attribut et enregistrer les modifications. Dans cet exemple, le nom de l'attribut personnalisé est ACL.

    Configurer dACL


    Afin de configurer des listes de contrôle d'accès téléchargeables, accédez à Policy > Policy Elements > Results > Authorization > Downloadable ACL. Cliquez sur Add. Indiquez un nom, un contenu de la liste de contrôle d’accès et enregistrez les modifications. Comme l'illustre l'image, le nom de la liste de contrôle d'accès est NotManyAccess.

    Configurer un compte d'utilisateur interne avec l'attribut personnalisé

    Accédez à Administration > Identity Management > Identities > Users > Add. Créez un utilisateur et configurez la valeur d'attribut personnalisé avec le nom de la liste de contrôle d'accès que l'utilisateur doit obtenir lorsqu'il est autorisé. Dans cet exemple, le nom de la liste de contrôle d'accès est NotManyAccess

    Configurer un compte d'utilisateur AD 

    Dans Active Directory, accédez aux propriétés du compte d'utilisateur, puis à l'onglet Éditeur d'attributs. Comme l'illustre l'image, aCSPolicyName est l'attribut utilisé pour spécifier le nom dACL. Cependant, comme mentionné précédemment, tout attribut qui peut accepter une valeur de chaîne peut également être utilisé.

    Importer l'attribut d'AD vers ISE 

    Pour utiliser l'attribut configuré sur AD, ISE doit l'importer. Pour importer l'attribut, accédez à Administration > Identity Management > External Identity Sources > Active Directory > [Join point configure] > Attributes tab. Cliquez sur Ajouter, puis sélectionnez Attributs dans le répertoire. Fournissez le nom du compte d'utilisateur dans la zone AD, puis cliquez sur Récupérer les attributs. Sélectionnez l'attribut configuré pour la liste de contrôle d'accès, cliquez sur OK, puis sur Enregistrer. Comme l'illustre l'image, aCSPolicyName est l'attribut.

    Configurer les profils d'autorisation pour les utilisateurs internes et externes

    Afin de configurer les profils d'autorisation, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles. Cliquez sur Add. Fournissez un nom et choisissez le nom dACL InternalUser:<nom de l'attribut personnalisé créé> pour l'utilisateur interne. Comme l'illustre l'image, pour l'utilisateur interne, le profil InternalUserAttributeTest est configuré avec la liste de contrôle d'accès configurée en tant que InternalUser:ACL.

    Pour l'utilisateur externe, utilisez <Nom du point de jointure>:<attribut configuré sur AD> comme nom de liste de contrôle d'accès. Dans cet exemple, le profil ExternalUserAttributeTest est configuré avec la dACL configurée en tant que RiniAD : aCSPolicyName où RiniAD est le nom du point de jointure.

    Configurer les stratégies d'autorisation

    Les stratégies d'autorisation peuvent être configurées dans Policy > Policy Sets en fonction des groupes dans lesquels l'utilisateur externe est présent sur la AD et également en fonction du nom d'utilisateur dans la banque d'identités interne ISE. Dans cet exemple, testuserexternal est un utilisateur présent dans le groupe rinsantr.lab/Users/Test Group et testuserinternal est un utilisateur présent dans le magasin d'identités interne ISE.

    Vérification

    Utilisez cette section pour vérifier si la configuration fonctionne.

    Vérifiez les journaux en direct RADIUS pour vérifier les authentifications utilisateur.

    Utilisateur interne :

    Utilisateur externe :

    Cliquez sur l'icône en forme de loupe sur les authentifications réussies des utilisateurs pour vérifier si les demandes atteignent les stratégies correctes dans la section Vue d'ensemble des journaux en direct détaillés.

    Utilisateur interne :

    Utilisateur externe :

    Consultez la section Autres attributs des journaux en direct détaillés pour vérifier si les attributs utilisateur ont été récupérés.

    Utilisateur interne :

    Utilisateur externe :

    Vérifiez la section Résultat des journaux en direct détaillés pour vérifier si l'attribut dACL est envoyé dans le cadre d'Access-Accept.

    Vérifiez également les journaux en direct RADIUS pour vérifier si la dACL est téléchargée après l'authentification de l'utilisateur.

    Cliquez sur l'icône en forme de loupe du journal de téléchargement de la liste de contrôle dACL et vérifiez la section Vue d'ensemble pour confirmer le téléchargement de la liste de contrôle dACL.

    Consultez la section Résultat de ce rapport détaillé pour vérifier le contenu de la liste de contrôle d’accès.

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    TAC Authored

    Contribution d’experts de Cisco

    • Rini Santra
      Cisco TAC Engineer
    • Surendra Reddy
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits