Cisco ISE 3.0 с развертыванием Azure AD — аутентификация пользователей TACACS
-
Здравствуйте, команда! Мы собираемся развернуть Cisco ISE 3.0 с Azure AD. У клиента есть требование интегрировать устройства безопасности и сетевые устройства для аутентификации пользователей TACACS. Это решение возможно с Cisco ISE и Azure AD, поскольку, насколько я понимаю, между Cisco ISE и Azure AD работает только протокол ROPC. Пожалуйста, помогите. С уважением, Джитиш К. К.
-
Набор политик администрирования устройств не поддерживает условия политики авторизации, использующие хранилище ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа администратора устройства.
-
Из руководства администратора ISE: Поставщик идентификации SAMLv2 в качестве внешнего источника идентификации SAML SSO поддерживается для следующих порталов:
Портал для гостей (спонсируемый и саморегистрируемый)
Портал спонсора
Портал «Мои устройства»
Портал предоставления сертификатов
Вы не можете выбрать IdP в качестве внешнего источника идентификации для портала BYOD, но можете выбрать IdP для гостевого портала и включить поток BYOD.
Cisco ISE совместим с
SAML
v2 и поддерживает все IdP, совместимые с
SAML
v2, которые используют сертификаты с кодировкой Base64. Перечисленные ниже IdP были протестированы с Cisco ISE:
Oracle Access Manager (OAM)
Oracle Identity Federation (OIF)
SecureAuth
PingOne
PingFederate
Azure Active Directory
IdP нельзя добавить в последовательность источников идентификации. -
Спасибо, Томас, Можешь ли ты подтвердить, что TACACS можно использовать в версии ISE 3.0 с Azure AD?
-
Есть ли способ пройти аутентификацию с помощью AzureAD и обработать авторизацию на Cisco ISE?
-
Как я уже упоминал ранее в этой ветке:
«Набор политик администрирования устройств не поддерживает условия политики
авторизации
с использованием хранилища ROPC Azure AD. Таким образом, вы не можете сопоставлять группы AzureAD для дифференцированного доступа к администрированию устройств». -
Поддерживается ли аутентификация/авторизация TACACS для сетевых устройств с ISE 3.2 и Azure AD?
-
Нет, в текущей версии ISE 3.2 это поведение не изменилось.
-
@Greg Gibbs
В версии 3.4 или 3.5 сейчас есть возможность внешней аутентификации для администрирования устройств с помощью Entra ID? -
Первым делом при возникновении подобных вопросов следует ознакомиться с примечаниями к выпуску, которые можно найти по адресу
https://cs.co/ise-docs Это новая функция ISE 3.5, которая подробно описана в этих
примечаниях к выпуску
. ![Screenshot 2026-02-23 at 9.01.27 am.png]
-
Но согласны ли вы с тем, что, поскольку набор политик устройств будет использовать группу пользователей Entra ID в качестве части набора политик устройств, мы можем столкнуться с той же проблемой (
CSCws30603
)
, когда
ISE не может получить членство в группе пользователей, если пользователь принадлежит к более чем 20 группам. -
Да, он по-прежнему использует вызовы Graph API, поэтому будет подвержен этой ошибке.
-
Привет, Грег. Поддерживается ли аутентификация пользователей с ISE + Azure AD для tacacs (не авторизация) в ISE 3.2?
-
Технически да, вы можете использовать хранилище идентификационных данных ROPC в политике аутентификации администратора устройства. Сеанс аутентификации пройдет успешно, но сеанс авторизации приведет к сбою процесса. Вы можете уменьшить вероятность сбоя процесса, настроив расширенную опцию «Если процесс завершился сбоем = ПРОДОЛЖИТЬ», но все равно не будет возможности различать авторизацию для разных уровней доступа администратора (например, чтение-запись и только чтение). Вы будете ограничены результатом политики авторизации по умолчанию.
-
Опция «Сбой процесса» на самом деле не работала, поскольку вторичная аутентификация приводила к тому, что пользователь не находился, а не обязательно к сбою процесса. Поэтому единственный способ заставить ее «работать» — это «Пользователь не найден — продолжить», что в конечном итоге позволяет пройти любому пользователю с именем Bunk. Что, очевидно, не является вариантом... Рекомендуется использовать либо локальную MS AD, либо локальные учетные записи в ISE.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти