使用與Duo SSO和Windows AD整合的SAML配置ISE 3.1 GUI管理員登入

簡介

本文檔介紹如何配置Cisco ISE 3.1 SAML SSO與外部身份提供商（如Cisco Duo SSO）的整合。

必要條件

需求

思科建議您瞭解以下主題：

• 思科身分識別服務引擎(ISE)3.1
• 有關安全宣告標籤語言(SAML)單一登入(SSO)部署的基本知識(SAML 1.1)
• Cisco DUO SSO知識
• Windows Active Directory知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ISE 3.1
• Cisco Duo SSO
• Windows Active Directory

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

身份提供程式(IdP)

在本例中，是Duo SSO驗證並宣告所請求資源（「服務提供商」）的使用者身份和訪問許可權。

Duo SSO充當IdP，使用SAML 1.1或任何SAML 2.0 IdP（例如Microsoft Azure）的現有本地Active Directory(AD)對您的使用者進行身份驗證，並在允許訪問服務提供商應用程式之前提示進行雙因素身份驗證。

當配置要使用Duo SSO保護的應用程式時，必須將屬性從Duo SSO傳送到該應用程式。Active Directory無需其他設定即可運行，但如果您使用SAML(2.0)IdP作為身份驗證源，請驗證您是否將其配置為傳送正確的SAML屬性。

服務提供商(SP)

使用者想要訪問的託管資源或服務；本例中為Cisco ISE應用伺服器。

SAML

SAML是允許IdP向SP傳遞授權憑據的開放標準。

SAML事務使用可擴展標籤語言(XML)在身份提供者和服務提供商之間進行標準化通訊。SAML是使用者身份認證與授權之間用於使用服務的連結。

SAML斷言

SAML斷言是IDP傳送到包含使用者授權的服務提供商的XML文檔。有三種不同型別的SAML斷言 — 身份驗證、屬性和授權決策。

• 身份驗證斷言可證明使用者的身份，並提供使用者登入的時間以及使用的身份驗證方法（例如，Kerberos、雙因素等）。
• 屬性斷言將SAML屬性（提供有關使用者資訊的特定資料段）傳遞給SP。
• 授權決策宣告宣告使用者是否獲得授權以便使用該服務，或者如果由於密碼失敗或缺少對服務的許可權，IdP拒絕其請求。

高級流程圖

Flow:

1. 使用者使用Login Via SAML選項登入到ISE。
2. ISE(SAML SP)使用SAML請求消息將使用者瀏覽器重定向到Duo SSO。
   
   
   

   注意：在分散式環境中，可能會出現「Invalid Certificate（無效證書）」錯誤和步驟3。現在可以工作。因此，對於分散式環境，步驟2.略有不同：
   問題：ISE臨時重定向到某個PSN節點的門戶（在埠8443上）。
   解決方案：為了確保ISE呈現與管理員GUI證書相同的證書，請確保您信任的系統證書對所有PSN節點上的門戶使用也是有效的。

3. 使用者使用主AD憑據登入。
4. Duo SSO將此消息轉發到AD，AD將響應返回到Duo SSO。
5. Duo SSO要求使用者通過在流動裝置上傳送PUSH完成雙因素身份驗證。
6. 使用者完成Duo二元身份驗證。
7. Duo SSO將使用者瀏覽器重定向到SAML SP，並返回一條響應消息。
8. 使用者現在可以登入到ISE。

配置與Duo SSO的SAML SSO整合

步驟 1.在ISE上配置SAML IdP

將Duo SSO配置為外部SAML身份源

在ISE上，導航至Administration > Identity Management > External Identity Sources > SAML Id Providers，然後點選Add按鈕。

輸入IdP的名稱，然後按一下Submit以儲存它。IdP名稱僅對ISE有效，如下圖所示：

從Duo Admin門戶匯入SAML後設資料XML檔案

在ISE上，導航至Administration > Identity Management > External Identity Sources > SAML Id Providers.>選擇您建立的SAML IdP，按一下該 Identity Provider Configuration，然後按一下選擇檔案按鈕。

選擇從Duo Admin門戶匯出的SSO IDP後設資料XML檔案，然後按一下Open以儲存該檔案。（此步驟也在本檔案的Duo部分中提及。）

SSO URL和簽名證書為：

配置ISE身份驗證方法

導航至Administration > System > Admin Access > Authentication > Authentication Method，然後選擇Password-Based單選按鈕。從身份源(Identity Source)下拉選單中選擇之前建立的必要IdP名稱，如下圖所示：

建立管理員組

導航至Administration > System > Admin Access > Authentication > Administrators > Admin Group，然後點選超級管理員，然後複製按鈕。輸入Admin group Name，然後按一下Submit按鈕。

這將為Admin組提供超級管理員許可權。

為管理組建立RBAC策略

導航到Administration > System > Admin Access > Authorization > RBAC Policy，然後選擇與超級管理員策略對應的操作。按一下Duplicate > Add the Name field > Save。

訪問許可權與超級管理員策略相同。

新增組成員身份

在ISE上，導航到Administration > Identity Management > External Identity Sources > SAML Id Providers，然後選擇您建立的SAML IdP。按一下Groups，然後按一下Add按鈕。

在斷言中新增名稱（ISE管理員組的名稱），然後從下拉選單中選擇建立的基於角色的訪問控制(RBAC)組（步驟4.），然後點選開啟以儲存該組。SSO URL和簽名證書將自動填充：

匯出SP資訊

導航至Administration > Identity Management > External Identity Sources > SAML Id Providers > (Your SAML Provider)。

將頁籤切換到SP資訊，然後按一下Export按鈕，如下圖所示：

下載檔案.xml，並將其儲存。請記下Location URL和entityID值AssertionConsumerService，因為在Duo SSO門戶中需要這些詳細資訊。

    
    
    
     
      
       
        
         
         
           MIIFUzCCAzugAwIBAgIMNOUWtIWSUFWaealmMA0GCSqGSIb3DQEBDAUAMCcxJTAjBgNVBAMTHFNB TUxfaXNlMDIueGVyb3RydXN0bGFicy5jb20wHhcNMjExMTE1MjI1OTM0WhcNMjYxMTE0MjI1OTM0 WjAnMSUwIwYDVQQDExxTQU1MX2lzZTAyLnhlcm90cnVzdGxhYnMuY29tMIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAxw7scSLMH1ApI3O/7+vWsGP4schoJJHlVeJKHuJVgm19SXViW8Ab WL9hQEXDr+U/zzp7fAq0YjckeNJg6VMhasao5tY4cutrAZK2F/kYvdVN+0N2cJUSTdJZNdKO+hcj VmUgClUi6Xa4PJNw+1yhj8PwrDlpzfgXZLi3wlo5sMRGrg8NeSbShPJVakIEF2FoI0hXTOOSH4ZN sD4q99dzrAv2m6y74vtU0GqwX4RRMOdvr7DIMNd2U/trh41QT85SY5c70l6fRWtY9omZBdU0S2JC ihWnC9ug7FE0qdPm2h5KiZvxJck9OqVXDHvtRKctW5gwzfX8Hu7DQKqs90h04HRUxg2GEiuiXCQZ 5p63KfoRly5oW50UK0LIMdyhDl+8uP+n+Jo3ufR8lKe42+/rws5Ct1hg4jozddutKkw2vyxMEg5/ ZpAz/goRIOmBN4r3n3FNGZV1uTfbb1Mz8yvY61ccGgTU1/Iynt9maNHxjbFtAP+HaiMPisfTKDRJ OLx91v+xKpb+opcOxqVK1q0Us0yGVvfycaFNZ3jP5wBNBzSAi7cvXk7sIW9WM7DC84OjC/r9EbaX Wll7MLV+16Z+FeDnzhzFVjq/cb61eNvXKKwDFryFqBnDLLJGmJuZQ/EgR0wkvseR8tNE3qIYVhOe qfCKZUpWtZ+lGLDD3r50p9UCAwEAAaN/MH0wIgYDVR0RBBswGYIXaXNlMDIueGVyb3RydXN0bGFi cy5jb20wDAYDVR0TBAUwAwEB/zALBgNVHQ8EBAMCAuwwHQYDVR0OBBYEFAoHeqyYR5r0XpOVXODT WdpDycOoMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQwFAAOCAgEA aoIIkyS8slDwjQrRsUVyPi17Lvl0TleCUQBrnr5WNUWlaXIB7Cb9qrG9D2ced72miH6vUcxine78 V4loTsgVu3tVlslQrOLW2eNLSbaN1XqbVUl1sCZkA4wGt8uLPX0t8UYysecEPFXD0NiKGPoIMaFg 3pP5525cJpeLRkgHjw1Z2qT54lsGd8Gdq6V666kliAt73kPwfDiZf/uDsCI+euIHDywLdOad51kJ RWAsZO7tgxK3tJO9z7JU4oY1fI26DUN43++Ap3KSaDiz9gYJ3fFjR9hP/nF/ywyO0HO5MgHqhsMo +zBMADukmprYC8qd+0z76+NQ6TLXgUer7NQMty68tQYP4riupvc26CEmgEZ592jBgDdt2tkY9An4 Fl/rqJPhX2RISLdUt50NcBbIZVOJ/IjkqHj9UG1E/U8qYy3krWvZV+VV5ChVNzwiVTWFCEOHNOTh l/yYdAAsODUBbwTqgJL1G3hNo+dA3LAgg/XKENFr+tt3LQ0kwPAtjKFQsIX/4sgMetV4KSqUI3HZ qw5u0t9WT578SZ5p1u/qj2cfx2wdqRVk5vSij6TxOpXIaCuY2L5YfeIMP/K49K+DecMBxCrKygNT vGX0PkVG/yqgQ9OIfQZ1OD3/NZxGyBJdzSSkjHxiUdWf4lWj1tVU+qav8M3imsCRvcZJppaKJNo= 
          
