ISE 3.1 GUI-beheerdersaanmelding configureren met SAML-integratie met Duo SSO en Windows AD

Downloadopties

  • PDF     (2.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 februari 2024
Document-id:220241

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe Cisco ISE 3.1 SAML SSO-integratie kan worden geconfigureerd met een externe identiteitsprovider zoals Cisco Duo SSO.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Identity Services Engine (ISE) 3.1
    • Basiskennis over Security Assertion Markup Language (SAML) Single Sign-On (SSO)-implementaties (SAML 1.1)
    • Kennis van Cisco DUO SSO
    • Kennis van Windows Active Directory

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE 3.1
    • Cisco Duo SSO
    • Windows Active Directory

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Identiteitsprovider (IDp)

    Het is in dit geval de Duo SSO die een gebruikersidentiteit en toegangsrechten voor een gevraagde bron (de 'Serviceverlener') verifieert en bevestigt.

    Duo SSO fungeert als een IdP, authenticeert uw gebruikers met behulp van bestaande on-premises Active Directory (AD) met SAML 1.1 of een SAML 2.0 IdP (bijvoorbeeld Microsoft Azure) en vraagt om tweefactorauthenticatie voordat toegang wordt verleend tot uw serviceprovidertoepassing.

    Wanneer u een toepassing configureert die met Duo SSO moet worden beveiligd, moet u attributen van Duo SSO naar de toepassing verzenden. Active Directory werkt zonder aanvullende installatie, maar als u een SAML(2.0)-idP als verificatiebron hebt gebruikt, controleert u of u deze hebt geconfigureerd om de juiste SAML-kenmerken te verzenden.

    Serviceverlener (SP)

    De gehoste bron of service waartoe de gebruiker toegang wil hebben; Cisco ISE Application Server in dit geval.

    SAML

    SAML is een open standaard die IdP toestaat om autorisatiereferenties door te geven aan SP.

    SAML-transacties maken gebruik van Extensible Markup Language (XML) voor gestandaardiseerde communicatie tussen de identiteitsprovider en serviceproviders. SAML is de link tussen de authenticatie van de identiteit van de gebruiker en de autorisatie om een dienst te gebruiken.

    SAML-bewering

    Een SAML-bevestiging is het XML-document dat de IdP naar de serviceprovider stuurt die de gebruikersautorisatie bevat. Er zijn drie verschillende soorten SAML-beweringen: authenticatie, attribuut en autorisatiebeslissing.

    • Authenticatiebeweringen bewijzen de identificatie van de gebruiker en geven de tijd aan waarop de gebruiker zich heeft aangemeld en welke authenticatiemethode ze hebben gebruikt (bijvoorbeeld Kerberos, twee-factor, enzovoort).
    • De attributie-bewering geeft de SAML-attributen, specifieke stukjes gegevens die informatie over de gebruiker verstrekken, door aan de SP.
    • In een autorisatiebesluit wordt aangegeven of de gebruiker toestemming heeft om de service te gebruiken of dat de IdP zijn verzoek heeft afgewezen vanwege een wachtwoord of gebrek aan rechten op de service.

    stroomschema op hoog niveau

    Flow Diagram

    Stroom:

    1. De gebruiker meldt zich aan bij ISE met de optie Aanmelden via SAML.
    2. ISE (SAML SP) leidt de browser van de gebruiker om naar Duo SSO met een SAML-verzoekbericht.

      note-icon

      Opmerking: in een gedistribueerde omgeving kunt u een fout met een ongeldig certificaat krijgen en stap 3 kan nu werken. Vandaar dat voor een gedistribueerde omgeving stap 2 op deze manier enigszins verschilt:
      Probleem: ISE leidt tijdelijk door naar het portaal van een van de PSN-knooppunten (op poort 8443).
      Oplossing: om ervoor te zorgen dat ISE hetzelfde certificaat presenteert als het beheerdersGUI-certificaat, moet u ervoor zorgen dat het systeemcertificaat dat u vertrouwt ook geldig is voor gebruik op alle PSN-knooppunten.

    3. Gebruiker meldt zich aan met primaire AD-referenties.
    4. Duo SSO stuurt dit door naar AD, die een reactie terugstuurt naar Duo SSO.
    5. Duo SSO vereist dat de gebruiker twee-factor-authenticatie voltooit door een PUSH op de mobiele telefoon te verzenden.
    6. De gebruiker voltooit de tweefactorauthenticatie van Duo.
    7. Duo SSO stuurt de browser van de gebruiker door naar de SAML SP met een antwoordbericht.
    8. De gebruiker kan nu inloggen op ISE.

    SAML SSO-integratie configureren met Duo SSO

    Stap 1. SAML IdP configureren op ISE

    Duo SSO configureren als een externe SAML-identiteitsbron

    Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providersen klik op de knop Toevoegen.

    Voer de naam van de IdP in en klik op Indienen om deze op te slaan. De IdP-naam is alleen van belang voor ISE, zoals weergegeven in de afbeelding:

    ISE SAML GUI Configuration

    Het SAML Metadata XML-bestand importeren vanuit het Duo Admin Portal

    Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providers.> Kies de SAML-ID die u hebt gemaakt, klik op de knop Identity Provider Configurationen vervolgens op de knop Bestand kiezen.

    Kies het SSO IDP Metadata XML-bestand dat wordt geëxporteerd vanuit het Duo Admin-portaal en klik op Openen om het op te slaan. (Deze stap wordt ook vermeld in het gedeelte Duo van dit document.)

    De SSO-URL en de ondertekeningscertificaten zijn:

    ISE SAML GUI Configuration 2

    ISE-verificatiemethode configureren

    Navigeer naarAdministration > System > Admin Access > Authentication > Authentication Methoden kies het keuzerondje Wachtwoord. Kies de gewenste IdP-naam die eerder is gemaakt in de vervolgkeuzelijst Identiteitsbron, zoals weergegeven in de afbeelding:

    Auth Type with SAML Method

    Een beheerdersgroep maken

    Navigeer naarAdministration > System > Admin Access > Authentication > Administrators > Admin Groupen klik op de Super Admin en vervolgens op de knop Dupliceren. Voer de naam van de beheerdersgroep in en klik op Verzenden.

    Dit geeft Super Admin-bevoegdheden aan de Admin-groep.

    Admin Group Configuration

    Een RBAC-beleid maken voor de beheerdersgroep

    Navigeer naarAdministration > System > Admin Access > Authorization > RBAC Policyen kies de acties die overeenkomen met Super Admin Policy. Klik op de knop .Duplicate > Add the Name field > Save

    De toegangsrechten zijn hetzelfde als het beleid voor Super Admin.

    RBAC Policy

    Lidmaatschap groepen toevoegen

    Navigeer op ISE naarAdministration > Identity Management > External Identity Sources > SAML Id Providersen kies de SAML IdP die u hebt gemaakt. Klik op Groepen en vervolgens op de knop Toevoegen.

    Voeg de naam toe aan de bewering (naam van de ISE-beheerdersgroep) en kies in de vervolgkeuzelijst de op rollen gebaseerde toegangscontrolegroep (RBAC) die is gemaakt (stap 4) en klik op Openen om deze op te slaan. De SSO-URL en de ondertekeningscertificaten worden automatisch ingevuld:

    SAML Identity Provider Group Mapping

    SP-informatie exporteren

    Navigeer naarAdministration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider).

    Switch het tabblad naar SP Info. en klik op de knop Exporteren zoals weergegeven in de afbeelding:

    Export Service Provider Details

    Download het.xmlbestand en sla het op. AssertionConsumerServiceNoteer de URL van de locatie en de waarde van de entityID, aangezien deze gegevens vereist zijn in het Duo SSO Portal.

    MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB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=urn:oasis:names:tc:SAML:2.0:nameid-format:transienturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressurn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedNameurn:oasis:names:tc:SAML:2.0:nameid-format:kerberosurn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName

    Hier zijn de details / kenmerken van belang verzameld uit het metabestand dat moet worden geconfigureerd in de Duo Generic SAML Integration

    entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d.

    AssertionConsumerService Location = https://10.x.x.x:8443/portal/SSOLoginResponse.action waarbij 10.x.x.x het ISE IP is dat in het XML-bestand (Location) is gevonden.

    AssertionConsumerService Location = https://isenodename.com:8443/portal/SSOLoginResponse.action waarbijisenodenamede werkelijke ISE FQDN-naam in het XML-bestand (Location) wordt gevonden.

    Stap 2. Duo SSO configureren voor ISE

    Controleer deze KB om Duo SSO met AD als verificatiebron te configureren.

    Auth Source

    Controleer deze KB om de SSO in te schakelen met uw aangepaste domein.

    Custom Subdomain

    Name Subdomain

    Stap 3. Cisco ISE integreren met Duo SSO als generieke SP

    Controleer stap 1 en stap 2 van deze KB om Cisco ISE te integreren met Duo SSO als een generieke SP.


    Cisco ISE SP-gegevens configureren in Duo Admin Panel for Generic SP:

    Naam

    Beschrijving

    Entiteits-ID

    http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d

    Assertion Consumer Service (ACS) URL

    https://10.x.x.x:8443/portal/SSOLoginResponse.action

    Entity ID

    SAML-respons configureren voor Cisco ISE:

    Naam

    Beschrijving

    NameID-indeling

    urn: oasis: namen: tc:SAML:1.1:nameid-format: niet gespecificeerd

    NameID-kenmerk

    Username

    SAML Response

    Maak een groep met de naam Cisco Admin Group in het Duo Admin Panel en voeg de ISE-gebruikers toe aan deze groep of maak een groep in Windows AD en Synchroniseer hetzelfde in het Duo Admin panel met behulp van de directory Sync-functie.

    DUO Group Configuration

    Rolkenmerken configureren voor Cisco ISE:

    Naam

    Beschrijving

    Attribuutnaam

    groepen

    SP-rol

    ISE-beheerdersgroep

    Duo-groepen

    ISE-beheerdersgroep

    DUO Roles Configuration

    Geef in het gedeelte Instellingen een toepasselijke naam op op het tabblad Naam voor deze integratie.

    Name of SSO Policy

    Klik op de knop Opslaan om de configuratie op te slaan en raadpleeg deze KB voor meer informatie.

    Klik op XML downloaden om de SAML-metagegevens te downloaden.

    SAML Metadata Download

    Upload SAML MetaData download van Duo Admin Panel naar Cisco ISE door te navigeren naarAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO.
    Switch het tabblad naar Identity Provider Config. en klik op de knop Choose file.
    Kies het Metadata XML-bestand dat u in stap 8 hebt gedownload. en klik op Opslaan.

    note-icon

    Opmerking: deze stap wordt hier vermeld onder de sectie SAML SSO-integratie configureren met Duo SSO; stap 2. Importeer het SAML Metadata XML-bestand vanuit het Duo Admin-portaal.

    Import Metadata on ISE

    Verifiëren

    De integratie met Duo SSO testen

    1. Meld u aan bij het Cisco ISE-beheerderspaneel en klik op Inloggen met SAML.

    ISE SAML Login Post Configuration

    2. Doorverwezen naar de SSO-pagina, voer het e-mailadres in en klik op Volgende.

    SSO Credentials

    3. Voer het wachtwoord in en klik op Inloggen.

    SSO Credentials

    4. U krijgt een Duo Push-prompt op uw mobiele apparaat.

    DUO Push

    5. Zodra u de prompt accepteert, krijgt u een venster en wordt u automatisch doorgestuurd naar de ISE-beheerpagina.

    Success

    6. ISE Admin GUI Access Page.

    Successful GUI Login using SSO

    Problemen oplossen

    • Download de SAML tracer extensie voor Mozilla FF https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/.
    • Scroll naar hetSSOLoginResponse.actionpakket. Onder het tabblad SAML ziet u een aantal attributen verzonden van Duo SAML: NameID, Recipient (AssertionConsumerService Location URL) en Audience (EntityID).

    SAML Tracer Troubleshooting

    • Live aanmelden bij ISE:

    ISE Livelog

    • Administratieve login op ISE: gebruikersnaam: samlUser.

    Report_Saml

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nadia Gouveia
      ISE TAC-team
    • Mayil Raj
      ISE TAC Team Lead

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten