Introduzione
In questo documento viene descritto come configurare e risolvere i problemi relativi ai criteri di autorizzazione in ISE in base all'appartenenza al gruppo Azure AD con EAP-TLS o TEAP.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Identity Services Engine (ISE)
- Microsoft Azure AD, sottoscrizione e app
- EAP-TLS autenticazione
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco ISE 3.2
- Microsoft Azure AD
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
In ISE 3.0 è possibile sfruttare l'integrazione tra ISE e Azure Active Directory (AAD) per autenticare gli utenti in base ai gruppi e agli attributi di Azure AD tramite la comunicazione ROPC (Resource Owner Password Credentials). Con ISE 3.2 è possibile configurare l'autenticazione basata su certificati e autorizzare gli utenti in base all'appartenenza ai gruppi di Azure AD e ad altri attributi. ISE esegue query su Azure tramite l'API del grafico per recuperare gruppi e attributi per l'utente autenticato. Utilizza il nome comune del soggetto (CN) del certificato in base al nome dell'entità utente (UPN) sul lato Azure.
Nota: le autenticazioni basate sui certificati possono essere EAP-TLS o TEAP con EAP-TLS come metodo interno. È quindi possibile selezionare gli attributi da Azure Active Directory e aggiungerli al dizionario Cisco ISE. Questi attributi possono essere utilizzati per l'autorizzazione. È supportata solo l'autenticazione utente.
Configurazione
Esempio di rete
Nell'immagine seguente viene illustrato un esempio di diagramma di rete e di flusso del traffico
![rmigisha_0-1663799260041](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-00.png)
Procedura:
- Il certificato viene inviato all'ISE tramite EAP-TLS o TEAP con EAP-TLS come metodo interno.
- ISE valuta il certificato dell'utente (periodo di validità, CA attendibile, CRL e così via).
- ISE acquisisce il nome del soggetto del certificato (CN) ed esegue una ricerca nell'API di Microsoft Graph per recuperare i gruppi e altri attributi dell'utente. Questo nome è noto come UPN (User Principal Name) nel lato di Azure.
- I criteri di autorizzazione ISE vengono valutati in base agli attributi dell'utente restituiti da Azure.
Nota: è necessario configurare e concedere le autorizzazioni dell'API Graph per l'app ISE in Microsoft Azure, come mostrato di seguito:
![API Permissions](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-01.jpeg)
Configurazioni
Configurazione di ISE
Nota: la funzionalità ROPC e l'integrazione tra ISE e Azure AD non rientrano nell'ambito di questo documento. È importante aggiungere gruppi e attributi utente da Azure. Vedere qui la guida alla configurazione.
Configurare il profilo di autenticazione del certificato
Passaggio 1. Passa a l'icona Menu
nell'angolo superiore sinistro e selezionare Amministrazione > Gestione delle identità > Origini identità esterne.
Passaggio 2. Seleziona Autenticazione certificato Profilo, quindi fare clic su Aggiungi.
Passaggio 3. Definire il nome, Impostare il Archivio identità come [Non applicabile], quindi selezionare Oggetto - Nome comune in Usa identità da campo. Selezionare Mai in corrispondenza Certificato client rispetto al certificato nell'archivio identità Campo.
![rmigisha_2-1663802545501](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-03.png)
Passaggio 4. Fare clic su Salva
![rmigisha_2-1663951904221](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-04.png)
Passaggio 5. Passa a l'icona Menu
nell'angolo superiore sinistro e selezionare Criterio > Set di criteri.
Passaggio 6. Selezionare il segno più
per creare un nuovo set di criteri. Assegnare un nome e selezionare Wireless 802.1x o Wireless 802.1x come condizioni. In questo esempio viene utilizzata l'opzione Accesso alla rete predefinito
![rmigisha_0-1663950278197](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-07.png)
Passaggio 7. Selezionare la freccia
accanto a Accesso alla rete predefinito per configurare i criteri di autenticazione e autorizzazione.
Passaggio 8. Selezionare l'opzione Authentication Policy (Criterio di autenticazione), definire un nome e aggiungere EAP-TLS come Network Access EAPAuthentication (Autenticazione EAPA accesso alla rete). È possibile aggiungere TEAP come Network Access EAPTunnel se TEAP viene utilizzato come protocollo di autenticazione. Selezionare il profilo di autenticazione certificato creato al passaggio 3 e fare clic su Salva.
![rmigisha_1-1663811245546](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-09.png)
Passaggio 9. Selezionare l'opzione Criteri di autorizzazione, definire un nome e aggiungere gli attributi utente o del gruppo di Azure AD come condizione. Scegliere il profilo o il gruppo di protezione in Risultati, in base allo Use Case, quindi fare clic su Salva.
![rmigisha_1-1663950342613](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-10.png)
Configurazione utente.
Il nome comune del soggetto (CN) del certificato utente deve corrispondere al nome dell'entità utente (UPN) sul lato Azure per recuperare l'appartenenza al gruppo AD e gli attributi utente da utilizzare nelle regole di autorizzazione. Affinché l'autenticazione abbia esito positivo, la CA radice e gli eventuali certificati delle CA intermedie devono trovarsi nell'archivio attendibile ISE.
![rmigisha_12-1663802565885](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-11.png)
![rmigisha_11-1663802565884](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-12.png)
Verifica
Verifica ISE
Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu
e scegliere per le autenticazioni di rete (RADIUS).
![ISE Verify](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-14.jpeg)
Fare clic sull'icona della lente di ingrandimento nella colonna Dettagli per visualizzare un report di autenticazione dettagliato e verificare se il flusso funziona come previsto.
- Verifica criteri di autenticazione/autorizzazione
- Metodo/protocollo di autenticazione
- Nome soggetto utente ricavato dal certificato
- Gruppi di utenti e altri attributi recuperati dalla directory di Azure
![rmigisha_14-1663802613946](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-15.png)
![rmigisha_15-1663802613947](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-16.png)
Risoluzione dei problemi
Abilita debug su ISE
Passa a Amministrazione > Sistema > Registrazione > Configurazione registro di debug per impostare i componenti successivi al livello specificato.
Nodo |
Nome componente |
Livello log |
Nome file di log |
PSN |
rest-id-store |
Debug |
rest-id-store.log |
PSN |
runtime-AAA |
Debug |
port-server.log |
Nota: al termine della risoluzione dei problemi, ripristinare i debug. A tale scopo, selezionare il nodo correlato e fare clic su "Ripristina valori predefiniti".
Registra frammenti
Gli estratti successivi mostrano le ultime due fasi del flusso, come accennato in precedenza nella sezione diagramma reticolare.
- ISE acquisisce il nome soggetto del certificato (CN) ed esegue una ricerca nell'API di Azure Graph per recuperare i gruppi e altri attributi dell'utente. Questo nome è noto come UPN (User Principal Name) sul lato Azure.
- I criteri di autorizzazione ISE vengono valutati in base agli attributi dell'utente restituiti da Azure.
Log ID residuo:
![rmigisha_17-1663802653185](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-17.jpeg)
Registri porte:
![rmigisha_16-1663802653185](/c/dam/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act-18.jpeg)