Configurare ISE 3.1 GUI Admin Log in utilizzando l'integrazione SAML con Duo SSO e Windows AD

Aggiornato:29 febbraio 2024
ID documento:220241

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare l'integrazione di Cisco ISE 3.1 SAML SSO con un provider di identità esterno come Cisco Duo SSO.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Identity Services Engine (ISE) 3.1
    • Conoscenze base delle distribuzioni SAML (Security Assertion Markup Language) Single Sign-On (SSO) (SAML 1.1)
    • Conoscenza di Cisco DUO SSO
    • Informazioni su Windows Active Directory

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco ISE 3.1
    • Cisco Duo SSO
    • Active Directory di Windows

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Provider di identità (IdP)

    In questo caso, è il Duo SSO che verifica e dichiara l'identità di un utente e i privilegi di accesso a una risorsa richiesta (il "Provider di servizi").

    Duo SSO funge da provider di identità, autenticando gli utenti tramite Active Directory locale (AD) esistente con SAML 1.1 o un provider di identità SAML 2.0 (ad esempio, Microsoft Azure) e richiedendo l'autenticazione a due fattori prima di consentire l'accesso all'applicazione del provider di servizi.

    Quando si configura un'applicazione da proteggere con Duo SSO, è necessario inviare gli attributi da Duo SSO all'applicazione. Active Directory funziona senza ulteriori impostazioni, ma se come origine di autenticazione è stato utilizzato un provider di identità SAML(2.0), verificare di averlo configurato per l'invio degli attributi SAML corretti.

    Provider di servizi (SP)

    La risorsa o il servizio ospitato a cui l'utente intende accedere; in questo caso, Cisco ISE Application Server.

    SAML

    SAML è uno standard aperto che consente a IdP di passare le credenziali di autorizzazione all'SP.

    Le transazioni SAML utilizzano il linguaggio XML (Extensible Markup Language) per le comunicazioni standardizzate tra provider di identità e provider di servizi. SAML è il collegamento tra l'autenticazione dell'identità dell'utente e l'autorizzazione per utilizzare un servizio.

    Asserzione SAML

    Un'asserzione SAML è il documento XML che l'IdP invia al provider di servizi che contiene l'autorizzazione utente. Esistono tre tipi diversi di asserzioni SAML: autenticazione, attributo e decisione di autorizzazione.

    • Le asserzioni di autenticazione provano l'identificazione dell'utente e forniscono l'ora di accesso dell'utente e il metodo di autenticazione utilizzato, ad esempio Kerberos, a due fattori e così via.
    • L'asserzione di attribuzione passa all'SP gli attributi SAML, parti specifiche di dati che forniscono informazioni sull'utente.
    • Un'asserzione di decisione di autorizzazione dichiara se l'utente è autorizzato a utilizzare il servizio o se l'IdP ha negato la richiesta a causa di un errore della password o della mancanza di diritti per il servizio.

    Diagramma di flusso ad alto livello

    Flow Diagram

    Flusso:

    1. L'utente accede ad ISE usando l'opzione Login via SAML.
    2. ISE (SAML SP) reindirizza il browser dell'utente a Duo SSO con un messaggio di richiesta SAML.

      note-icon

      Nota: in un ambiente distribuito, è possibile ottenere un errore di certificato non valido e il passo 3. ora può funzionare. Pertanto, per un ambiente distribuito, la Fase 2. differisce leggermente in questo modo:
      Problema: ISE reindirizza temporaneamente il portale di uno dei nodi PSN (sulla porta 8443).
      Soluzione: per garantire che ISE presenti lo stesso certificato dell'interfaccia utente grafica dell'amministratore, verificare che il certificato di sistema considerato attendibile sia valido anche per l'utilizzo del portale in tutti i nodi PSN.

    3. L'utente accede con le credenziali di Active Directory primarie.
    4. Duo SSO inoltra questo messaggio ad AD che restituisce una risposta a Duo SSO.
    5. Duo SSO richiede all'utente di completare l'autenticazione a due fattori inviando un PUSH sul dispositivo mobile.
    6. L'utente completa l'autenticazione a due fattori Duo.
    7. Duo SSO reindirizza il browser dell'utente all'SP SAML con un messaggio di risposta.
    8. A questo punto, l'utente può accedere ad ISE.

    Configura integrazione SAML SSO con Duo SSO

    Passaggio 1. Configurazione di SAML IdP su ISE

    Configurazione di Duo SSO come origine di identità SAML esterna

    Ad ISE, selezionareAdministration > Identity Management > External Identity Sources > SAML Id Providerse fare clic sul pulsante Add.

    Immettere il nome dell'IdP e fare clic su Submit (Invia) per salvarlo. Il nome del provider di identità è significativo solo per ISE, come mostrato nell'immagine:

    ISE SAML GUI Configuration

    Importare il file XML dei metadati SAML dal portale di amministrazione Duo

    Ad ISE, selezionareAdministration > Identity Management > External Identity Sources > SAML Id Providers.> Choose the SAML IdP you created (Scegli l'ID SAML creato), fare clic sul Identity Provider Configurationnome e quindi sul pulsante Choose File (Scegli file).

    Scegliere il file SSO IDP Metadata XML esportato dal portale Duo Admin e fare clic su Apri per salvarlo. (questo passaggio è menzionato anche nella sezione Duo del presente documento).

    L'URL SSO e i certificati di firma sono:

    ISE SAML GUI Configuration 2

    Configura metodo di autenticazione ISE

    IndividuareAdministration > System > Admin Access > Authentication > Authentication Methode scegliere il pulsante di opzione Basato su password. Scegliere il Nome IdP richiesto creato in precedenza dall'elenco a discesa Origine identità come mostrato nell'immagine:

    Auth Type with SAML Method

    Crea un gruppo amministrativo

    IndividuareAdministration > System > Admin Access > Authentication > Administrators > Admin Groupe fare clic su Amministratore privilegiato e quindi sul pulsante Duplica. Immettere il nome del gruppo Amministratori e fare clic sul pulsante Invia.

    In questo modo vengono forniti i privilegi di amministratore privilegiato al gruppo Admin.

    Admin Group Configuration

    Creare un criterio RBAC per il gruppo Admin

    IndividuareAdministration > System > Admin Access > Authorization > RBAC Policye scegliere le azioni corrispondenti al criterio di amministrazione avanzato. Fare clic su .Duplicate > Add the Name field > Save

    Le autorizzazioni per l'accesso sono le stesse del criterio di amministrazione avanzato.

    RBAC Policy

    Aggiungi appartenenza a gruppi

    Ad ISE, selezionareAdministration > Identity Management > External Identity Sources > SAML Id Providerse scegliere l'IdP SAML creato. Fare clic su Gruppi, quindi sul pulsante Aggiungi.

    Aggiungere il nome in Asserzione (nome del gruppo ISE Admin) e dall'elenco a discesa scegliere il gruppo RBAC (Role-Based Access Control) creato (Passaggio 4.) e fare clic su Apri per salvarlo. L'URL SSO e i certificati di firma vengono popolati automaticamente:

    SAML Identity Provider Group Mapping

    Esporta informazioni SP

    Passare aAdministration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider).

    Passare alla scheda Informazioni SP e fare clic sul pulsante Esporta, come mostrato nell'immagine:

    Export Service Provider Details

    Scaricare il file.xmle salvarlo. AssertionConsumerServicePrendere nota del valore Location URL (URL percorso) e entityID (ID entità), in quanto questi dettagli sono richiesti nel portale Duo SSO.

    
    
    
    
     
      
       
        
         
         
           MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB TUxfaXNlMDIueGVyb3RydXN0bGFicy5jb20wHhcNMjExMTE1MjI1OTM0WhcNMjYxMTE0MjI1OTM0 WjAnMSUwIwYDVQQDExxTQU1MX2lzZTAyLnhlcm90cnVzdGxhYnMuY29tMIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAxw7scSLMH1ApI3O/7+vWsGP4schoJJHlVeJKHuJVgm19SXViW8Ab WL9hQEXDr+U/zzp7fAq0YjckeNJg6VMhasao5tY4cutrAZK2F/kYvdVN+0N2cJUSTdJZNdKO+hcj VmUgClUi6Xa4PJNw+1yhj8PwrDlpzfgXZLi3wlo5sMRGrg8NeSbShPJVakIEF2FoI0hXTOOSH4ZN sD4q99dzrAv2m6y74vtU0GqwX4RRMOdvr7DIMNd2U/trh41QT85SY5c70l6fRWtY9omZBdU0S2JC ihWnC9ug7FE0qdPm2h5KiZvxJck9OqVXDHvtRKctW5gwzfX8Hu7DQKqs90h04HRUxg2GEiuiXCQZ 5p63KfoRly5oW50UK0LIMdyhDl+8uP+n+Jo3ufR8lKe42+/rws5Ct1hg4jozddutKkw2vyxMEg5/ ZpAz/goRIOmBN4r3n3FNGZV1uTfbb1Mz8yvY61ccGgTU1/Iynt9maNHxjbFtAP+HaiMPisfTKDRJ OLx91v+xKpb+opcOxqVK1q0Us0yGVvfycaFNZ3jP5wBNBzSAi7cvXk7sIW9WM7DC84OjC/r9EbaX Wll7MLV+16Z+FeDnzhzFVjq/cb61eNvXKKwDFryFqBnDLLJGmJuZQ/EgR0wkvseR8tNE3qIYVhOe qfCKZUpWtZ+lGLDD3r50p9UCAwEAAaN/MH0wIgYDVR0RBBswGYIXaXNlMDIueGVyb3RydXN0bGFi cy5jb20wDAYDVR0TBAUwAwEB/zALBgNVHQ8EBAMCAuwwHQYDVR0OBBYEFAoHeqyYR5r0XpOVXODT WdpDycOoMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQwFAAOCAgEA aoIIkyS8slDwjQrRsUVyPi17Lvl0TleCUQBrnr5WNUWlaXIB7Cb9qrG9D2ced72miH6vUcxine78 V4loTsgVu3tVlslQrOLW2eNLSbaN1XqbVUl1sCZkA4wGt8uLPX0t8UYysecEPFXD0NiKGPoIMaFg 3pP5525cJpeLRkgHjw1Z2qT54lsGd8Gdq6V666kliAt73kPwfDiZf/uDsCI+euIHDywLdOad51kJ RWAsZO7tgxK3tJO9z7JU4oY1fI26DUN43++Ap3KSaDiz9gYJ3fFjR9hP/nF/ywyO0HO5MgHqhsMo +zBMADukmprYC8qd+0z76+NQ6TLXgUer7NQMty68tQYP4riupvc26CEmgEZ592jBgDdt2tkY9An4 Fl/rqJPhX2RISLdUt50NcBbIZVOJ/IjkqHj9UG1E/U8qYy3krWvZV+VV5ChVNzwiVTWFCEOHNOTh l/yYdAAsODUBbwTqgJL1G3hNo+dA3LAgg/XKENFr+tt3LQ0kwPAtjKFQsIX/4sgMetV4KSqUI3HZ qw5u0t9WT578SZ5p1u/qj2cfx2wdqRVk5vSij6TxOpXIaCuY2L5YfeIMP/K49K+DecMBxCrKygNT vGX0PkVG/yqgQ9OIfQZ1OD3/NZxGyBJdzSSkjHxiUdWf4lWj1tVU+qav8M3imsCRvcZJppaKJNo= 
          
         
        
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:transient 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName

    Di seguito sono riportati i dettagli/attributi di interesse raccolti dal metafile che devono essere configurati in Duo Generic SAML Integration

    entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d.

    Posizione AssertionConsumerService = https://10.x.x.x:8443/portal/SSOLoginResponse.action dove 10.x.x.x è l'indirizzo IP ISE trovato nel file XML (Posizione).

    AssertionConsumerService Location = https://isenodename.com:8443/portal/SSOLoginResponse.action doveisenodenameè il nome FQDN ISE effettivo trovato nel file XML (Location).

    Passaggio 2. Configurare Duo SSO per ISE

    Selezionare questa KB per configurare Duo SSO con AD come origine di autenticazione.

    Auth Source

    Selezionare questa KB per abilitare l'SSO con il dominio personalizzato.

    Custom Subdomain

    Name Subdomain

    Passaggio 3. Integrazione di Cisco ISE con Duo SSO come SP generico

    Controllare i passaggi 1 e 2 di questo KB per integrare Cisco ISE con Duo SSO come SP generico.


    Configurare i dettagli dell'SP Cisco ISE nel pannello di amministrazione Duo per l'SP generico:

    Nome

    Descrizione

    ID entità

    http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d

    URL Assertion Consumer Service (ACS)

    https://10.x.x.x:8443/portal/SSOLoginResponse.action

    Entity ID

    Configurare la risposta SAML per Cisco ISE:

    Nome

    Descrizione

    Formato NameID

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    attributo NameID

    Username

    SAML Response

    Creare un gruppo denominato Cisco Admin Group nel pannello Duo Admin e aggiungere gli utenti ISE a questo gruppo oppure creare un gruppo in Windows AD e sincronizzare lo stesso con il pannello Duo Admin utilizzando la funzionalità di sincronizzazione della directory.

    DUO Group Configuration

    Configurare gli attributi del ruolo per Cisco ISE:

    Nome

    Descrizione

    Nome attributo

    gruppi

    Ruolo SP

    ISE Admin Group

    Gruppi Duo

    ISE Admin Group

    DUO Roles Configuration

    Nella sezione Impostazioni specificare un nome appropriato nella scheda Nome per l'integrazione.

    Name of SSO Policy

    Fare clic sul pulsante Save (Salva) per salvare la configurazione e consultare questa KB per ulteriori dettagli.

    Per scaricare i metadati SAML, fare clic su Download XML.

    SAML Metadata Download

    Caricare i metadata SAML dal pannello di amministrazione Duo a Cisco ISE passando aAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO.
    Passare alla scheda Configurazione provider di identità e fare clic sul pulsante Scegli file.
    Scegliere il file XML dei metadati scaricato nel passaggio 8 e fare clic su Salva.

    note-icon

    Nota: questo passaggio è menzionato nella sezione Configurazione dell'integrazione di SAML SSO con Duo SSO; passaggio 2. Importare il file SAML Metadata XML dal portale Duo Admin.

    Import Metadata on ISE

    Verifica

    Test dell'integrazione con Duo SSO

    1. Accedere al pannello di amministrazione di Cisco ISE e fare clic su Log In With SAML.

    ISE SAML Login Post Configuration

    2. Reindirizzato alla pagina SSO, immettere l'indirizzo e-mail e fare clic su Avanti.

    SSO Credentials

    3. Inserire la password e fare clic su Log in.

    SSO Credentials

    4. Viene visualizzato il prompt Duo Push sul dispositivo mobile.

    DUO Push

    5. Una volta accettata la richiesta, si apre una finestra e si viene automaticamente reindirizzati alla pagina ISE Admin.

    Success

    6. Pagina di accesso all'interfaccia utente grafica di ISE Admin.

    Successful GUI Login using SSO

    Risoluzione dei problemi

    • Scaricare l'estensione del tracer SAML per Mozilla FF https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/.
    • Scorrere fino alSSOLoginResponse.actionpacchetto. Nella scheda SAML vengono visualizzati alcuni attributi inviati da Duo SAML: NameID, Recipient (AssertionConsumerService Location URL) e Audience(EntityID).

    SAML Tracer Troubleshooting

    • Live Log on ISE:

    ISE Livelog

    • Accesso amministrativo ad ISE: username: samlUser.

    Report_Saml

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    29-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Nadia Gouveia
      ISE TAC Team
    • Mayil Raj
      ISE TAC Team Lead

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti