Configuration du flux d'autorisation pour les sessions d'ID passives dans ISE 3.2

Options de téléchargement

  • PDF     (593.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (335.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (396.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 février 2023
ID du document:220239

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer les règles d'autorisation pour les événements d'ID passif afin d'attribuer des SGT aux sessions.

    Informations générales

    Les services d'identité passive (ID passive) n'authentifient pas directement les utilisateurs, mais collectent les identités des utilisateurs et les adresses IP à partir de serveurs d'authentification externes tels qu'Active Directory (AD), appelés fournisseurs, puis partagent ces informations avec les abonnés.

    ISE 3.2 introduit une nouvelle fonctionnalité qui vous permet de configurer une stratégie d'autorisation pour attribuer une balise de groupe de sécurité (SGT) à un utilisateur en fonction de l'appartenance au groupe Active Directory.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco ISE 3.X
    • Intégration passive d'ID avec tout fournisseur
    • Administration Active Directory (AD)
    • Segmentation (Trustsec)
    • PxGrid (Platform Exchange Grid)

    Composants utilisés

    • Logiciel Identity Service Engine (ISE) version 3.2
    • Microsoft Active Directory
    • SYSLOG

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Étape 1. Activez les services ISE.

    1. Sur ISE, accédez à Administration > Deployment, choisissez le noeud ISE et cliquez sur Edit, activez Policy Service et sélectionnez Enable Passive Identity Service. Facultatif, vous pouvez activer SXP et PxGrid si les sessions d'ID passives doivent être publiées via chacune d'elles. Cliquez sur Save.

    Avertissement : les détails SGT des utilisateurs de connexion PassiveID authentifiés par le fournisseur d'API ne peuvent pas être publiés dans SXP. Cependant, les détails SGT de ces utilisateurs peuvent être publiés via pxGrid et pxGrid Cloud.

    Services activésServices activés

    Étape 2. Configurez Active Directory.

    1. Accédez à Administration > Identity Management > External Identity Sources et choisissez Active directory puis cliquez sur le bouton Add.
    2. Saisissez le nom du point de jonction et le domaine Active Directory. Cliquez sur Submit.

    Ajouter Active DirectoryAjouter Active Directory

    3. Une fenêtre contextuelle apparaît pour joindre ISE à AD. Cliquez sur Yes. Saisissez le nom d'utilisateur et mot de passe. Click OK.

    Continuer à rejoindre ISEContinuer à rejoindre ISE Rejoindre Active DirectoryRejoindre Active Directory

    4. Récupérez les groupes AD. Accédez à Groups, cliquez sur Add, puis cliquez sur Retrieve Groups et choisissez tous les groupes intéressés et cliquez sur OK.

    Récupérer les groupes ADRécupérer les groupes AD

    Groupes récupérésGroupes récupérés

    5. Activez le flux d'autorisation. Accédez à Advanced Settings et dans la section PassiveID Settings, cochez la case Authorization Flow. Cliquez sur Save.

    Activer le flux d'autorisationActiver le flux d'autorisation

    Étape 3. Configurer le fournisseur Syslog

    1. Accédez à Work Centers > PassiveID > Providers, choisissez Syslog Providers, cliquez sur Add et complétez les informations. Cliquez sur Save (enregistrer)

    Attention : dans ce cas, ISE reçoit le message syslog d'une connexion VPN réussie dans un ASA, mais ce document ne décrit pas cette configuration.

    Configurer le fournisseur SyslogConfigurer le fournisseur Syslog

    1. Cliquez sur En-tête personnalisé. Collez l'exemple de syslog et utilisez un séparateur ou une tabulation pour trouver le nom d'hôte du périphérique. S'il est correct, le nom d'hôte apparaît. Cliquez sur Save (enregistrer)

    Configurer un en-tête personnaliséConfigurer un en-tête personnalisé

    Étape 4. Configurer les règles d’autorisation

    1. Rendez-vous à Policy > Policy Sets (Politique > Ensembles de politiques). Dans ce cas, il utilise la stratégie par défaut. Cliquez sur la stratégie par défaut. Dans la Stratégie d'autorisation, ajoutez une nouvelle règle. Dans les politiques PassiveID, ISE a tous les fournisseurs. Vous pouvez combiner celui-ci avec un groupe PassiveID. Choisissez Permit Access as Profile, et dans Security Groups choisissez le SGT dont vous avez besoin.

    Configurer les règles d’autorisationConfigurer les règles d’autorisation

    Vérifier

    Une fois qu'ISE reçoit le Syslog, vous pouvez vérifier les journaux Radius Live pour voir le flux d'autorisation. Accédez à Operations > Radius > Live logs.

    Dans les journaux, vous pouvez voir l'événement Authorization. Celui-ci contient le nom d'utilisateur, la stratégie d'autorisation et la balise de groupe de sécurité qui lui sont associés.

    Journal Radius LiveJournal Radius Live

    Pour vérifier plus de détails, cliquez sur le rapport détaillé. Ici, vous pouvez voir le flux Authorize-Only qui évalue les stratégies pour attribuer le SGT.

    Rapport du journal Radius LiveRapport du journal Radius Live

    Dépannage

    Dans ce cas, il utilise deux flux : les sessions passiveID et le flux Authorization. Pour activer les débogages, accédez à Operations > Troubleshoot > Debug Wizard > Debug Log Configuration, puis choisissez le noeud ISE.

    Pour l'ID passif, activez les composants suivants au niveau DEBUG :

    • ID passif

    Pour vérifier les journaux, en fonction du fournisseur d'ID passif, le fichier à vérifier pour ce scénario, vous devez examiner le fichier passiveid-syslog.log, pour les autres fournisseurs :

    • passiveid-agent.log
    • passiveid-api.log
    • passiveid-endpoint.log
    • passiveid-span.log
    • phlébotome passif

    Pour le flux d'autorisation, activez les composants suivants au niveau DEBUG :

    • moteur politique
    • port-JNI

    Exemple :

    Débogages activésDébogages activés

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    17-Feb-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ruben De La Vega
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits