Configurazione dell'autenticazione a più fattori nativa ISE 3.3 con Duo

Opzioni per il download

  • PDF     (2.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:12 giugno 2026
ID documento:221232

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come integrare Identity Services Engine (ISE) 3.3 Patch 1 con Duo per Multifactor Authentication. 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza di base dei seguenti argomenti:

  • ISE

  • Duo

Componenti usati

Dalla versione 3.3 Patch 1, ISE può essere configurato per l'integrazione nativa con i servizi Duo, eliminando la necessità del proxy di autenticazione.

Le informazioni fornite in questo documento si basano su:

  • Patch 1 per Cisco ISE versione 3.3
  • Duo
  • Cisco ASA versione 9.16(4)
  • Cisco Secure Client versione 5.0.04032

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Diagramma di flusso

Flow Diagram

Passi

  1. La Fase di configurazione include la selezione dei gruppi di Active Directory a cui gli utenti sono sincronizzati e questa sincronizzazione viene eseguita al termine della procedura guidata di autenticazione a più fattori. Si compone di due fasi. Cerca in Active Directory per recuperare l'elenco di utenti e determinati attributi. Una chiamata al Duo Cloud con l'API ISE Admin di Cisco, effettuata per indirizzare gli utenti (gli amministratori devono iscrivere gli utenti). La registrazione degli utenti può includere la fase opzionale di attivazione dell'utente per Duo Mobile, che consente agli utenti di utilizzare l'autenticazione con un solo tocco con Duo Push.
  2. Una volta avviata una connessione VPN, l'utente immette il nome utente e la password e fa clic su OK. Il dispositivo di rete invia una richiesta di accesso RADIUS al PSN.
  3. Il nodo PSN autentica l'utente tramite Active Directory.
  4. Quando l'autenticazione ha esito positivo e il criterio MFA è configurato, il PSN contatta Duo Cloud. Viene effettuata una chiamata a Duo Cloud con l'API ISE Auth di Cisco per richiamare un'autenticazione di secondo fattore con Duo. ISE comunica con il servizio Duos sulla porta TCP SSL 443.
  5. Viene eseguita un'autenticazione di secondo fattore e l'utente completa un processo di autenticazione di secondo fattore.
  6. Duo risponde al PSN con il risultato dell'autenticazione del secondo fattore.
  7. L'autorizzazione di accesso viene inviata al dispositivo di rete e viene stabilita la connessione VPN.

Configurazioni

Seleziona applicazioni da proteggere

1. Passare a Duo Admin Dashboard. Accedere con le credenziali di amministratore.

2. Passare a Dashboard > Applicazioni > Catalogo applicazioni. Cercare Cisco ISE Auth API e selezionare + Add.

ISE Auth API 1ISE Auth API 1

3. Prendere nota della chiave di integrazione e della chiave segreta.

ISE Auth API 2ISE Auth API 2

4. Passare a Pannello di controllo > Applicazioni > Catalogo applicazioni. Cercare Cisco ISE Admin API e selezionare + Add

Nota: Solo gli amministratori con il ruolo Owner possono creare o modificare l'applicazione Cisco ISE Admin API nel pannello Duo Admin.

ISE Admin API 1ISE Admin API 1

5. Prendere nota della chiave di integrazione, della chiave segreta e del nome host dell'API.

ISE Admin API 2ISE Admin API 2

Configura autorizzazioni API

1. Passare a Pannello di controllo > Applicazioni > Applicazione. Selezionare Cisco ISE Admin API.

2. Selezionare Concedi risorsa di lettura e Concedi autorizzazioni risorsa di scrittura. Fare clic su Salva modifiche.

Admin API PermissionsAutorizzazioni API di amministrazione

Integrare ISE con Active Directory

1. Passare a Amministrazione > Gestione delle identità > Archivi identità esterne > Active Directory > Aggiungi. Specificare il nome del punto di join, il dominio di Active Directory e fare clic su Invia.

Active Directory 1Active Directory 1

2. Quando viene richiesto di aggiungere tutti i nodi ISE a questo dominio Active Directory, fare clic su Sì.

Active Directory 2Active Directory 2

3. Specificare il nome utente e la password di Active Directory, quindi fare clic su OK.

Active Directory 3Active Directory 3

4. L'account di Active Directory richiesto per l'accesso al dominio in ISE può avere uno dei seguenti:

  • Aggiungere workstation al diritto utente di dominio nel rispettivo dominio.
  • Autorizzazione Crea oggetti computer o Elimina oggetti computer nei rispettivi contenitori in cui viene creato l'account ISE Machines prima che venga aggiunto al dominio il computer ISE.

Nota: Cisco consiglia di disabilitare il criterio di blocco per l'account ISE e configurare l'infrastruttura AD in modo che invii avvisi all'amministratore se per l'account viene utilizzata una password errata. Se viene immessa una password errata, ISE non crea né modifica il proprio account computer quando necessario e quindi probabilmente nega tutte le autenticazioni.

5. Lo status di AD è Operativo.

Active Directory 4Active Directory 4

6. Passare a Gruppi > Aggiungi > Seleziona gruppi da directory > Recupera gruppi. Selezionare le caselle di controllo corrispondenti ai gruppi AD desiderati (utilizzati per sincronizzare gli utenti e per i criteri di autorizzazione):

Active Directory 5Active Directory 5

 7. Fare clic su Salva per salvare i gruppi AD recuperati.

Active Directory 6Active Directory 6

Abilita Open API

  1. Selezionare Amministrazione > Sistema > Impostazioni >Impostazioni API > Impostazioni servizio API.Abilitare Open API e fare clic su Salva.

Open APIAPI aperta

Abilita origine identità MFA

  1. Passare a Amministrazione > Gestione delle identità > Impostazioni > Impostazioni origini identità esterne. Abilitare MFA e fare clic su Salva.

ISE MFA 1ISE MFA 1

Configura origine identità esterna MFA

  1. Passare a Amministrazione > Gestione delle identità > Origini identità esterne. Fare clic su Add (Aggiungi) e nella schermata iniziale fare clic su Let's Do It (Esegui).

ISE DUO Wizard 1Procedura guidata ISE Duo 1

2. Nella schermata successiva, configurare il Nome connessione e fare clic su Avanti.

ISE DUO Wizard 2ISE Duo - procedura guidata 2

3. Configurare i valori di API Hostname, Cisco ISE Admin API Integration, Secret Keys, Cisco ISE Auth API Integration, e Secret Keys dal passaggio Select Applications al passaggio Protect.

ISE DUO Wizard 3Procedura guidata ISE Duo 3

4. Fare clic su Test connessione e una volta che il Test connessione ha avuto esito positivo, fare clic su Avanti.

ISE DUO Wizard 4Procedura guidata ISE Duo 4

5. Configurare la sincronizzazione delle identità. Questo processo sincronizza gli utenti dai gruppi di Active Directory selezionati nell'account Duo utilizzando le credenziali API fornite in precedenza. Selezionare Active Directory Join Point, quindi fare clic su Avanti.

Nota: La configurazione di Active Directory non rientra nell'ambito di questo documento. Fare riferimento a questo documento per integrare ISE con Active Directory.

ISE DUO Wizard 5Procedura guidata ISE Duo 5

6. Selezionare Gruppi di Active Directory in cui si desidera sincronizzare gli utenti con Duo. Fare clic su Next (Avanti).

ISE DUO Wizard 6Procedura guidata ISE Duo 6

7. Verificare che le impostazioni siano corrette e fare clic su Fine.

ISE DUO Wizard 7Procedura guidata ISE Duo 7

Registra utente in Duo

Nota: Duo User Enrollment non rientra nell'ambito di questo documento. Per ulteriori informazioni sulla registrazione degli utenti, fare riferimento a questo documento. Ai fini del presente documento, viene utilizzata la registrazione utente manuale.

1. Aprire Duo Admin Dashboard e passare a Dashboard > Utenti.

2. Fare clic sull'utente sincronizzato da ISE.

DUO Enroll 1Duo enroll 1

3. Scorri fino a Telefoni e fai clic su Aggiungi telefono.

DUO Enroll 2Duo enroll 2

4. Inserire il numero di telefono e fare clic su Aggiungi telefono.

Duo Add PhoneDuo Enroll 3

Configura set di criteri

Configura criterio di autenticazione

1. Passare a Criterio > Set di criteri e selezionare il Set di criteri in cui si desidera abilitare l'autenticazione a più fattori. Configurare il criterio di autenticazione con l'archivio identità di autenticazione primario come Active Directory.

Policy Set 1Set di criteri 1

Configura criterio MFA

1. Una volta che l'AMF è stato abilitato su ISE, è disponibile una nuova sezione nei Set di criteri ISE. Espandere la politica di AMF e fare clic sul segno + per aggiungere la politica di AMF. Configurare le condizioni MFA desiderate selezionando la configurazione DUO-MFA configurata in precedenza nella sezione Usa.

2. Fare clic su Salva.

ISE PolicyPolicy ISE

Nota: Il criterio configurato in precedenza si basa sul gruppo di tunnel denominato RA. Gli utenti connessi al gruppo di tunnel RA sono obbligati a eseguire l'autenticazione a più fattori. La configurazione ASA/FTD non rientra nell'ambito di questo documento. Per configurare ASA/FTD, consultare il documento.

Configura criteri di autorizzazione 

1. Configurare i criteri di autorizzazione con la condizione e le autorizzazioni del gruppo di Active Directory di propria scelta.

Policy Set 3Set di criteri 3

Limitazioni

Alla data del presente documento:

1. Come metodo di autenticazione di secondo fattore sono supportati solo Duo push e telefono

2. Non viene eseguito il push di alcun gruppo in Duo Cloud. È supportata solo la sincronizzazione utente

3. I seguenti punti elenco sono supportati con l'autenticazione a più fattori:

  • autenticazione utente VPN
  • Autenticazione accesso amministratore TACACS+

Verifica

1. Aprire Cisco Secure Client, fare clic su Connect (Connetti) e fornire il nome utente e la password, quindi fare clic su OK.

VPN ClientClient VPN

2. Il dispositivo mobile dell'utente deve ricevere una notifica Push Duo. Approvare e stabilire la connessione VPN.

DUO PushDuo Push

3. Passare a ISE Operations > Live Log per confermare l'autenticazione dell'utente.

Live Logs 1Registri attivi 1

4. Fare clic sul rapporto Dettagli autenticazione, verificare il criterio di autenticazione e il criterio di autorizzazione e il risultato dell'autorizzazione. Scorrere i passaggi a destra. Per confermare il completamento dell'autenticazione a più fattori, è necessario che sia presente la riga MultiFactor Authentication is Successful

Live Logs 2Live Log 2

Risoluzione dei problemi

Debug da abilitare su ISE:

Scenario d'uso Componente log File di log Messaggi di log chiave
Registri correlati a AMF motore delle regole ise-psc.log DuoMfaAuthApiUtils -::::- Richiesta inviata a Duo Client Manager
DuoMfaAuthApiUtils —> Risposta Duo
Registri correlati ai criteri prrt-JNI port-management.log ProcessoreRichiestaCriterioMfaRadius
ProcessoreRichiestaCriteriMfaTACACS
Log relativi all'autenticazione runtime-AAA port-server.log MfaAuthenticator::suAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MfaAuthenticator::onResponseEvaluatePolicyEvent
Duo Authentication, registri correlati a Sincronizzazione ID duo-sync-service.log

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
3.0
12-Jun-2026
Introduzione, titolo, ortografia, grammatica, struttura della frase, testo alternativo, spaziatura, URL in linea, URL HTML aggiornati
2.0
08-May-2025
Aggiornamento flusso
1.0
11-Dec-2023
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Eugene Korneychuk
    Cisco TAC Technical Leader

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti