Здравствуйте, команда! Мы собираемся развернуть Cisco ISE 3.0 с Azure AD. У клиента есть требование интегрировать устройства безопасности и сетевые устройства для аутентификации пользователей TACACS. Это решение возможно с Cisco ISE и Azure AD, поскольку, насколько я понимаю, между Cisco ISE и Azure AD работает только протокол ROPC. Пожалуйста, помогите. С уважением, Джитиш К. К.

]]>https://sla247.ru/forum/topic/2257/cisco-ise-30-с-развертыванием-azure-ad-аутентификация-пользователей-tacacsRSS for NodeFri, 15 May 2026 11:00:45 GMTMon, 02 Mar 2026 12:20:27 GMT60Опция «Сбой процесса» на самом деле не работала, поскольку вторичная аутентификация приводила к тому, что пользователь не находился, а не обязательно к сбою процесса. Поэтому единственный способ заставить ее «работать» — это «Пользователь не найден — продолжить», что в конечном итоге позволяет пройти любому пользователю с именем Bunk. Что, очевидно, не является вариантом... Рекомендуется использовать либо локальную MS AD, либо локальные учетные записи в ISE.

]]>https://sla247.ru/forum/post/15909https://sla247.ru/forum/post/15909Mon, 02 Mar 2026 12:20:41 GMTТехнически да, вы можете использовать хранилище идентификационных данных ROPC в политике аутентификации администратора устройства. Сеанс аутентификации пройдет успешно, но сеанс авторизации приведет к сбою процесса. Вы можете уменьшить вероятность сбоя процесса, настроив расширенную опцию «Если процесс завершился сбоем = ПРОДОЛЖИТЬ», но все равно не будет возможности различать авторизацию для разных уровней доступа администратора (например, чтение-запись и только чтение). Вы будете ограничены результатом политики авторизации по умолчанию.

]]>https://sla247.ru/forum/post/15908https://sla247.ru/forum/post/15908Mon, 02 Mar 2026 12:20:40 GMTПривет, Грег. Поддерживается ли аутентификация пользователей с ISE + Azure AD для tacacs (не авторизация) в ISE 3.2?

]]>https://sla247.ru/forum/post/15907https://sla247.ru/forum/post/15907Mon, 02 Mar 2026 12:20:39 GMTДа, он по-прежнему использует вызовы Graph API, поэтому будет подвержен этой ошибке.

]]>https://sla247.ru/forum/post/15906https://sla247.ru/forum/post/15906Mon, 02 Mar 2026 12:20:38 GMTНо согласны ли вы с тем, что, поскольку набор политик устройств будет использовать группу пользователей Entra ID в качестве части набора политик устройств, мы можем столкнуться с той же проблемой (
CSCws30603
)
, когда
ISE не может получить членство в группе пользователей, если пользователь принадлежит к более чем 20 группам.

]]>https://sla247.ru/forum/post/15905https://sla247.ru/forum/post/15905Mon, 02 Mar 2026 12:20:37 GMTПервым делом при возникновении подобных вопросов следует ознакомиться с примечаниями к выпуску, которые можно найти по адресу
https://cs.co/ise-docs Это новая функция ISE 3.5, которая подробно описана в этих
примечаниях к выпуску
. ![Screenshot 2026-02-23 at 9.01.27 am.png]

]]>https://sla247.ru/forum/post/15904https://sla247.ru/forum/post/15904Mon, 02 Mar 2026 12:20:36 GMT@Greg Gibbs
В версии 3.4 или 3.5 сейчас есть возможность внешней аутентификации для администрирования устройств с помощью Entra ID?

]]>https://sla247.ru/forum/post/15903https://sla247.ru/forum/post/15903Mon, 02 Mar 2026 12:20:35 GMTНет, в текущей версии ISE 3.2 это поведение не изменилось.

]]>https://sla247.ru/forum/post/15902https://sla247.ru/forum/post/15902Mon, 02 Mar 2026 12:20:34 GMTПоддерживается ли аутентификация/авторизация TACACS для сетевых устройств с ISE 3.2 и Azure AD?

]]>https://sla247.ru/forum/post/15901https://sla247.ru/forum/post/15901Mon, 02 Mar 2026 12:20:33 GMTКак я уже упоминал ранее в этой ветке:
«Набор политик администрирования устройств не поддерживает условия политики
авторизации
с использованием хранилища ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа к администрированию устройств».

]]>https://sla247.ru/forum/post/15900https://sla247.ru/forum/post/15900Mon, 02 Mar 2026 12:20:32 GMTЕсть ли способ пройти аутентификацию с помощью AzureAD и обработать авторизацию на Cisco ISE?

]]>https://sla247.ru/forum/post/15899https://sla247.ru/forum/post/15899Mon, 02 Mar 2026 12:20:31 GMTСпасибо, Томас, Можешь ли ты подтвердить, что TACACS можно использовать в версии ISE 3.0 с Azure AD?

]]>https://sla247.ru/forum/post/15898https://sla247.ru/forum/post/15898Mon, 02 Mar 2026 12:20:30 GMTИз руководства администратора ISE: Поставщик идентификации SAMLv2 в качестве внешнего источника идентификации SAML SSO поддерживается для следующих порталов:
Портал для гостей (спонсируемый и саморегистрируемый)
Портал спонсора
Портал «Мои устройства»
Портал предоставления сертификатов
Вы не можете выбрать IdP в качестве внешнего источника идентификации для портала BYOD, но можете выбрать IdP для гостевого портала и включить поток BYOD.
Cisco ISE совместим с
SAML
v2 и поддерживает все IdP, совместимые с
SAML
v2, которые используют сертификаты с кодировкой Base64. Перечисленные ниже IdP были протестированы с Cisco ISE:
Oracle Access Manager (OAM)
Oracle Identity Federation (OIF)
SecureAuth
PingOne
PingFederate
Azure Active Directory
IdP нельзя добавить в последовательность источников идентификации.

]]>https://sla247.ru/forum/post/15897https://sla247.ru/forum/post/15897Mon, 02 Mar 2026 12:20:29 GMTНабор политик администрирования устройств не поддерживает условия политики авторизации, использующие хранилище ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа администратора устройства.

]]>https://sla247.ru/forum/post/15896https://sla247.ru/forum/post/15896Mon, 02 Mar 2026 12:20:28 GMT