Duoを使用したISE 3.3ネイティブ多要素認証の設定

はじめに

このドキュメントでは、Identity Services Engine(ISE)3.3パッチ1をDuo for Multifactor Authentication(MFA)と統合する方法について説明します。 

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

• ISE

• Duo

使用するコンポーネント

バージョン3.3パッチ1以降では、ISEをDuoサービスとのネイティブ統合に設定できるため、認証プロキシは不要です。

このドキュメントの情報は、次のハードウェアに基づくものです。

• Cisco ISEバージョン3.3パッチ1
• Duo
• Cisco ASA バージョン 9.16(4)
• Cisco Secure Clientバージョン5.0.04032

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

フロー図

手順

1. 設定フェーズでは、Active Directoryグループの選択が行われます。この選択は、どのユーザに対して同期され、MFAウィザードが完了すると行われます。この操作は、次の 2 つの手順からなります。Active Directoryを参照して、ユーザと特定の属性のリストを取得します。Cisco ISE Admin APIを使用してDuo Cloudを呼び出し、そこにユーザをプッシュします（管理者はユーザの登録が必要です）。 ユーザーの登録には、Duo Mobileのユーザーをアクティブにするオプションのステップを含めることができます。これにより、ユーザーはDuo Pushでワンタップ認証を使用できます。
2. VPN接続が開始されると、ユーザはユーザ名とパスワードを入力し、OKをクリックします。ネットワークデバイスがPSNにRADIUS Access-Requestを送信します。
3. PSNノードは、Active Directory経由でユーザを認証します。
4. 認証が成功し、MFAポリシーが設定されると、PSNはDuo Cloudに接続します。シスコのISE Auth APIを使用したDuo Cloudへのコールは、Duoを使用した第2因子認証を呼び出すために行われます。ISEはSSL TCPポート443でDuosサービスと通信します。
5. 第2要素認証が行われ、ユーザは第2要素認証プロセスを完了します。
6. Duoは、2番目の要素の認証の結果をPSNに応答します。
7. Access-Acceptがネットワークデバイスに送信され、VPN接続が確立されます。

コンフィギュレーション

保護するアプリケーションの選択

1. Duo Admin Dashboardに移動します。管理者クレデンシャルでログインします。

2. ダッシュボード>アプリケーション>アプリケーションカタログに移動します。Cisco ISE Auth APIを探して、+ Addを選択します。

ISE認証API 1

3. 統合キーと秘密キーをメモします。

ISE認証API 2

4. ダッシュボード>アプリケーション>アプリケーションカタログに移動します。Cisco ISE Admin APIを探して、+ Addを選択します。 

注：Duo Admin PanelでCisco ISE Admin APIアプリケーションを作成または変更できるのは、Ownerロールを持つ管理者だけです。

ISE管理API 1

5.統合キー、秘密キー、およびAPIホスト名をメモします。

ISE管理API 2

APIアクセス許可の設定

1. ダッシュボード>アプリケーション>アプリケーションに移動します。Cisco ISE Admin APIを選択します。

2. Grant Read ResourceおよびGrant Write Resourceのアクセス許可をチェックします。[Save Changes] をクリックします。

管理APIアクセス許可

ISEとActive Directoryの統合

1. Administration > Identity Management > External Identity Stores > Active Directory > Addの順に移動します。[Join Point Name]、[Active Directory Domain] を入力し、[Submit] をクリックします。

Active Directory 1

2. すべてのISEノードをこのActive Directoryドメインに参加させるプロンプトが表示されたら、Yesをクリックします。

Active Directory 2

3. ADのユーザ名とパスワードを入力し、OKをクリックします。

Active Directory 3

4. ISEのドメインアクセスに必要なActive Directoryアカウントは、次のいずれかを持つことができます。

• 各ドメインのドメインユーザ権限にワークステーションを追加します。
• ISEマシンがドメインに参加する前にISEマシンアカウントが作成される各コンピュータコンテナに対するコンピュータオブジェクトの作成またはコンピュータオブジェクトの削除の権限。

注：ISEアカウントのロックアウトポリシーを無効にし、誤ったパスワードが管理者に使用された場合に管理者にアラートを送信するようにADインフラストラクチャを設定することを推奨します。誤ったパスワードを入力すると、ISEは必要なときにマシンアカウントを作成または変更しないため、すべての認証が拒否される可能性があります。

5. ADのステータスはOperationalです。

Active Directory 4

6. Groups > Add> Select Groups From Directory > Retrieve Groupsの順に移動します。選択したADグループに対してチェックボックスを選択します（ユーザの同期および許可ポリシーに使用されます）。

Active Directory 5

 7. Saveをクリックして、取得したADグループを保存します。

Active Directory 6

オープンAPIの有効化

1. Administration > System > Settings >API Settings > API Service Settings.Enable Open APIの順に選択し、Saveをクリックします。

オープンAPI

MFAアイデンティティソースの有効化

1. Administration > Identity Management > Settings > External Identity Sources Settingsの順に移動します。MFAをイネーブルにして、Saveをクリックします。

ISE MFA 1

MFA外部アイデンティティソースの設定

1. [Administration] > [Identity Management] > [External Identity Sources] に移動します。Addをクリックし、初期画面でLet's Do Itをクリックします。

ISE Duoウィザード1

2. 次の画面で接続名を設定し、Nextをクリックします。

ISE Duoウィザード2

3. Select ApplicationsからProtectのステップで、API Hostname、Cisco ISE Admin API Integration、Secret Keys、Cisco ISE Auth API Integration、およびSecret Keysの値を設定します。

ISE Duoウィザード3

4. Test Connectionをクリックし、Test Connectionが成功したら、Nextをクリックします。

ISE Duoウィザード4

5. Identity Syncを設定します。このプロセスでは、選択したActive Directoryグループのユーザが、以前に指定したAPIクレデンシャルを使用してDuoアカウントに同期されます。Active Directory Join Pointを選択し、Nextをクリックします。

注：Active Directoryの設定はこのドキュメントの対象範囲外です。ISEをActive Directoryと統合する方法については、このドキュメントを参照してください。

ISE Duoウィザード5

6. Duoとユーザーを同期させるActive Directoryグループを選択します。[Next] をクリックします。

ISE Duoウィザード6

7. 設定が正しいことを確認し、Doneをクリックします。

ISE Duoウィザード7

Duoへのユーザの登録

注：Duoユーザ登録についてはこのドキュメントの対象外です。ユーザ登録の詳細については、このドキュメントを参照してください。このドキュメントの目的に従い、手動によるユーザ登録を使用します。

1. Duo Admin Dashboardを開き、Dashboard > Usersの順に移動します。

2. ISEから同期されたユーザをクリックします。

Duo登録1

3. Phonesまでスクロールダウンして、Add Phoneをクリックします。

Duo登録2

4. 電話番号を入力し、電話の追加をクリックします。

Duo登録3

ポリシーセットの設定

認証ポリシーの設定

1. Policy > Policy Set の順に移動し、MFAを有効にするPolicy Setを選択します。プライマリ認証IDストアをActive Directoryとして使用する認証ポリシーを設定します。

ポリシーセット1

MFAポリシーの設定

1. ISEでMFAを有効にすると、ISEポリシーセットの新しいセクションが使用可能になります。MFA Policyを展開し、+をクリックしてMFA Policyを追加します。前の「使用」セクションで設定したDUO-MFAを選択して、任意のMFA条件を設定します。

2. Saveをクリックします。

ISEポリシー

注：前に設定したポリシーは、RAという名前のTunnel-Groupに依存しています。RAトンネルグループに接続されたユーザは、強制的にMFAを実行されます。ASA/FTDの設定は、このドキュメントの対象範囲外です。ASA/FTDを設定するには、このドキュメントを参照してください。

許可ポリシーの設定 

1. 選択したActive Directoryグループ条件とアクセス許可を使用して承認ポリシーを構成します。

ポリシーセット3

制限事項

このドキュメントの作成時点：

1. 第2の認証方式としてサポートされているのは、Duoプッシュと電話のみ

2. Duo Cloudにプッシュされるグループはありません。ユーザー同期のみがサポートされます

3. 次の項目は、多要素認証でサポートされています。

• VPNユーザ認証
• TACACS+管理アクセス認証

確認

1. Cisco Secure Clientを開き、Connectをクリックして、UsernameとPasswordを指定し、OKをクリックします。

VPN クライアント

(2)利用者の携帯機器は、Duo Push通知を受信すること。これを承認すると、VPN接続が確立されます。

Duoプッシュ

3. ISE Operations > Live Logsの順に移動し、ユーザ認証を確認します。

ライブログ1

4. Details Authentication Reportをクリックし、Authentication Policy、Authorization Policy、およびAuthorization Resultを確認します。右側の手順をスクロールします。MFAが成功したことを確認するには、「MultiFactor Authentication is Successful」という行が表示されている必要があります。 

ライブログ2

トラブルシュート

ISEで有効にするデバッグ：

使用例	ログコンポーネント	ログファイル	キーログメッセージ
MFA関連のログ	ポリシーエンジン	ise-psc.log	DuoMfaAuthApiUtils -::::- Duo Client managerに要求を送信しました DuoMfaAuthApiUtils —> Duo応答
ポリシー関連のログ	prrt-JNI	prrt-management.log	RadiusMfaPolicyRequestProcessor TacacsMfaPolicyRequestProcessor
認証に関するログ	ランタイムAAA	prrt-server.logファイル	MfaAuthenticator::onAuthenticateEvent MfaAuthenticator::sendAuthenticateEvent MfaAuthenticator::onResponseEvaluatePolicyEvent
Duo認証、ID同期関連のログ		duo-sync-service.log（オプション）

更新履歴

改定	発行日	コメント
3.0	12-Jun-2026	概要、タイトル、スペル、文法、文の構造、代替テキスト、スペース、インラインURL、HTML URLを更新
2.0	08-May-2025	フロー更新
1.0	11-Dec-2023	初版