使用SAML Integration with Duo SSO和Windows AD配置ISE 3.1 GUI管理员登录

简介

本文档介绍如何配置Cisco ISE 3.1 SAML SSO与外部身份提供程序（如Cisco Duo SSO）的集成。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科身份服务引擎(ISE)3.1
• 有关安全断言标记语言(SAML)单点登录(SSO)部署的基本知识(SAML 1.1)
• Cisco DUO SSO知识
• Windows Active Directory知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科ISE 3.1
• Cisco Duo SSO
• Windows Active Directory

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

身份提供程序(IdP)

在本例中，是双SSO验证并声明用户身份以及对所请求的资源（“服务提供商”）的访问权限。

双点SSO充当IdP，使用SAML 1.1或任何SAML 2.0 IdP（例如Microsoft Azure）的现有本地Active Directory(AD)对用户进行身份验证，并提示在允许访问服务提供商应用程序之前进行双因素身份验证。

当配置要使用Duo SSO保护的应用程序时，必须将属性从Duo SSO发送到该应用程序。Active Directory无需其他设置即可使用，但是如果使用SAML(2.0)IdP作为身份验证源，请验证是否已将其配置为发送正确的SAML属性。

服务提供商(SP)

用户想要访问的托管资源或服务；本例中为Cisco ISE应用服务器。

SAML

SAML是允许IdP向SP传递授权凭证的开放标准。

SAML事务使用可扩展标记语言(XML)实现身份提供者和服务提供商之间的标准化通信。SAML是用户身份身份验证与授权之间的链接，以便使用服务。

SAML断言

SAML断言是IdP发送到包含用户授权的服务提供商的XML文档。有三种不同类型的SAML断言 — 身份验证、属性和授权决策。

• 身份验证断言可证明用户的身份，并提供用户登录的时间以及他们使用的身份验证方法（例如，Kerberos、双因素等）。
• 属性断言将SAML属性（提供有关用户信息的特定数据段）传递给SP。
• 授权决策断言声明用户是否获得授权以便使用该服务，或者IdP是否由于密码失败或缺少对服务的权限而拒绝其请求。

高级流程图

流程：

1. 用户使用Login Via SAML选项登录到ISE。
2. ISE(SAML SP)使用SAML请求消息将用户浏览器重定向到Duo SSO。
   
   
   

   注意：在分布式环境中，可能会出现“Invalid Certificate”（无效证书）错误和“Step 3”（步骤3）。现在可以正常工作。因此，对于分布式环境，步骤2.略有不同：
   问题：ISE临时重定向到某个PSN节点的门户（在端口8443上）。
   解决方案：为了确保ISE提供与管理员GUI证书相同的证书，请确保您信任的系统证书对所有PSN节点上的门户使用也是有效的。

3. 用户使用主AD凭证登录。
4. Duo SSO会将此消息转发到AD，AD会向Duo SSO返回响应。
5. Duo SSO要求用户在移动设备上发送PUSH，完成双因素身份验证。
6. 用户完成双因素身份验证。
7. Duo SSO将用户浏览器重定向至SAML SP，并显示一条响应消息。
8. 用户现在能够登录到ISE。

配置SAML SSO与Duo SSO的集成

步骤1:在ISE上配置SAML IdP

将Duo SSO配置为外部SAML身份源

在ISE上，导航至Administration > Identity Management > External Identity Sources > SAML Id Providers，然后点击Add按钮。

输入IdP的名称，然后单击Submit以保存它。IdP名称仅对ISE有效，如图所示：

从Duo Admin门户导入SAML元数据XML文件

在ISE上，导航至Administration > Identity Management > External Identity Sources > SAML Id Providers.>选择您创建的SAML IdP，点击 Identity Provider Configuration，然后点击Choose File按钮。

选择从Duo Admin门户导出的SSO IDP元数据XML文件，然后单击打开以保存该文件。（本文档的Duo部分也提到了此步骤。）

SSO URL和签名证书如下：

配置ISE身份验证方法

导航至Administration > System > Admin Access > Authentication > Authentication Method，然后选择Password-Based单选按钮。从身份源(Identity Source)下拉列表中选择之前创建的所需IdP名称，如图所示：

创建管理员组

导航至Administration > System > Admin Access > Authentication > Administrators > Admin Group，然后点击Super Admin，然后点击Duplicate按钮。输入Admin group Name，然后单击Submit按钮。

这会为管理员组提供超级管理员权限。

为管理员组创建RBAC策略

导航至Administration > System > Admin Access > Authorization > RBAC Policy，然后选择与超级管理策略对应的操作。单击。Duplicate > Add the Name field > Save

访问权限与超级管理员策略相同。

添加组成员身份

在ISE上，导航至Administration > Identity Management > External Identity Sources > SAML Id Providers，并选择您创建的SAML IdP。单击Groups，然后单击Add按钮。

在断言中添加名称（ISE管理员组的名称），然后从下拉列表中选择创建的基于角色的访问控制(RBAC)组（第4步），然后点击打开以保存该组。SSO URL和签名证书会自动填充：

导出SP信息

导航至Administration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider)。

将选项卡切换到SP信息，然后单击导出按钮，如图所示：

下载文件.xml，然后保存。请记下LocationAssertionConsumerService URL和entityID值，因为这些详细信息在Duo SSO门户中是必需的。

    
    
    
     
      
       
        
         
         
           MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB TUxfaXNlMDIueGVyb3RydXN0bGFicy5jb20wHhcNMjExMTE1MjI1OTM0WhcNMjYxMTE0MjI1OTM0 WjAnMSUwIwYDVQQDExxTQU1MX2lzZTAyLnhlcm90cnVzdGxhYnMuY29tMIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAxw7scSLMH1ApI3O/7+vWsGP4schoJJHlVeJKHuJVgm19SXViW8Ab WL9hQEXDr+U/zzp7fAq0YjckeNJg6VMhasao5tY4cutrAZK2F/kYvdVN+0N2cJUSTdJZNdKO+hcj VmUgClUi6Xa4PJNw+1yhj8PwrDlpzfgXZLi3wlo5sMRGrg8NeSbShPJVakIEF2FoI0hXTOOSH4ZN sD4q99dzrAv2m6y74vtU0GqwX4RRMOdvr7DIMNd2U/trh41QT85SY5c70l6fRWtY9omZBdU0S2JC ihWnC9ug7FE0qdPm2h5KiZvxJck9OqVXDHvtRKctW5gwzfX8Hu7DQKqs90h04HRUxg2GEiuiXCQZ 5p63KfoRly5oW50UK0LIMdyhDl+8uP+n+Jo3ufR8lKe42+/rws5Ct1hg4jozddutKkw2vyxMEg5/ ZpAz/goRIOmBN4r3n3FNGZV1uTfbb1Mz8yvY61ccGgTU1/Iynt9maNHxjbFtAP+HaiMPisfTKDRJ OLx91v+xKpb+opcOxqVK1q0Us0yGVvfycaFNZ3jP5wBNBzSAi7cvXk7sIW9WM7DC84OjC/r9EbaX Wll7MLV+16Z+FeDnzhzFVjq/cb61eNvXKKwDFryFqBnDLLJGmJuZQ/EgR0wkvseR8tNE3qIYVhOe qfCKZUpWtZ+lGLDD3r50p9UCAwEAAaN/MH0wIgYDVR0RBBswGYIXaXNlMDIueGVyb3RydXN0bGFi cy5jb20wDAYDVR0TBAUwAwEB/zALBgNVHQ8EBAMCAuwwHQYDVR0OBBYEFAoHeqyYR5r0XpOVXODT WdpDycOoMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQwFAAOCAgEA aoIIkyS8slDwjQrRsUVyPi17Lvl0TleCUQBrnr5WNUWlaXIB7Cb9qrG9D2ced72miH6vUcxine78 V4loTsgVu3tVlslQrOLW2eNLSbaN1XqbVUl1sCZkA4wGt8uLPX0t8UYysecEPFXD0NiKGPoIMaFg 3pP5525cJpeLRkgHjw1Z2qT54lsGd8Gdq6V666kliAt73kPwfDiZf/uDsCI+euIHDywLdOad51kJ RWAsZO7tgxK3tJO9z7JU4oY1fI26DUN43++Ap3KSaDiz9gYJ3fFjR9hP/nF/ywyO0HO5MgHqhsMo +zBMADukmprYC8qd+0z76+NQ6TLXgUer7NQMty68tQYP4riupvc26CEmgEZ592jBgDdt2tkY9An4 Fl/rqJPhX2RISLdUt50NcBbIZVOJ/IjkqHj9UG1E/U8qYy3krWvZV+VV5ChVNzwiVTWFCEOHNOTh l/yYdAAsODUBbwTqgJL1G3hNo+dA3LAgg/XKENFr+tt3LQ0kwPAtjKFQsIX/4sgMetV4KSqUI3HZ qw5u0t9WT578SZ5p1u/qj2cfx2wdqRVk5vSij6TxOpXIaCuY2L5YfeIMP/K49K+DecMBxCrKygNT vGX0PkVG/yqgQ9OIfQZ1OD3/NZxGyBJdzSSkjHxiUdWf4lWj1tVU+qav8M3imsCRvcZJppaKJNo= 
          
         
        
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:transient 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName 
       
       
       
      
    

以下是从Duo Generic SAML Integration中需要配置的meta文件中收集的相关详细信息/属性

entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d。

AssertionConsumerService Location = https://10.x.x.x:8443/portal/SSOLoginResponse.action，其中10.x.x.x是在XML文件（位置）上找到的ISE IP。

AssertionConsumerService Location = https://isenodename.com:8443/portal/SSOLoginResponse.action，其中isenodename是在XML文件（位置）上找到的实际ISE FQDN名称。

第二步：配置ISE的双核SSO

检查此KB以配置带AD的Duo SSO作为身份验证源。

选中此KB以启用自定义域的SSO。

第三步：将Cisco ISE与Duo SSO集成为通用SP

检查此知识库的步骤1和步骤2，将Cisco ISE与双核SSO集成为通用SP。

在双管理面板中为通用SP配置思科ISE SP详细信息：

名称	描述
实体Id	http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d
断言消费者服务(ACS)URL	https://10.x.x.x:8443/portal/SSOLoginResponse.action

配置Cisco ISE的SAML响应：

名称	描述
NameID格式	urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
NameID属性	用户名

在Duo Admin Panel中创建名为Cisco Admin Group的组，并将ISE用户添加到此组，或在Windows AD中创建组，并使用目录同步功能将其同步到Duo Admin面板。

配置思科ISE的角色属性：

名称	描述
属性名称	组
SP角色	ISE管理员组
Duo组	ISE管理员组

在Settings部分的Name选项卡中为此集成提供相应的名称。

单击Save按钮以保存配置，并参阅此KB以了解更多详细信息。

单击Download XML以下载SAML元数据。

导航至，将SAML元数据下载从双管理面板上传到Cisco ISEAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO。
将选项卡切换到Identity Provider Config。然后点击Choose file按钮。
选择第8步中下载的元数据XML文件，然后单击保存。

验证

测试与Duo SSO的集成

1.登录Cisco ISE管理员面板，然后单击Log In With SAML。

2.已重定向至SSO页面，输入邮件地址，然后单击下一步。

3.输入密码，然后单击登录。

4.在移动设备上显示Duo Push提示。

5.接受提示后，您将获得一个窗口，并自动重定向到ISE管理员页面。

6. ISE管理员GUI访问页面。

故障排除

• 下载Mozilla FF的SAML Tracer扩展https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/。
• 滚动至数据包SSOLoginResponse.action。在SAML选项卡下，您可以看到许多从双向SAML发送的属性：NameID、Recipient(AssertionConsumerService Location URL)和Audience(EntityID)。

• ISE上的实时日志：

• ISE上的管理登录日志：用户名：samlUser。