Cisco ISE 3.0 с развертыванием Azure AD — аутентификация пользователей TACACS

Greg Gibbs

Набор политик администрирования устройств не поддерживает условия политики авторизации, использующие хранилище ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа администратора устройства.

thomas

Из руководства администратора ISE: Поставщик идентификации SAMLv2 в качестве внешнего источника идентификации SAML SSO поддерживается для следующих порталов:
Портал для гостей (спонсируемый и саморегистрируемый)
Портал спонсора
Портал «Мои устройства»
Портал предоставления сертификатов
Вы не можете выбрать IdP в качестве внешнего источника идентификации для портала BYOD, но можете выбрать IdP для гостевого портала и включить поток BYOD.
Cisco ISE совместим с
SAML
v2 и поддерживает все IdP, совместимые с
SAML
v2, которые используют сертификаты с кодировкой Base64. Перечисленные ниже IdP были протестированы с Cisco ISE:
Oracle Access Manager (OAM)
Oracle Identity Federation (OIF)
SecureAuth
PingOne
PingFederate
Azure Active Directory
IdP нельзя добавить в последовательность источников идентификации.

Jithishkk1514

Спасибо, Томас, Можешь ли ты подтвердить, что TACACS можно использовать в версии ISE 3.0 с Azure AD?

kirk.thibodeaux

Есть ли способ пройти аутентификацию с помощью AzureAD и обработать авторизацию на Cisco ISE?

Greg Gibbs

Как я уже упоминал ранее в этой ветке:
«Набор политик администрирования устройств не поддерживает условия политики
авторизации
с использованием хранилища ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа к администрированию устройств».

hasitha siriwardhana

Поддерживается ли аутентификация/авторизация TACACS для сетевых устройств с ISE 3.2 и Azure AD?

Greg Gibbs

Нет, в текущей версии ISE 3.2 это поведение не изменилось.

MSJ1

@Greg Gibbs
В версии 3.4 или 3.5 сейчас есть возможность внешней аутентификации для администрирования устройств с помощью Entra ID?

Greg Gibbs

Первым делом при возникновении подобных вопросов следует ознакомиться с примечаниями к выпуску, которые можно найти по адресу
https://cs.co/ise-docs Это новая функция ISE 3.5, которая подробно описана в этих
примечаниях к выпуску
. ![Screenshot 2026-02-23 at 9.01.27 am.png]

MSJ1

Но согласны ли вы с тем, что, поскольку набор политик устройств будет использовать группу пользователей Entra ID в качестве части набора политик устройств, мы можем столкнуться с той же проблемой (
CSCws30603
)
, когда
ISE не может получить членство в группе пользователей, если пользователь принадлежит к более чем 20 группам.

Greg Gibbs

Да, он по-прежнему использует вызовы Graph API, поэтому будет подвержен этой ошибке.

emgalanme

Привет, Грег. Поддерживается ли аутентификация пользователей с ISE + Azure AD для tacacs (не авторизация) в ISE 3.2?

Greg Gibbs

Технически да, вы можете использовать хранилище идентификационных данных ROPC в политике аутентификации администратора устройства. Сеанс аутентификации пройдет успешно, но сеанс авторизации приведет к сбою процесса. Вы можете уменьшить вероятность сбоя процесса, настроив расширенную опцию «Если процесс завершился сбоем = ПРОДОЛЖИТЬ», но все равно не будет возможности различать авторизацию для разных уровней доступа администратора (например, чтение-запись и только чтение). Вы будете ограничены результатом политики авторизации по умолчанию.

steve.berglund

Опция «Сбой процесса» на самом деле не работала, поскольку вторичная аутентификация приводила к тому, что пользователь не находился, а не обязательно к сбою процесса. Поэтому единственный способ заставить ее «работать» — это «Пользователь не найден — продолжить», что в конечном итоге позволяет пройти любому пользователю с именем Bunk. Что, очевидно, не является вариантом... Рекомендуется использовать либо локальную MS AD, либо локальные учетные записи в ISE.