簡介
本文檔介紹如何配置Cisco ISE 3.1 SAML SSO與外部身份提供商(如Cisco Duo SSO)的整合。
必要條件
需求
思科建議您瞭解以下主題:
- 思科身分識別服務引擎(ISE)3.1
- 有關安全宣告標籤語言(SAML)單一登入(SSO)部署的基本知識(SAML 1.1)
- Cisco DUO SSO知識
- Windows Active Directory知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE 3.1
- Cisco Duo SSO
- Windows Active Directory
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
身份提供程式(IdP)
在本例中,是Duo SSO驗證並宣告所請求資源(「服務提供商」)的使用者身份和訪問許可權。
Duo SSO充當IdP,使用SAML 1.1或任何SAML 2.0 IdP(例如Microsoft Azure)的現有本地Active Directory(AD)對您的使用者進行身份驗證,並在允許訪問服務提供商應用程式之前提示進行雙因素身份驗證。
當配置要使用Duo SSO保護的應用程式時,必須將屬性從Duo SSO傳送到該應用程式。Active Directory無需其他設定即可運行,但如果您使用SAML(2.0)IdP作為身份驗證源,請驗證您是否將其配置為傳送正確的SAML屬性。
服務提供商(SP)
使用者想要訪問的託管資源或服務;本例中為Cisco ISE應用伺服器。
SAML
SAML是允許IdP向SP傳遞授權憑據的開放標準。
SAML事務使用可擴展標籤語言(XML)在身份提供者和服務提供商之間進行標準化通訊。SAML是使用者身份認證與授權之間用於使用服務的連結。
SAML斷言
SAML斷言是IDP傳送到包含使用者授權的服務提供商的XML文檔。有三種不同型別的SAML斷言 — 身份驗證、屬性和授權決策。
- 身份驗證斷言可證明使用者的身份,並提供使用者登入的時間以及使用的身份驗證方法(例如,Kerberos、雙因素等)。
- 屬性斷言將SAML屬性(提供有關使用者資訊的特定資料段)傳遞給SP。
- 授權決策宣告宣告使用者是否獲得授權以便使用該服務,或者如果由於密碼失敗或缺少對服務的許可權,IdP拒絕其請求。
高級流程圖
Flow:
- 使用者使用Login Via SAML選項登入到ISE。
- ISE(SAML SP)使用SAML請求消息將使用者瀏覽器重定向到Duo SSO。
注意:在分散式環境中,可能會出現「Invalid Certificate(無效證書)」錯誤和步驟3。現在可以工作。因此,對於分散式環境,步驟2.略有不同:
問題:ISE臨時重定向到某個PSN節點的門戶(在埠8443上)。
解決方案:為了確保ISE呈現與管理員GUI證書相同的證書,請確保您信任的系統證書對所有PSN節點上的門戶使用也是有效的。
- 使用者使用主AD憑據登入。
- Duo SSO將此消息轉發到AD,AD將響應返回到Duo SSO。
- Duo SSO要求使用者通過在流動裝置上傳送PUSH完成雙因素身份驗證。
- 使用者完成Duo二元身份驗證。
- Duo SSO將使用者瀏覽器重定向到SAML SP,並返回一條響應消息。
- 使用者現在可以登入到ISE。
配置與Duo SSO的SAML SSO整合
步驟 1.在ISE上配置SAML IdP
將Duo SSO配置為外部SAML身份源
在ISE上,導航至Administration > Identity Management > External Identity Sources > SAML Id Providers
,然後點選Add按鈕。
輸入IdP的名稱,然後按一下Submit以儲存它。IdP名稱僅對ISE有效,如下圖所示:
從Duo Admin門戶匯入SAML後設資料XML檔案
在ISE上,導航至Administration > Identity Management > External Identity Sources > SAML Id Providers.
>選擇您建立的SAML IdP,按一下該 Identity Provider Configuration
,然後按一下選擇檔案按鈕。
選擇從Duo Admin門戶匯出的SSO IDP後設資料XML檔案,然後按一下Open以儲存該檔案。(此步驟也在本檔案的Duo部分中提及。)
SSO URL和簽名證書為:
配置ISE身份驗證方法
導航至Administration > System > Admin Access > Authentication > Authentication Method
,然後選擇Password-Based單選按鈕。從身份源(Identity Source)下拉選單中選擇之前建立的必要IdP名稱,如下圖所示:
建立管理員組
導航至Administration > System > Admin Access > Authentication > Administrators > Admin Group
,然後點選超級管理員,然後複製按鈕。輸入Admin group Name,然後按一下Submit按鈕。
這將為Admin組提供超級管理員許可權。
為管理組建立RBAC策略
導航到Administration > System > Admin Access > Authorization > RBAC Policy
,然後選擇與超級管理員策略對應的操作。按一下Duplicate > Add the Name field > Save
。
訪問許可權與超級管理員策略相同。
新增組成員身份
在ISE上,導航到Administration > Identity Management > External Identity Sources > SAML Id Providers
,然後選擇您建立的SAML IdP。按一下Groups,然後按一下Add按鈕。
在斷言中新增名稱(ISE管理員組的名稱),然後從下拉選單中選擇建立的基於角色的訪問控制(RBAC)組(步驟4.),然後點選開啟以儲存該組。SSO URL和簽名證書將自動填充:
匯出SP資訊
導航至Administration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider)
。
將頁籤切換到SP資訊,然後按一下Export按鈕,如下圖所示:
下載檔案.xml
,並將其儲存。請記下Location URL和entityID值AssertionConsumerService
,因為在Duo SSO門戶中需要這些詳細資訊。
MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB TUxfaXNlMDIueGVyb3RydXN0bGFicy5jb20wHhcNMjExMTE1MjI1OTM0WhcNMjYxMTE0MjI1OTM0 WjAnMSUwIwYDVQQDExxTQU1MX2lzZTAyLnhlcm90cnVzdGxhYnMuY29tMIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAxw7scSLMH1ApI3O/7+vWsGP4schoJJHlVeJKHuJVgm19SXViW8Ab WL9hQEXDr+U/zzp7fAq0YjckeNJg6VMhasao5tY4cutrAZK2F/kYvdVN+0N2cJUSTdJZNdKO+hcj VmUgClUi6Xa4PJNw+1yhj8PwrDlpzfgXZLi3wlo5sMRGrg8NeSbShPJVakIEF2FoI0hXTOOSH4ZN sD4q99dzrAv2m6y74vtU0GqwX4RRMOdvr7DIMNd2U/trh41QT85SY5c70l6fRWtY9omZBdU0S2JC ihWnC9ug7FE0qdPm2h5KiZvxJck9OqVXDHvtRKctW5gwzfX8Hu7DQKqs90h04HRUxg2GEiuiXCQZ 5p63KfoRly5oW50UK0LIMdyhDl+8uP+n+Jo3ufR8lKe42+/rws5Ct1hg4jozddutKkw2vyxMEg5/ ZpAz/goRIOmBN4r3n3FNGZV1uTfbb1Mz8yvY61ccGgTU1/Iynt9maNHxjbFtAP+HaiMPisfTKDRJ OLx91v+xKpb+opcOxqVK1q0Us0yGVvfycaFNZ3jP5wBNBzSAi7cvXk7sIW9WM7DC84OjC/r9EbaX Wll7MLV+16Z+FeDnzhzFVjq/cb61eNvXKKwDFryFqBnDLLJGmJuZQ/EgR0wkvseR8tNE3qIYVhOe qfCKZUpWtZ+lGLDD3r50p9UCAwEAAaN/MH0wIgYDVR0RBBswGYIXaXNlMDIueGVyb3RydXN0bGFi cy5jb20wDAYDVR0TBAUwAwEB/zALBgNVHQ8EBAMCAuwwHQYDVR0OBBYEFAoHeqyYR5r0XpOVXODT WdpDycOoMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQwFAAOCAgEA aoIIkyS8slDwjQrRsUVyPi17Lvl0TleCUQBrnr5WNUWlaXIB7Cb9qrG9D2ced72miH6vUcxine78 V4loTsgVu3tVlslQrOLW2eNLSbaN1XqbVUl1sCZkA4wGt8uLPX0t8UYysecEPFXD0NiKGPoIMaFg 3pP5525cJpeLRkgHjw1Z2qT54lsGd8Gdq6V666kliAt73kPwfDiZf/uDsCI+euIHDywLdOad51kJ RWAsZO7tgxK3tJO9z7JU4oY1fI26DUN43++Ap3KSaDiz9gYJ3fFjR9hP/nF/ywyO0HO5MgHqhsMo +zBMADukmprYC8qd+0z76+NQ6TLXgUer7NQMty68tQYP4riupvc26CEmgEZ592jBgDdt2tkY9An4 Fl/rqJPhX2RISLdUt50NcBbIZVOJ/IjkqHj9UG1E/U8qYy3krWvZV+VV5ChVNzwiVTWFCEOHNOTh l/yYdAAsODUBbwTqgJL1G3hNo+dA3LAgg/XKENFr+tt3LQ0kwPAtjKFQsIX/4sgMetV4KSqUI3HZ qw5u0t9WT578SZ5p1u/qj2cfx2wdqRVk5vSij6TxOpXIaCuY2L5YfeIMP/K49K+DecMBxCrKygNT vGX0PkVG/yqgQ9OIfQZ1OD3/NZxGyBJdzSSkjHxiUdWf4lWj1tVU+qav8M3imsCRvcZJppaKJNo=
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
以下是從Duo Generic SAML Integration中需要配置的meta檔案中收集的相關詳細資訊/屬性
entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d。
AssertionConsumerService位置= https://10.x.x.x:8443/portal/SSOLoginResponse.action,其中10.x.x.x是在XML檔案(位置)中找到的ISE IP。
AssertionConsumerService位置= https://isenodename.com:8443/portal/SSOLoginResponse.actionisenodename
,其中是在XML檔案(位置)上找到的實際ISE FQDN名稱。
步驟 2.為ISE配置Duo SSO
檢查此KB以配置帶AD的Duo SSO作為身份驗證源。
檢查此KB以啟用自定義域的SSO。
步驟 3.將Cisco ISE與Duo SSO整合為通用SP
檢查此KB的步驟1和步驟2,將Cisco ISE與Duo SSO整合為通用SP。
在Duo Admin Panel中配置通用SP的Cisco ISE SP詳細資訊:
配置思科ISE的SAML響應:
名稱 |
說明 |
NameID格式 |
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
NameID屬性 |
使用者名稱 |
在Duo Admin Panel中建立名為Cisco Admin Group的組,並將ISE使用者新增到此組,或在Windows AD中建立組,並使用目錄同步功能將其同步到Duo Admin面板。
配置思科ISE的角色屬性:
名稱 |
說明 |
屬性名稱 |
組 |
SP角色 |
ISE管理員組 |
Duo組 |
ISE管理員組 |
在「設定」部分的名稱頁籤中,為此整合提供相應的名稱。
按一下「Save」按鈕以儲存組態,並參閱此KB以瞭解更多詳細資訊。
按一下「Download XML」以下載SAML後設資料。
導航至,將SAML後設資料下載從Duo Admin Panel上傳到Cisco ISEAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO
。
將頁籤切換到Identity Provider Config,然後按一下Choose file按鈕。
選擇步驟8中下載的後設資料XML檔案,然後按一下Save。
註:此步驟在配置SAML SSO與Duo SSO整合一節中提及;步驟2。從Duo Admin門戶匯入SAML後設資料XML檔案。
驗證
測試與Duo SSO的整合
1.登入Cisco ISE管理面板,然後點選Log In With SAML。
2.重定向至「SSO」頁,輸入電子郵件地址,然後按一下下一步。
3.輸入密碼,然後按一下Log in。
4.流動裝置顯示Duo Push提示。
5.接受提示後,您將獲得一個視窗,並自動重定向到ISE Admin頁面。
6. ISE管理員GUI訪問頁面。
疑難排解
- ISE上的管理登入日誌:使用者名稱:samlUser。