Duo를 사용하여 ISE 3.3 기본 Multifactor Authentication 구성

다운로드 옵션

  • PDF     (2.7 MB)
    다양한 디바이스에서 Adobe Reader로 보기
업데이트:2026년 6월 12일
문서 ID:221232

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ISE(Identity Services Engine) 3.3 패치 1을 Duo for Multifactor Authentication과 통합하는 방법에 대해 설명합니다. 

사전 요구 사항

요구 사항

Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.

  • ISE

  • Duo

사용되는 구성 요소

버전 3.3 패치 1에서 Duo 서비스와의 네이티브 통합을 위해 ISE를 구성할 수 있으므로 인증 프록시가 필요하지 않습니다.

이 문서의 정보는 다음을 기반으로 합니다.

  • Cisco ISE 버전 3.3 패치 1
  • Duo
  • Cisco ASA 버전 9.16(4)
  • Cisco Secure Client 버전 5.0.04032

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

순서도

Flow Diagram

단계

  1. 컨피그레이션 단계에는 사용자가 동기화되는 Active Directory 그룹을 선택하는 작업이 포함되며, 이 동기화는 MFA 마법사가 완료되면 수행됩니다. 두 단계로 구성되어 있습니다. Active Directory에 대한 조회를 통해 사용자 및 특정 특성 목록을 검색합니다. Cisco의 ISE 관리 API를 사용하여 Duo Cloud에 대한 호출로, 사용자를 해당 위치로 푸시합니다(관리자는 사용자를 등록해야 함). 사용자 등록에는 Duo Mobile용 사용자를 활성화하는 선택적 단계가 포함될 수 있습니다. 이를 통해 사용자는 Duo Push를 통한 원탭 인증을 사용할 수 있습니다.
  2. VPN 연결이 시작되면 사용자가 사용자 이름과 비밀번호를 입력하고 OK(확인)를 클릭합니다. 네트워크 디바이스는 PSN에 RADIUS Access-Request를 전송합니다.
  3. PSN 노드는 Active Directory를 통해 사용자를 인증합니다.
  4. 인증이 성공하고 MFA 정책이 구성되면 PSN은 Duo Cloud에 연결합니다. Cisco의 ISE 인증 API를 사용하여 Duo Cloud를 호출하면 Duo를 통한 2단계 인증이 호출됩니다. ISE는 SSL TCP 포트 443에서 Duos 서비스와 통신합니다.
  5. 2단계 인증이 발생하고 사용자가 2단계 인증 프로세스를 완료합니다.
  6. Duo는 2단계 인증 결과로 PSN에 응답합니다.
  7. Access-Accept가 네트워크 디바이스로 전송되고 VPN 연결이 설정됩니다.

설정

보호할 애플리케이션 선택

1. Duo Admin Dashboard로 이동합니다. 관리자 자격 증명으로 로그인합니다.

2. 대시보드 > 애플리케이션> 애플리케이션 카탈로그로 이동합니다. Cisco ISE 인증 API를 찾고 + Add(추가)를 선택합니다.

ISE Auth API 1ISE 인증 API 1

3. Integrationkey 및 Secret key메모합니다.

ISE Auth API 2ISE 인증 API 2

4. 대시보드 > 애플리케이션> 애플리케이션 카탈로그로 이동합니다. Cisco ISE Admin API를 찾아 + Add(추가)를 선택합니다. 

참고: Owner 역할을 가진 관리자만 Duo Admin Panel에서 Cisco ISE Admin API 애플리케이션을 만들거나 수정할 수 있습니다.

ISE Admin API 1ISE 관리 API 1

5. 통합 키, 비밀 키API 호스트 이름을 기록합니다.

ISE Admin API 2ISE 관리 API 2

API 권한 구성

1. 대시보드 > 애플리케이션> 애플리케이션으로 이동합니다. Cisco ISE Admin API를 선택합니다.

2. 자원 읽기 권한 부여 및 자원 쓰기 권한 부여를 선택합니다. Save Changes(변경 사항 저장)를 클릭합니다.

Admin API Permissions관리 API 권한

ISE를 Active Directory와 통합

1. Administration(관리) > Identity Management(ID 관리) > External Identity Stores(외부 ID 저장소)> Active Directory >Add(추가)로 이동합니다. 가입 포인트 이름, Active Directory 도메인을 제공하고 제출을 클릭합니다.

Active Directory 1Active Directory 1

2. 모든 ISE 노드를 이 Active Directory 도메인에 가입시키라는 메시지가 표시되면 Yes()를 클릭합니다.

Active Directory 2Active Directory 2

3. AD 사용자 이름 및 암호를 입력하고 확인을 클릭합니다.

Active Directory 3Active Directory 3

4. ISE의 도메인 액세스에 필요한 Active Directory 계정에는 다음 중 하나가 포함될 수 있습니다.

  • 각 도메인의 도메인 사용자 권한에 워크스테이션을 추가합니다.
  • ISE 머신 계정이 ISE 머신을 도메인에 조인하기 전에 생성된 각 컴퓨터 컨테이너에서 컴퓨터 개체 만들기 또는 컴퓨터 개체 삭제 권한을 갖습니다.

참고: Cisco에서는 ISE 계정에 대한 잠금 정책을 비활성화하고 해당 계정에 대해 잘못된 비밀번호가 사용되는 경우 관리자에게 알림을 전송하도록 AD 인프라를 구성하는 것을 권장합니다. 잘못된 비밀번호를 입력하면 ISE는 필요한 경우 머신 계정을 생성하거나 수정하지 않으므로 모든 인증을 거부할 수 있습니다.

5. AD 작동 상태

Active Directory 4Active Directory 4

6. 그룹 > 추가> 디렉토리에서 그룹 선택> 그룹 검색으로 이동합니다. 선택한 AD 그룹(사용자 동기화 및 권한 부여 정책에 사용됨)에 대한 확인란을 선택합니다.

Active Directory 5Active Directory 5

 7. 저장을 눌러 검색된 AD 그룹을 저장합니다.

Active Directory 6Active Directory 6

Open API 활성화

  1. Administration(관리) > System(시스템) > Settings(설정) > API Settings(API 설정) > API Service Settings(API 서비스 설정)로 이동합니다.Open API를 활성화하고 Save(저장)를 클릭합니다.

Open API개방형 API

MFA ID 소스 사용

  1. Administration(관리) > Identity Management(ID 관리) > Settings(설정) > External Identity Sources Settings(외부 ID 소스 설정)로 이동합니다. MFA를 활성화하고 Save를 클릭합니다.

ISE MFA 1ISE MFA 1

MFA 외부 ID 소스 구성

  1. Administration(관리) > Identity Management(ID 관리)> External Identity Sources(외부 ID 소스)로 이동합니다. Add(추가)를 클릭하고 Welcome Screen(시작 화면)에서 Let's Do It(시작하겠습니다)를 클릭합니다.

ISE DUO Wizard 1ISE Duo 마법사 1

2. 다음 화면에서 연결 이름을 구성하고 다음클릭합니다.

ISE DUO Wizard 2ISE Duo 마법사 2

3. Select Applications(애플리케이션 선택) 단계에서 Protect(보호) 단계로 API 호스트 이름, Cisco ISE Admin API Integration(Cisco ISE 관리 API 통합), Secret Keys(비밀 키), Cisco ISE Auth API Integration(Cisco ISE 인증 API 통합) 및 Secret Keys(비밀 키)의 값을 구성합니다.

ISE DUO Wizard 3ISE Duo 마법사 3

4. 연결 테스트를 클릭하고 연결 테스트가 성공하면 다음을 클릭합니다.

ISE DUO Wizard 4ISE Duo 마법사 4

5. ID 동기화를 구성합니다. 이 프로세스는 이전에 제공된 API 자격 증명을 사용하여 선택한 Active Directory 그룹의 사용자를 Duo 계정으로 동기화합니다. Active Directory Join Point를 선택하고 Next(다음)를 클릭합니다.

참고: Active Directory 구성이 이 문서의 범위를 벗어납니다. ISE를 Active Directory와 통합하려면 이 문서를 참조하십시오.

ISE DUO Wizard 5ISE Duo 마법사 5

6. 사용자가 Duo와 동기화할 Active Directory 그룹을 선택합니다. Next(다음)를 클릭합니다.

ISE DUO Wizard 6ISE Duo 마법사 6

7. 설정이 올바른지 확인하고 완료를 클릭합니다.

ISE DUO Wizard 7ISE Duo 마법사 7

듀오에 사용자 등록

참고: Duo User Enrollment는 이 문서의 범위에 속하지 않습니다. 사용자 등록에 대한 자세한 내용은 문서를 참조하십시오. 이 문서에서는 수동 사용자 등록을 사용합니다.

1. Duo Admin Dashboard(Duo 관리자 대시보드)를 열고 Dashboard(대시보드) > Users(사용자)로 이동합니다.

2. ISE에서 동기화된 사용자를 클릭합니다.

DUO Enroll 1듀오 등록 1

3. 아래로 스크롤하여 전화기 추가를 클릭합니다.

DUO Enroll 2듀오 등록 2

4. 전화 번호를 입력하고 전화 추가를 클릭합니다.

Duo Add PhoneDuo 등록 3

정책 집합 구성

인증 정책 구성

1. Policy(정책) > Policy Set(정책 집합) 이동하여 MFA를 활성화할 Policy Set(정책 집합)를 선택합니다. 기본 인증 ID 저장소를 Active Directory로 사용하여 인증 정책을 구성합니다.

Policy Set 1정책 설정 1

MFA 정책 구성

1. ISE에서 MFA가 활성화되면 ISE 정책 세트의 새 섹션을 사용할 수 있습니다. MFA Policy(MFA 정책)를 확장하고 +를 클릭하여 MFA 정책을 추가합니다. 이전에 Use(사용) 섹션에서 구성한 DUO-MFA를 선택하여 원하는 MFA 조건을 구성합니다.

2. 저장을 클릭합니다.

ISE PolicyISE 정책

참고: 이전에 구성된 정책은 Tunnel-Group Named RA를 사용합니다. RA 터널 그룹에 연결된 사용자는 MFA를 수행해야 합니다. ASA/FTD 구성은 이 문서의 범위에 포함되지 않습니다. ASA/FTD를 구성하려면 이 문서를 참조하십시오.

권한 부여 정책 구성 

1. Active Directory 그룹 조건 및 선택한 권한으로 권한 부여 정책을 구성합니다.

Policy Set 3정책 설정 3

제한 사항

이 문서의 시점:

1. Duo Push 및 Phone만 2단계 인증 방법으로 지원됩니다.

2. Duo Cloud로 푸시되는 그룹이 없고 사용자 동기화만 지원됩니다.

3. 이러한 글머리 기호는 다단계 인증에서 지원됩니다.

  • VPN 사용자 인증
  • TACACS+ 관리자 액세스 인증

다음을 확인합니다.

1. Cisco Secure Client를 열고 Connect(연결)를 클릭한 후 사용자 이름과 비밀번호를 입력하고 OK(확인)를 클릭합니다.

VPN ClientVPN 클라이언트

2. 사용자의 모바일 장치가 Duo 푸시 알림을 받아야 합니다. 승인을 하면 VPN 연결이 설정됩니다.

DUO Push듀오 푸시

3. ISE Operations(ISE 작업) > Live Logs(라이브 로그)로 이동하여 사용자 인증을 확인합니다.

Live Logs 1라이브 로그 1

4. Details Authentication Report(세부 인증 보고서)를 클릭하고 인증 정책, 권한 부여 정책 및 권한 부여 결과를 확인합니다. 오른쪽의 단계를 스크롤합니다. MFA가 성공했음을 확인하려면 MultiFactor Authentication is Successful 행이 있어야 합니다. 

Live Logs 2라이브 로그 2

문제 해결

ISE에서 활성화할 디버그:

사용 사례 로그 구성 요소 로그 파일 키 로그 메시지
MFA 관련 로그 정책 엔진 ise-psc.log DuoMfaAuthApiUtils -::::- Duo Client Manager에 요청을 제출했습니다.
DuoMfaAuthApiUtils —> Duo 응답
정책 관련 로그 포트-JNI prrt-management.log RadiusMfaPolicyRequestProcessor
TacacsMfaPolicyRequestProcessor
인증 관련 로그 런타임 AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MfaAuthenticator::onResponseEvaluatePolicyEvent
Duo 인증, ID 동기화 관련 로그 duo-sync-service.log

개정 이력

개정 게시 날짜 의견
3.0
12-Jun-2026
업데이트된 소개, 제목, 맞춤법, 문법, 문장 구조, 대체 텍스트, 간격, 인라인 URL, HTML URL
2.0
08-May-2025
플로우 업데이트
1.0
11-Dec-2023
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • 유진 코르네이추크
    Cisco TAC 기술 리더

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품