ISE 3.3 Native Multifactor Authentication configureren met Duo

Downloadopties

  • PDF     (2.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:12 juni 2026
Document-id:221232

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe Identity Services Engine (ISE) 3.3 Patch 1 kan worden geïntegreerd met Duo voor multifactorverificatie. 

Voorwaarden

Vereisten

Cisco raadt u aan om basiskennis te hebben van deze onderwerpen:

  • ISE

  • Duo

Gebruikte componenten

Vanaf versie 3.3 Patch 1 kan ISE worden geconfigureerd voor native integraties met Duo-services, waardoor er geen verificatieproxy meer nodig is.

De informatie in dit document is gebaseerd op:

  • Cisco ISE versie 3.3 Patch 1
  • Duo
  • Cisco ASA versie 9.16(4)
  • Cisco Secure Client versie 5.0.04032

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

stroomschema

Flow Diagram

Stappen

  1. De configuratiefase omvat de selectie van Active Directory-groepen, waarmee gebruikers worden gesynchroniseerd en deze synchronisatie vindt plaats zodra de MFA-wizard is voltooid. Het bestaat uit twee stappen. Zoekopdrachten naar Active Directory om de lijst met gebruikers en bepaalde kenmerken op te halen. Een oproep aan de Duo Cloud met Cisco's ISE Admin API, die is gemaakt om gebruikers daar te duwen (beheerders zijn verplicht om gebruikers in te schrijven). Gebruikers die zich inschrijven, kunnen de optionele stap van het activeren van de gebruiker voor Duo Mobile bevatten, waarmee uw gebruikers authenticatie met één tik kunnen gebruiken met Duo Push.
  2. Zodra een VPN-verbinding is gestart, voert de gebruiker zijn gebruikersnaam en wachtwoord in en klikt op OK. Het netwerkapparaat verzendt een RADIUS Access-Request naar PSN.
  3. De PSN-node verifieert de gebruiker via Active Directory.
  4. Wanneer de verificatie succesvol is en het MFA-beleid is geconfigureerd, neemt PSN contact op met Duo Cloud. Een oproep aan Duo Cloud met Cisco’s ISE Auth API wordt gedaan om een tweede-factor authenticatie met Duo aan te roepen. ISE communiceert met Duos service op SSL TCP poort 443.
  5. Een tweede-factor authenticatie vindt plaats en de gebruiker voltooit een tweede-factor authenticatie proces.
  6. Duo reageert op PSN met het resultaat van de second-factor authenticatie.
  7. De Access-Accept wordt naar het netwerkapparaat verzonden en de VPN-verbinding wordt tot stand gebracht.

Configuraties

Toepassingen selecteren om te beschermen

1. Navigeer naar het Duo Admin Dashboard. Log in met beheerdersreferenties.

2. Navigeer naar Dashboard > Toepassingen > Toepassingscatalogus. Zoek naar Cisco ISE Auth API en selecteer + Toevoegen.

ISE Auth API 1ISE Auth API 1

3. Noteer de integratiesleutel en de geheime sleutel.

ISE Auth API 2ISE Auth API 2

4. Navigeer naar Dashboard > Toepassingen > Toepassingscatalogus. Zoek naar Cisco ISE Admin API en selecteer + Toevoegen

Opmerking: Alleen beheerders met de Eigenaar-rol kunnen de Cisco ISE Admin API-toepassing maken of wijzigen in het Duo Admin Panel.

ISE Admin API 1ISE Admin API 1

5. Noteer de integratiesleutel, geheime sleutel en API-hostnaam.

ISE Admin API 2ISE Admin API 2

API-machtigingen configureren

1. Navigeer naar Dashboard > Toepassingen > Toepassing. Selecteer Cisco ISE Admin API.

2. Controleer Grant Read Resource en Grant Write Resource-machtigingen. Klik op Wijzigingen opslaan.

Admin API PermissionsAdmin API-machtigingen

ISE integreren met Active Directory

1. Navigeer naar Beheer > Identiteitsbeheer > Externe identiteitswinkels > Active Directory > Toevoegen. Geef de naam van het aanmeldpunt op, Active Directory-domein en klik op Indienen.

Active Directory 1Active Directory 1

2. Klik op Ja wanneer u wordt gevraagd om alle ISE-knooppunten aan dit Active Directory-domein toe te voegen.

Active Directory 2Active Directory 2

3. Geef de gebruikersnaam en het wachtwoord voor de advertentie op en klik op OK.

Active Directory 3Active Directory 3

4. De Active Directory-account die vereist is voor domeintoegang in ISE kan een van de volgende functies hebben:

  • Voeg werkstations toe aan het gebruikersrecht van het domein in het betreffende domein.
  • Computer Objects maken of Computer Objects verwijderen rechten op de respectievelijke computers container waar ISE machines account wordt gemaakt voordat het ISE-systeem aan het domein.

Opmerking: Cisco raadt aan het uitsluitingsbeleid voor de ISE-account uit te schakelen en de AD-infrastructuur te configureren om waarschuwingen naar de beheerder te sturen als een verkeerd wachtwoord voor die account wordt gebruikt. Wanneer het verkeerde wachtwoord wordt ingevoerd, maakt ISE zijn machineaccount niet aan of wijzigt deze niet wanneer dit nodig is en daarom worden mogelijk alle authenticaties geweigerd.

5. De AD-status is operationeel.

Active Directory 4Active Directory 4

6. Navigeer naar Groepen > Toevoegen > Groepen selecteren uit directory > Groepen ophalen. Schakel de selectievakjes in bij de AD-groepen van uw keuze (die worden gebruikt om gebruikers te synchroniseren en voor het machtigingsbeleid):

Active Directory 5Active Directory 5

 7. Klik op Opslaan om de opgehaalde advertentiegroepen op te slaan.

Active Directory 6Active Directory 6

Open API inschakelen

  1. Navigeer naar Beheer > Systeem > Instellingen >API-instellingen > API-serviceinstellingen.Open API inschakelen en klik op Opslaan.

Open APIOpen API

MFA Identity Source inschakelen

  1. Navigeer naar Beheer > Identiteitsbeheer > Instellingen > Instellingen Externe identiteitsbronnen. Schakel MFA in en klik op Opslaan.

ISE MFA 1ISE MFA 1

Externe MFA-identiteitsbron configureren

  1. Navigeer naar Beheer > Identiteitsbeheer > Externe identiteitsbronnen. Klik op Toevoegen en klik op het Welkomstscherm op Laten we het doen.

ISE DUO Wizard 1ISE Duo-wizard 1

2. Configureer in het volgende scherm de verbindingsnaam en klik op Volgende.

ISE DUO Wizard 2ISE Duo-wizard 2

3. Configureer de waarden van de API Hostname, Cisco ISE Admin API Integration, Secret Keys, Cisco ISE Auth API Integration, en Secret Keys van de Select Applications naar de Protect stap.

ISE DUO Wizard 3ISE Duo-wizard 3

4. Klik op Verbinding testen en klik op Volgende zodra de Testverbinding succesvol is.

ISE DUO Wizard 4ISE Duo-wizard 4

5. Identiteitssynchronisatie configureren. Dit proces synchroniseert gebruikers van Active Directory-groepen die u in de Duo-account hebt geselecteerd met behulp van eerder verstrekte API-referenties. Selecteer Active Directory Join Point en klik op Volgende.

Opmerking: Active Directory-configuratie valt buiten het bereik van dit document. Raadpleeg dit document om ISE met Active Directory te integreren.

ISE DUO Wizard 5ISE Duo-wizard 5

6. Selecteer Active Directory-groepen waarin gebruikers met Duo willen synchroniseren. Klik op Next (Volgende).

ISE DUO Wizard 6ISE Duo-wizard 6

7. Controleer of de instellingen correct zijn en klik op Gereed.

ISE DUO Wizard 7ISE Duo-wizard 7

Gebruiker inschrijven bij Duo

Opmerking: Inschrijving voor Duo-gebruikers valt buiten het bereik van dit document. Raadpleeg dit document voor meer informatie over het inschrijven van gebruikers. Voor de toepassing van dit document wordt gebruikgemaakt van handmatige gebruikersregistratie.

1. Open het Duo Admin Dashboard en navigeer naar Dashboard > Gebruikers.

2. Klik op de gebruiker die is gesynchroniseerd vanuit ISE.

DUO Enroll 1Duo-inschrijving 1

3. Blader omlaag naar Telefoons en klik op Telefoon toevoegen.

DUO Enroll 2Duo-inschrijving 2

4. Voer het telefoonnummer in en klik op Telefoon toevoegen.

Duo Add PhoneDuo Enroll 3

Beleidssets configureren

Verificatiebeleid configureren

1. Navigeer naar Beleid > Beleidsinstelling en selecteer de Beleidsinstelling waar u MFA wilt inschakelen. Configureer het verificatiebeleid met primaire verificatie-identiteitsopslag als Active Directory.

Policy Set 1Beleidsset 1

MFA-beleid configureren

1. Zodra MFB op ISE is ingeschakeld, is een nieuwe sectie in de ISE-beleidssets beschikbaar. Vouw het MFB-beleid uit en klik op + om het MFB-beleid toe te voegen. Configureer de MFA-voorwaarden van uw keuze door de DUO-MFA te selecteren die eerder is geconfigureerd in de sectie Gebruik.

2. Klik op Opslaan.

ISE PolicyISE-beleid

Opmerking: het beleid dat eerder is geconfigureerd, is gebaseerd op de naam van de tunnelgroep RA. Gebruikers die zijn aangesloten op de RA-tunnelgroep worden gedwongen om MFA uit te voeren. ASA/FTD-configuratie valt buiten het toepassingsgebied van dit document. Raadpleeg dit document om ASA/FTD te configureren.

Autorisatiebeleid configureren 

1. Configureer het machtigingsbeleid met de Active Directory Group-voorwaarde en machtigingen van uw keuze.

Policy Set 3Beleidsset 3

Beperkingen

Ten tijde van dit document:

1. Alleen Duo push en telefoon worden ondersteund als een tweede-factor authenticatiemethode

2. Er worden geen groepen naar Duo Cloud gepusht, alleen gebruikerssynchronisatie wordt ondersteund

3. Deze opsommingstekens worden ondersteund met multifactor-authenticatie:

  • VPN-gebruikersverificatie
  • TACACS+ admin access authenticatie

Verifiëren

1. Open Cisco Secure Client, klik op Verbinden en geef de gebruikersnaam en het wachtwoord op en klik op OK.

VPN ClientVPN-client

2. Het mobiele apparaat van de gebruiker moet een Duo Push Notification ontvangen. Goedkeuren en de VPN-verbinding wordt tot stand gebracht.

DUO PushDuo Push

3. Navigeer naar ISE Operations > Live Logs om de gebruikersverificatie te bevestigen.

Live Logs 1Live-logs 1

4. Klik op het Details Authentication Report (Detailverificatierapport), controleer het verificatiebeleid, het autorisatiebeleid en het autorisatieresultaat. Scroll door de stappen aan de rechterkant. Om te bevestigen dat de MFA succesvol was, moet de MultiFactor Authentication is Successful-regel aanwezig zijn: 

Live Logs 2Live Logs 2

Problemen oplossen

Debugs inschakelen op ISE:

Use case logboekcomponent logbestand Belangrijke logboekberichten
MFA-gerelateerde logs beleidsmotor ISE-PSC.log DuoMfaAuthApiUtils -:::- Aanvraag ingediend bij Duo Client Manager
DuoMfaAuthApiUtils --> Duo-respons
Beleidsgerelateerde logs prrt-JNI prrt-management.log RadiusMFApolicyRequestProcessor
TacacsMFApolicyRequestProcessor
Logboeken met betrekking tot verificatie runtime-AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MFAauthenticator::onResponseEvaluatePolicyEvent
Duo-verificatie, logboeken met ID-synchronisatie duo-sync-service.log

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
3.0
12-Jun-2026
Bijgewerkte inleiding, titel, spelling, grammatica, zinsstructuur, alt-tekst, spatiëring, inline-URL's, HTML-URL
2.0
08-May-2025
Flow-update
1.0
11-Dec-2023
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Eugene Korneychuk
    Cisco TAC Technical Leader

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten