简介
本文档介绍如何配置Cisco ISE 3.1 SAML SSO与外部身份提供程序(如Cisco Duo SSO)的集成。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务引擎(ISE)3.1
- 有关安全断言标记语言(SAML)单点登录(SSO)部署的基本知识(SAML 1.1)
- Cisco DUO SSO知识
- Windows Active Directory知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科ISE 3.1
- Cisco Duo SSO
- Windows Active Directory
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
身份提供程序(IdP)
在本例中,是双SSO验证并声明用户身份以及对所请求的资源(“服务提供商”)的访问权限。
双点SSO充当IdP,使用SAML 1.1或任何SAML 2.0 IdP(例如Microsoft Azure)的现有本地Active Directory(AD)对用户进行身份验证,并提示在允许访问服务提供商应用程序之前进行双因素身份验证。
当配置要使用Duo SSO保护的应用程序时,必须将属性从Duo SSO发送到该应用程序。Active Directory无需其他设置即可使用,但是如果使用SAML(2.0)IdP作为身份验证源,请验证是否已将其配置为发送正确的SAML属性。
服务提供商(SP)
用户想要访问的托管资源或服务;本例中为Cisco ISE应用服务器。
SAML
SAML是允许IdP向SP传递授权凭证的开放标准。
SAML事务使用可扩展标记语言(XML)实现身份提供者和服务提供商之间的标准化通信。SAML是用户身份身份验证与授权之间的链接,以便使用服务。
SAML断言
SAML断言是IdP发送到包含用户授权的服务提供商的XML文档。有三种不同类型的SAML断言 — 身份验证、属性和授权决策。
- 身份验证断言可证明用户的身份,并提供用户登录的时间以及他们使用的身份验证方法(例如,Kerberos、双因素等)。
- 属性断言将SAML属性(提供有关用户信息的特定数据段)传递给SP。
- 授权决策断言声明用户是否获得授权以便使用该服务,或者IdP是否由于密码失败或缺少对服务的权限而拒绝其请求。
高级流程图
流程:
- 用户使用Login Via SAML选项登录到ISE。
- ISE(SAML SP)使用SAML请求消息将用户浏览器重定向到Duo SSO。
注意:在分布式环境中,可能会出现“Invalid Certificate”(无效证书)错误和“Step 3”(步骤3)。现在可以正常工作。因此,对于分布式环境,步骤2.略有不同:
问题:ISE临时重定向到某个PSN节点的门户(在端口8443上)。
解决方案:为了确保ISE提供与管理员GUI证书相同的证书,请确保您信任的系统证书对所有PSN节点上的门户使用也是有效的。
- 用户使用主AD凭证登录。
- Duo SSO会将此消息转发到AD,AD会向Duo SSO返回响应。
- Duo SSO要求用户在移动设备上发送PUSH,完成双因素身份验证。
- 用户完成双因素身份验证。
- Duo SSO将用户浏览器重定向至SAML SP,并显示一条响应消息。
- 用户现在能够登录到ISE。
配置SAML SSO与Duo SSO的集成
步骤1:在ISE上配置SAML IdP
将Duo SSO配置为外部SAML身份源
在ISE上,导航至Administration > Identity Management > External Identity Sources > SAML Id Providers
,然后点击Add按钮。
输入IdP的名称,然后单击Submit以保存它。IdP名称仅对ISE有效,如图所示:
从Duo Admin门户导入SAML元数据XML文件
在ISE上,导航至Administration > Identity Management > External Identity Sources > SAML Id Providers.
>选择您创建的SAML IdP,点击 Identity Provider Configuration
,然后点击Choose File按钮。
选择从Duo Admin门户导出的SSO IDP元数据XML文件,然后单击打开以保存该文件。(本文档的Duo部分也提到了此步骤。)
SSO URL和签名证书如下:
配置ISE身份验证方法
导航至Administration > System > Admin Access > Authentication > Authentication Method
,然后选择Password-Based单选按钮。从身份源(Identity Source)下拉列表中选择之前创建的所需IdP名称,如图所示:
创建管理员组
导航至Administration > System > Admin Access > Authentication > Administrators > Admin Group
,然后点击Super Admin,然后点击Duplicate按钮。输入Admin group Name,然后单击Submit按钮。
这会为管理员组提供超级管理员权限。
为管理员组创建RBAC策略
导航至Administration > System > Admin Access > Authorization > RBAC Policy
,然后选择与超级管理策略对应的操作。单击。Duplicate > Add the Name field > Save
访问权限与超级管理员策略相同。
添加组成员身份
在ISE上,导航至Administration > Identity Management > External Identity Sources > SAML Id Providers
,并选择您创建的SAML IdP。单击Groups,然后单击Add按钮。
在断言中添加名称(ISE管理员组的名称),然后从下拉列表中选择创建的基于角色的访问控制(RBAC)组(第4步),然后点击打开以保存该组。SSO URL和签名证书会自动填充:
导出SP信息
导航至Administration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider)
。
将选项卡切换到SP信息,然后单击导出按钮,如图所示:
下载文件.xml
,然后保存。请记下LocationAssertionConsumerService
URL和entityID值,因为这些详细信息在Duo SSO门户中是必需的。
MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB TUxfaXNlMDIueGVyb3RydXN0bGFicy5jb20wHhcNMjExMTE1MjI1OTM0WhcNMjYxMTE0MjI1OTM0 WjAnMSUwIwYDVQQDExxTQU1MX2lzZTAyLnhlcm90cnVzdGxhYnMuY29tMIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAxw7scSLMH1ApI3O/7+vWsGP4schoJJHlVeJKHuJVgm19SXViW8Ab WL9hQEXDr+U/zzp7fAq0YjckeNJg6VMhasao5tY4cutrAZK2F/kYvdVN+0N2cJUSTdJZNdKO+hcj VmUgClUi6Xa4PJNw+1yhj8PwrDlpzfgXZLi3wlo5sMRGrg8NeSbShPJVakIEF2FoI0hXTOOSH4ZN sD4q99dzrAv2m6y74vtU0GqwX4RRMOdvr7DIMNd2U/trh41QT85SY5c70l6fRWtY9omZBdU0S2JC ihWnC9ug7FE0qdPm2h5KiZvxJck9OqVXDHvtRKctW5gwzfX8Hu7DQKqs90h04HRUxg2GEiuiXCQZ 5p63KfoRly5oW50UK0LIMdyhDl+8uP+n+Jo3ufR8lKe42+/rws5Ct1hg4jozddutKkw2vyxMEg5/ ZpAz/goRIOmBN4r3n3FNGZV1uTfbb1Mz8yvY61ccGgTU1/Iynt9maNHxjbFtAP+HaiMPisfTKDRJ OLx91v+xKpb+opcOxqVK1q0Us0yGVvfycaFNZ3jP5wBNBzSAi7cvXk7sIW9WM7DC84OjC/r9EbaX Wll7MLV+16Z+FeDnzhzFVjq/cb61eNvXKKwDFryFqBnDLLJGmJuZQ/EgR0wkvseR8tNE3qIYVhOe qfCKZUpWtZ+lGLDD3r50p9UCAwEAAaN/MH0wIgYDVR0RBBswGYIXaXNlMDIueGVyb3RydXN0bGFi cy5jb20wDAYDVR0TBAUwAwEB/zALBgNVHQ8EBAMCAuwwHQYDVR0OBBYEFAoHeqyYR5r0XpOVXODT WdpDycOoMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQwFAAOCAgEA aoIIkyS8slDwjQrRsUVyPi17Lvl0TleCUQBrnr5WNUWlaXIB7Cb9qrG9D2ced72miH6vUcxine78 V4loTsgVu3tVlslQrOLW2eNLSbaN1XqbVUl1sCZkA4wGt8uLPX0t8UYysecEPFXD0NiKGPoIMaFg 3pP5525cJpeLRkgHjw1Z2qT54lsGd8Gdq6V666kliAt73kPwfDiZf/uDsCI+euIHDywLdOad51kJ RWAsZO7tgxK3tJO9z7JU4oY1fI26DUN43++Ap3KSaDiz9gYJ3fFjR9hP/nF/ywyO0HO5MgHqhsMo +zBMADukmprYC8qd+0z76+NQ6TLXgUer7NQMty68tQYP4riupvc26CEmgEZ592jBgDdt2tkY9An4 Fl/rqJPhX2RISLdUt50NcBbIZVOJ/IjkqHj9UG1E/U8qYy3krWvZV+VV5ChVNzwiVTWFCEOHNOTh l/yYdAAsODUBbwTqgJL1G3hNo+dA3LAgg/XKENFr+tt3LQ0kwPAtjKFQsIX/4sgMetV4KSqUI3HZ qw5u0t9WT578SZ5p1u/qj2cfx2wdqRVk5vSij6TxOpXIaCuY2L5YfeIMP/K49K+DecMBxCrKygNT vGX0PkVG/yqgQ9OIfQZ1OD3/NZxGyBJdzSSkjHxiUdWf4lWj1tVU+qav8M3imsCRvcZJppaKJNo=
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
以下是从Duo Generic SAML Integration中需要配置的meta文件中收集的相关详细信息/属性
entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d。
AssertionConsumerService Location = https://10.x.x.x:8443/portal/SSOLoginResponse.action,其中10.x.x.x是在XML文件(位置)上找到的ISE IP。
AssertionConsumerService Location = https://isenodename.com:8443/portal/SSOLoginResponse.action,其中isenodename
是在XML文件(位置)上找到的实际ISE FQDN名称。
第二步:配置ISE的双核SSO
检查此KB以配置带AD的Duo SSO作为身份验证源。
选中此KB以启用自定义域的SSO。
第三步:将Cisco ISE与Duo SSO集成为通用SP
检查此知识库的步骤1和步骤2,将Cisco ISE与双核SSO集成为通用SP。
在双管理面板中为通用SP配置思科ISE SP详细信息:
配置Cisco ISE的SAML响应:
名称 |
描述 |
NameID格式 |
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
NameID属性 |
用户名 |
在Duo Admin Panel中创建名为Cisco Admin Group的组,并将ISE用户添加到此组,或在Windows AD中创建组,并使用目录同步功能将其同步到Duo Admin面板。
配置思科ISE的角色属性:
名称 |
描述 |
属性名称 |
组 |
SP角色 |
ISE管理员组 |
Duo组 |
ISE管理员组 |
在Settings部分的Name选项卡中为此集成提供相应的名称。
单击Save按钮以保存配置,并参阅此KB以了解更多详细信息。
单击Download XML以下载SAML元数据。
导航至,将SAML元数据下载从双管理面板上传到Cisco ISEAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO
。
将选项卡切换到Identity Provider Config。然后点击Choose file按钮。
选择第8步中下载的元数据XML文件,然后单击保存。
注:此步骤在配置SAML SSO与双核SSO集成一节中提及;步骤2。从Duo管理员门户导入SAML元数据XML文件。
验证
测试与Duo SSO的集成
1.登录Cisco ISE管理员面板,然后单击Log In With SAML。
2.已重定向至SSO页面,输入邮件地址,然后单击下一步。
3.输入密码,然后单击登录。
4.在移动设备上显示Duo Push提示。
5.接受提示后,您将获得一个窗口,并自动重定向到ISE管理员页面。
6. ISE管理员GUI访问页面。
故障排除
- ISE上的管理登录日志:用户名:samlUser。