         
        
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:transient 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName 
       
      
        urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos 
       
      
        urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName 
       
       
       
      
    

以下是從Duo Generic SAML Integration中需要配置的meta檔案中收集的相關詳細資訊/屬性

entityID = http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d。

AssertionConsumerService位置= https://10.x.x.x:8443/portal/SSOLoginResponse.action，其中10.x.x.x是在XML檔案（位置）中找到的ISE IP。

AssertionConsumerService位置= https://isenodename.com:8443/portal/SSOLoginResponse.actionisenodename，其中是在XML檔案（位置）上找到的實際ISE FQDN名稱。

步驟 2.為ISE配置Duo SSO

檢查此KB以配置帶AD的Duo SSO作為身份驗證源。

檢查此KB以啟用自定義域的SSO。

步驟 3.將Cisco ISE與Duo SSO整合為通用SP

檢查此KB的步驟1和步驟2，將Cisco ISE與Duo SSO整合為通用SP。

在Duo Admin Panel中配置通用SP的Cisco ISE SP詳細資訊：

名稱	說明
實體Id	http://CiscoISE/7fdfc239-631e-439c-a3ab-f5e56429779d
斷言使用者服務(ACS)URL	https://10.x.x.x:8443/portal/SSOLoginResponse.action

配置思科ISE的SAML響應：

名稱	說明
NameID格式	urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
NameID屬性	使用者名稱

在Duo Admin Panel中建立名為Cisco Admin Group的組，並將ISE使用者新增到此組，或在Windows AD中建立組，並使用目錄同步功能將其同步到Duo Admin面板。

配置思科ISE的角色屬性：

名稱	說明
屬性名稱	組
SP角色	ISE管理員組
Duo組	ISE管理員組

在「設定」部分的名稱頁籤中，為此整合提供相應的名稱。

按一下「Save」按鈕以儲存組態，並參閱此KB以瞭解更多詳細資訊。

按一下「Download XML」以下載SAML後設資料。

導航至，將SAML後設資料下載從Duo Admin Panel上傳到Cisco ISEAdministration > Identity Management > External Identity Sources > SAML Id Providers > Duo_SSO。
將頁籤切換到Identity Provider Config，然後按一下Choose file按鈕。
選擇步驟8中下載的後設資料XML檔案，然後按一下Save。

驗證

測試與Duo SSO的整合

1.登入Cisco ISE管理面板，然後點選Log In With SAML。

2.重定向至「SSO」頁，輸入電子郵件地址，然後按一下下一步。

3.輸入密碼，然後按一下Log in。

4.流動裝置顯示Duo Push提示。

5.接受提示後，您將獲得一個視窗，並自動重定向到ISE Admin頁面。

6. ISE管理員GUI訪問頁面。

疑難排解

• 下載Mozilla FF https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/的SAML Tracer擴展。
• 滾動至封包SSOLoginResponse.action。在SAML頁籤下，您會看到許多從Duo SAML傳送的屬性：名稱ID、收件人（AssertionConsumerService位置URL）和受眾(EntityID)。

• ISE即時登入：

• ISE上的管理登入日誌：使用者名稱：samlUser。