Configurar a Autenticação Multifator Nativa do ISE 3.3 com Duo

Opções de download

  • PDF     (2.7 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:12 de junho de 2026
ID do documento:221232

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como integrar o Patch 1 do Identity Services Engine (ISE) 3.3 com o Duo para Autenticação Multifator. 

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento básico destes tópicos:

  • ISE

  • Duo

Componentes Utilizados

A partir da versão 3.3 Patch 1, o ISE pode ser configurado para integrações nativas com serviços Duo, eliminando a necessidade de proxy de autenticação.

As informações neste documento são baseadas em:

  • Patch 1 do Cisco ISE versão 3.3
  • Duo
  • Cisco ASA versão 9.16(4)
  • Cisco Secure Client Versão 5.0.04032

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de fluxo

Flow Diagram

Etapas

  1. A Fase de configuração inclui a seleção de grupos do Ative Diretory, com os quais os usuários são sincronizados e essa sincronização ocorre quando o assistente MFA é concluído. Ele consiste em duas etapas. Pesquisa no Ative Diretory para recuperar a lista de usuários e determinados atributos. Uma chamada para a nuvem Duo com a API de administração do ISE da Cisco, que é feita para enviar os usuários para lá (os administradores precisam inscrever os usuários). A inscrição de usuários pode incluir a etapa opcional de ativação do usuário para o Duo Mobile, que permite que seus usuários usem a autenticação de um toque com o Duo Push.
  2. Depois que uma conexão VPN é iniciada, o usuário insere seu nome de usuário e senha e clica em OK. O dispositivo de rede envia uma solicitação de acesso RADIUS à PSN.
  3. O nó PSN autentica o usuário por meio do Ative Diretory.
  4. Quando a autenticação é bem-sucedida e a política MFA é configurada, a PSN entra em contato com a Duo Cloud. Uma chamada para o Duo Cloud com a API ISE Auth da Cisco é feita para chamar uma autenticação de segundo fator com o Duo. O ISE se comunica com o serviço Duos na porta TCP SSL 443.
  5. Uma autenticação de segundo fator ocorre e o usuário conclui um processo de autenticação de segundo fator.
  6. Duo responde à PSN com o resultado da autenticação de segundo fator.
  7. O Access-Accept é enviado ao dispositivo de rede e a conexão VPN é estabelecida.

Configurações

Selecionar aplicativos para proteger

1. Navegue até Painel de administração do Duo. Faça login com credenciais de administrador.

2. Navegue até Painel de Instrumentos > Aplicativos > Catálogo de Aplicativos. Procure a API de autenticação do Cisco ISE e selecione + Adicionar.

ISE Auth API 1API de autenticação do ISE 1

3. Anote a Integrationkey e a chave Secret.

ISE Auth API 2API de autenticação do ISE 2

4. Navegue até Painel de Instrumentos > Aplicativos > Catálogo de Aplicativos. Procure a API de administração do Cisco ISE e selecione + Adicionar

Note: Somente administradores com a função Owner podem criar ou modificar o aplicativo da API de administração do Cisco ISE no Duo Admin Panel.

ISE Admin API 1API de administração do ISE 1

5. Anote a chave Integration key, a chave Secret e o nome de host da API.

ISE Admin API 2API de administração 2 do ISE

Configurar Permissões de API

1. Navegue até Painel de Instrumentos> Aplicativos > Aplicativo. Selecione API de administração do Cisco ISE.

2. Marque Conceder Recursos de Leitura e Conceder Recursos de Gravação. Clique em Save Changes (Salvar alterações).

Admin API PermissionsPermissões de API de Administração

Integrar o ISE com o Ative Diretory

1. Navegue até Administração > Gerenciamento de identidades > Repositórios de identidades externos > Ative Diretory > Adicionar. Forneça o Join Point Name, Ative Diretory Domain e clique em Submit.

Active Directory 1Ative Diretory 1

2. Quando for solicitado a Ingressar em todos os Nós do ISE neste Domínio do Ative Diretory, clique em Sim.

Active Directory 2Ative Diretory 2

3. Forneça o Nome de usuário e a Senha do AD e clique em OK.

Active Directory 3Ative Diretory 3

4. A conta do Ative Diretory necessária para o acesso ao domínio no ISE pode ter uma destas opções:

  • Adicione estações de trabalho ao direito de usuário de domínio no respectivo domínio.
  • Crie a permissão Objetos do computador ou Excluir objetos do computador no respectivo contêiner de computadores onde a conta de computadores do ISE é criada antes de ingressar a máquina do ISE no domínio.

Note: A Cisco recomenda desabilitar a política de bloqueio para a conta do ISE e configurar a infraestrutura do AD para enviar alertas ao administrador se uma senha incorreta for usada para essa conta. Quando a senha incorreta é inserida, o ISE não cria nem modifica sua conta de máquina quando necessário e, portanto, possivelmente nega todas as autenticações.

5. O Status do AD é Operacional.

Active Directory 4Ative Diretory 4

6. Navegue até Grupos > Adicionar > Selecionar Grupos do Diretório > Recuperar Grupos. Marque as caixas de seleção nos grupos do AD de sua escolha (que são usados para sincronizar usuários e para Diretiva de autorização):

Active Directory 5Ative Diretory 5

 7. Clique em Salvar para salvar os Grupos do AD recuperados.

Active Directory 6Ative Diretory 6

Habilitar API aberta

  1. Navegue até Administração > Sistema > Configurações >Configurações de API > Configurações do serviço de API.Habilitar Abrir API e clique em Salvar.

Open APIAPI aberta

Habilitar fonte de identidade MFA

  1. Navegue até Administração > Gerenciamento de identidades > Configurações > Configurações de fontes de identidade externas. Habilite MFA e clique em Salvar.

ISE MFA 1MFA 1 do ISE

Configurar fonte de identidade externa MFA

  1. Navegue até Administração > Gerenciamento de identidades > Fontes de identidade externas. Clique em Add e, na tela Welcome, clique em Let's Do It.

ISE DUO Wizard 1Assistente do ISE Duo 1

2. Na próxima tela, configure o Nome da Conexão e clique em Próximo.

ISE DUO Wizard 2Assistente do ISE Duo 2

3. Configure os valores do Nome de host da API, Integração da API de administração do Cisco ISE, Chaves secretas, Integração da API de autenticação do Cisco ISE e Chaves secretas na etapa Selecionar aplicativos para a etapa Proteger.

ISE DUO Wizard 3Assistente do ISE Duo 3

4. Clique em Testar Conexão e quando Testar Conexão for bem-sucedido, clique em Próximo.

ISE DUO Wizard 4Assistente do ISE Duo 4

5. Configure a Sincronização de Identidades. Esse processo sincroniza usuários de grupos do Ative Diretory selecionados na conta Duo usando as credenciais de API fornecidas anteriormente. Selecione Ative Diretory Join Point e clique em Next.

Note: A configuração do Ative Diretory está fora do escopo deste documento. Consulte este documento para integrar o ISE ao Ative Diretory.

ISE DUO Wizard 5Assistente do ISE Duo 5

6. Selecione Grupos do Ative Diretory onde deseja que os usuários sincronizem com o Duo. Clique em Next.

ISE DUO Wizard 6Assistente ISE Duo 6

7. Verifique se as configurações estão corretas e clique em Concluído.

ISE DUO Wizard 7Assistente ISE Duo 7

Inscreva o usuário no Duo

Note: A Inscrição de Usuário Duo está fora do escopo deste documento. Consulte este documento para saber mais sobre a inscrição de usuários. Para os fins deste documento, o registro manual de usuário é usado.

1. Abra o Painel de administração do Duo e navegue até Painel > Usuários.

2. Clique no usuário sincronizado do ISE.

DUO Enroll 1Inscreva-se Duo 1

3. Role para baixo até Phones e clique em Add Phone.

DUO Enroll 2Inscreva-se 2 Duo

4. Digite o Número de Telefone e clique em Adicionar Telefone.

Duo Add PhoneInscreva-se Duo 3

Configurar conjuntos de políticas

Configurar Política de Autenticação

1. Navegue até Policy > Policy Set e selecione o Policy Set onde deseja habilitar o MFA. Configure a Diretiva de Autenticação com o Repositório de Identidades de Autenticação Primária como Ative Diretory.

Policy Set 1Conjunto de políticas 1

Configurar Política MFA

1. Quando o MFA estiver habilitado no ISE, uma nova seção dos conjuntos de políticas do ISE estará disponível. Expanda a Política de MFA e clique em + para adicionar a Política de MFA. Configure as condições de MFA de sua escolha selecionando o DUO-MFA configurado anteriormente na seção Usar.

2. Clique em Salvar.

ISE PolicyPolítica do ISE

Note: A política configurada anteriormente depende do grupo de túneis chamado RA. Os usuários conectados ao grupo de túneis RA são forçados a executar o MFA. A configuração do ASA/FTD está fora do escopo deste documento. Consulte este documento para configurar o ASA/FTD.

Configurar Diretiva de Autorização 

1. Configure a Diretiva de Autorização com a condição Grupo do Ative Diretory e as permissões de sua escolha.

Policy Set 3Conjunto de políticas 3

Limitações

No momento em que este documento foi publicado:

1. Apenas o envio e o telefone Duo são suportados como um método de autenticação de segundo fator

2. Nenhum grupo é enviado para a nuvem Duo, somente a sincronização do usuário é suportada

3. Estes marcadores são suportados com a autenticação multifator:

  • Autenticação de usuário VPN
  • Autenticação de acesso de administrador TACACS+

Verificar

1. Abra o Cisco Secure Client, clique em Connect e forneça o Username e a Password e clique em OK.

VPN ClientCliente de VPN

2. O Dispositivo Móvel do usuário deve receber uma Notificação por Push Duo. Aprove-o e a conexão VPN será estabelecida.

DUO PushDuplo push

3. Navegue até ISE Operations > Live Logs para confirmar a autenticação do usuário.

Live Logs 1Logs ao vivo 1

4. Clique no Relatório de Autenticação de Detalhes, verifique a Política de Autenticação e Política de Autorização e Resultado da Autorização. Percorra as etapas à direita. Para confirmar se o MFA obteve êxito, a linha Autenticação Multifator Bem-sucedida deve estar presente: 

Live Logs 2Logs ao vivo 2

Troubleshooting

Depurações para ativar no ISE:

Caso de uso Componente de Log Arquivo de log Principais mensagens de log
Logs relacionados a MFA mecanismo de política ise-psc.log DuoMfaAuthApiUtils -:::::- Solicitação enviada ao gerenciador de cliente Duo
DuoMfaAuthApiUtils —> Resposta Duo
Logs relacionados à política prrt-JNI prt-management.log ProcessadorDeSolicitaçãoDePolíticaDeMfaDeRaio
TacacsMfaPolicyRequestProcessor
Logs relacionados à autenticação runtime-AAA prt-server.log MfaAuthenticator::onAuthenticateEvent
MfaAuthenticator::sendAuthenticateEvent
MfaAuthenticator::onResponseEvaluatePolicyEvent
Autenticação Duo, registros relacionados à Sincronização de ID duo-sync-service.log

Histórico de revisões

Revisão Data de publicação Comentários
3.0
12-Jun-2026
Introdução atualizada, Título, ortografia, gramática, estrutura de frases, texto alt, espaçamento, URLs embutidas, URLs HTML
2.0
08-May-2025
Atualização de fluxo
1.0
11-Dec-2023
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Eugene Korneychuk
    Líder técnico do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos