Inleiding
In dit document wordt beschreven hoe Cisco ISE 3.1 SAML SSO-integratie kan worden geconfigureerd met een externe identiteitsprovider zoals Cisco Duo SSO.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Identity Services Engine (ISE) 3.1
- Basiskennis over Security Assertion Markup Language (SAML) Single Sign-On (SSO)-implementaties (SAML 1.1)
- Kennis van Cisco DUO SSO
- Kennis van Windows Active Directory
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco ISE 3.1
- Cisco Duo SSO
- Windows Active Directory
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Identiteitsprovider (IDp)
Het is in dit geval de Duo SSO die een gebruikersidentiteit en toegangsrechten voor een gevraagde bron (de 'Serviceverlener') verifieert en bevestigt.
Duo SSO fungeert als een IdP, authenticeert uw gebruikers met behulp van bestaande on-premises Active Directory (AD) met SAML 1.1 of een SAML 2.0 IdP (bijvoorbeeld Microsoft Azure) en vraagt om tweefactorauthenticatie voordat toegang wordt verleend tot uw serviceprovidertoepassing.
Wanneer u een toepassing configureert die met Duo SSO moet worden beveiligd, moet u attributen van Duo SSO naar de toepassing verzenden. Active Directory werkt zonder aanvullende installatie, maar als u een SAML(2.0)-idP als verificatiebron hebt gebruikt, controleert u of u deze hebt geconfigureerd om de juiste SAML-kenmerken te verzenden.
Serviceverlener (SP)
De gehoste bron of service waartoe de gebruiker toegang wil hebben; Cisco ISE Application Server in dit geval.
SAML
SAML is een open standaard die IdP toestaat om autorisatiereferenties door te geven aan SP.
SAML-transacties maken gebruik van Extensible Markup Language (XML) voor gestandaardiseerde communicatie tussen de identiteitsprovider en serviceproviders. SAML is de link tussen de authenticatie van de identiteit van de gebruiker en de autorisatie om een dienst te gebruiken.
SAML-bewering
Een SAML-bevestiging is het XML-document dat de IdP naar de serviceprovider stuurt die de gebruikersautorisatie bevat. Er zijn drie verschillende soorten SAML-beweringen: authenticatie, attribuut en autorisatiebeslissing.
- Authenticatiebeweringen bewijzen de identificatie van de gebruiker en geven de tijd aan waarop de gebruiker zich heeft aangemeld en welke authenticatiemethode ze hebben gebruikt (bijvoorbeeld Kerberos, twee-factor, enzovoort).
- De attributie-bewering geeft de SAML-attributen, specifieke stukjes gegevens die informatie over de gebruiker verstrekken, door aan de SP.
- In een autorisatiebesluit wordt aangegeven of de gebruiker toestemming heeft om de service te gebruiken of dat de IdP zijn verzoek heeft afgewezen vanwege een wachtwoord of gebrek aan rechten op de service.
stroomschema op hoog niveau

Stroom:
- De gebruiker meldt zich aan bij ISE met de optie Aanmelden via SAML.
- ISE (SAML SP) leidt de browser van de gebruiker om naar Duo SSO met een SAML-verzoekbericht.
Opmerking: in een gedistribueerde omgeving kunt u een fout met een ongeldig certificaat krijgen en stap 3 kan nu werken. Vandaar dat voor een gedistribueerde omgeving stap 2 op deze manier enigszins verschilt:
Probleem: ISE leidt tijdelijk door naar het portaal van een van de PSN-knooppunten (op poort 8443).
Oplossing: om ervoor te zorgen dat ISE hetzelfde certificaat presenteert als het beheerdersGUI-certificaat, moet u ervoor zorgen dat het systeemcertificaat dat u vertrouwt ook geldig is voor gebruik op alle PSN-knooppunten.
- Gebruiker meldt zich aan met primaire AD-referenties.
- Duo SSO stuurt dit door naar AD, die een reactie terugstuurt naar Duo SSO.
- Duo SSO vereist dat de gebruiker twee-factor-authenticatie voltooit door een PUSH op de mobiele telefoon te verzenden.
- De gebruiker voltooit de tweefactorauthenticatie van Duo.
- Duo SSO stuurt de browser van de gebruiker door naar de SAML SP met een antwoordbericht.
- De gebruiker kan nu inloggen op ISE.
SAML SSO-integratie configureren met Duo SSO
Stap 1. SAML IdP configureren op ISE
Duo SSO configureren als een externe SAML-identiteitsbron
Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providers
en klik op de knop Toevoegen.
Voer de naam van de IdP in en klik op Indienen om deze op te slaan. De IdP-naam is alleen van belang voor ISE, zoals weergegeven in de afbeelding:

Het SAML Metadata XML-bestand importeren vanuit het Duo Admin Portal
Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providers.
> Kies de SAML-ID die u hebt gemaakt, klik op de knop Identity Provider Configuration
en vervolgens op de knop Bestand kiezen.
Kies het SSO IDP Metadata XML-bestand dat wordt geëxporteerd vanuit het Duo Admin-portaal en klik op Openen om het op te slaan. (Deze stap wordt ook vermeld in het gedeelte Duo van dit document.)
De SSO-URL en de ondertekeningscertificaten zijn:

ISE-verificatiemethode configureren
Navigeer naarAdministration > System > Admin Access > Authentication > Authentication Method
en kies het keuzerondje Wachtwoord. Kies de gewenste IdP-naam die eerder is gemaakt in de vervolgkeuzelijst Identiteitsbron, zoals weergegeven in de afbeelding:

Een beheerdersgroep maken
Navigeer naarAdministration > System > Admin Access > Authentication > Administrators > Admin Group
en klik op de Super Admin en vervolgens op de knop Dupliceren. Voer de naam van de beheerdersgroep in en klik op Verzenden.
Dit geeft Super Admin-bevoegdheden aan de Admin-groep.

Een RBAC-beleid maken voor de beheerdersgroep
Navigeer naarAdministration > System > Admin Access > Authorization > RBAC Policy
en kies de acties die overeenkomen met Super Admin Policy. Klik op de knop .Duplicate > Add the Name field > Save
De toegangsrechten zijn hetzelfde als het beleid voor Super Admin.

Lidmaatschap groepen toevoegen
Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providers
en kies de SAML IdP die u hebt gemaakt. Klik op Groepen en vervolgens op de knop Toevoegen.
Voeg de naam toe aan de bewering (naam van de ISE-beheerdersgroep) en kies in de vervolgkeuzelijst de op rollen gebaseerde toegangscontrolegroep (RBAC) die is gemaakt (stap 4) en klik op Openen om deze op te slaan. De SSO-URL en de ondertekeningscertificaten worden automatisch ingevuld:

SP-informatie exporteren
Navigeer naarAdministration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider)
.
Switch het tabblad naar SP Info. en klik op de knop Exporteren zoals weergegeven in de afbeelding:

Download het.xml
bestand en sla het op. AssertionConsumerService
Noteer de URL van de locatie en de waarde van de entityID, aangezien deze gegevens vereist zijn in het Duo SSO Portal.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=urn:oasis:names:tc:SAML:2.0:nameid-format:transienturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressurn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedNameurn:oasis:names:tc:SAML:2.0:nameid-format:kerberosurn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
Hier zijn de details / kenmerken van belang verzameld uit het metabestand dat moet worden geconfigureerd in de Duo Generic SAML Integration
entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d.
AssertionConsumerService Location = https://10.x.x.x:8443/portal/SSOLoginResponse.action waarbij 10.x.x.x het ISE IP is dat in het XML-bestand (Location) is gevonden.
AssertionConsumerService Location = https://isenodename.com:8443/portal/SSOLoginResponse.action waarbijisenodename
de werkelijke ISE FQDN-naam in het XML-bestand (Location) wordt gevonden.
Stap 2. Duo SSO configureren voor ISE
Controleer deze KB om Duo SSO met AD als verificatiebron te configureren.

Controleer deze KB om de SSO in te schakelen met uw aangepaste domein.


Stap 3. Cisco ISE integreren met Duo SSO als generieke SP
Controleer stap 1 en stap 2 van deze KB om Cisco ISE te integreren met Duo SSO als een generieke SP.
Cisco ISE SP-gegevens configureren in Duo Admin Panel for Generic SP:

SAML-respons configureren voor Cisco ISE:
Naam
|
Beschrijving
|
NameID-indeling
|
urn: oasis: namen: tc:SAML:1.1:nameid-format: niet gespecificeerd
|
NameID-kenmerk
|
Username
|

Maak een groep met de naam Cisco Admin Group in het Duo Admin Panel en voeg de ISE-gebruikers toe aan deze groep of maak een groep in Windows AD en Synchroniseer hetzelfde in het Duo Admin panel met behulp van de directory Sync-functie.

Rolkenmerken configureren voor Cisco ISE:
Naam
|
Beschrijving
|
Attribuutnaam
|
groepen
|
SP-rol
|
ISE-beheerdersgroep
|
Duo-groepen
|
ISE-beheerdersgroep
|

Geef in het gedeelte Instellingen een toepasselijke naam op op het tabblad Naam voor deze integratie.

Klik op de knop Opslaan om de configuratie op te slaan en raadpleeg deze KB voor meer informatie.
Klik op XML downloaden om de SAML-metagegevens te downloaden.

Upload SAML MetaData download van Duo Admin Panel naar Cisco ISE door te navigeren naarAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO
.
Switch het tabblad naar Identity Provider Config. en klik op de knop Choose file.
Kies het Metadata XML-bestand dat u in stap 8 hebt gedownload. en klik op Opslaan.
Opmerking: deze stap wordt hier vermeld onder de sectie SAML SSO-integratie configureren met Duo SSO; stap 2. Importeer het SAML Metadata XML-bestand vanuit het Duo Admin-portaal.

Verifiëren
De integratie met Duo SSO testen
1. Meld u aan bij het Cisco ISE-beheerderspaneel en klik op Inloggen met SAML.

2. Doorverwezen naar de SSO-pagina, voer het e-mailadres in en klik op Volgende.

3. Voer het wachtwoord in en klik op Inloggen.

4. U krijgt een Duo Push-prompt op uw mobiele apparaat.

5. Zodra u de prompt accepteert, krijgt u een venster en wordt u automatisch doorgestuurd naar de ISE-beheerpagina.

6. ISE Admin GUI Access Page.

Problemen oplossen
- Download de SAML tracer extensie voor Mozilla FF https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/.
- Scroll naar het
SSOLoginResponse.action
pakket. Onder het tabblad SAML ziet u een aantal attributen verzonden van Duo SAML: NameID, Recipient (AssertionConsumerService Location URL) en Audience (EntityID).


- Administratieve login op ISE: gebruikersnaam: samlUser.
