Cisco ISE ROPC с Azure — EAP-TLS

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:43 GMT

Agung1007 — Mon, 02 Mar 2026 12:24:43 GMT

Метод OAuth-ROPC используется только для аутентификации на основе имени пользователя и пароля через
EAP-TTLS+PAP
. ==>
Да, мы уже пробовали следующий метод для EAP-TTLS (который использует только имя пользователя и пароль).
Для компьютеров с Windows (10, 11) и Android мы можем использовать этот метод,
но, к сожалению, когда мы пробуем его на устройствах Apple (Macbook и iPhone), мы не можем использовать EAP-TTLS (у Apple нет опции, позволяющей пользователю выбрать EAP-TTLS). Мы пытаемся найти другой способ реализации 802.1x с Azure, который будет поддерживаться всеми устройствами. Сейчас мы пробуем использовать
EAP-TLS. Я попробую сначала проверить по видео, которое вы поделились. Спасибо!

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:42 GMT

MSJ1 — Mon, 02 Mar 2026 12:24:42 GMT

@Greg Gibbs
Если кому-то понадобится ссылка Cisco по EAP-TLS Client Cert - EKU Type, она находится по нижеуказанному URL. Руководство администратора Cisco Identity Services Engine, версия 3.5 Клиентский сертификат EAP-TLS
должен иметь KeyUsage=Key Agreement и
ExtendedKeyUsage=Client
Authentication
для следующих шифров:
•
ECDHE-ECDSA-AES128-GCM-SHA256•
ECDHE-ECDSA-AES256-GCM-SHA384•
ECDHE-ECDSA-AES128-SHA256• ECDHE-ECDSA-AES256-SHA384
Клиентский сертификат EAP-TLS должен иметь KeyUsage=Key Encipherment и
ExtendedKeyUsage=Client
Authentication
для следующих шифров:
•
AES256-SHA256•
AES128-SHA256•
AES256-SHA•
AES128-SHA•
DHE-RSA-AES128-SHA•
DHE-RSA-AES256-SHA•
DHE-RSA-AES128-SHA256•
DHE-RSA-AES256-SHA256•
ECDHE-RSA-AES256-GCM-SHA384•
ECDHE-RSA-AES128-GCM-SHA256•
ECDHE-RSA-AES256-SHA384•
ECDHE-RSA-AES128-SHA256•
ECDHE-RSA-AES256-SHA•
ECDHE-RSA-AES128-SHA•
EDH-RSA-DES-CBC3-SHA•
DES-CBC3-SHA•
RC4-SHA• RC4-MD5

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:41 GMT

Greg Gibbs — Mon, 02 Mar 2026 12:24:41 GMT

Генерация CSR является частью потока SCEP. Обычно это делается с помощью MDM или другого прокси-решения SCEP. Варианты поиска идентификационных данных (пользователь = UPN, устройство = DeviceName или DeviceID) обсуждаются в моем блоге, который я ранее поделился (
https://cs.co/ise-entraid
). Вам необходимо будет посмотреть, как создавать сертификаты, подходящие для вашей конкретной среды. Для сертификатов на стороне клиента обычно требуется только аутентификация клиента. Вы можете увидеть пример в моем примере с использованием Intune и MS Cloud PKI.
[)

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:40 GMT

MSJ1 — Mon, 02 Mar 2026 12:24:40 GMT

Привет
[, @]
[ahollifield]
@Greg Gibbs
@thomas Согласен, что внутренний PKI может генерировать сертификат. Кто может генерировать CSR для PKI, чтобы создать сертификат? А также, можете ли вы поделиться параметрами сертификата (аутентификация клиента, аутентификация сервера, EKU, шифрование и т. д.), которые необходимо использовать при создании CSR для сертификата пользователя или устройства?

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:39 GMT

Greg Gibbs — Mon, 02 Mar 2026 12:24:39 GMT

В настоящее время Azure не имеет собственного облачного решения PKI. Сертификаты должны быть зарегистрированы для пользователей с помощью Intune, интегрированного с локальной службой Active Directory Certificate Services (ADCS) или другим решением, таким как
SCEPman
. Вы также можете ознакомиться с этим блогом, в котором обсуждаются доступные варианты и поддерживаемые потоки с ISE и Entra ID.
[Cisco ISE с Microsoft Active Directory, Azure AD и Intune]

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:38 GMT

thomas — Mon, 02 Mar 2026 12:24:38 GMT

Метод OAuth-ROPC используется только для аутентификации на основе имени пользователя и пароля через
EAP-TTLS+PAP
. Аутентификация на основе сертификата пользователя
EAP-TLS
осуществляется ISE на основе любого профиля аутентификации сертификата, после чего отдельно выполняется поиск группы Azure AD для имени пользователя (UPN) в сертификате. См.
раздел «Настройка Cisco ISE 3.2 EAP-TLS с Microsoft Azure Active Directory
». ![802.1X with EAP-TLS or TEAP to Azure AD.png] ![802.1X with EAP-TLS or TEAP to Azure AD - certificate.png] Рекомендуем посмотреть наш вебинар по ISE, в котором рассматривается эта и другие темы: ▷
Интеграция ISE с Intune MDM
02.08.2022 28:25
Аутентификация EAP-TLS в AD: компьютер или пользователь) (традиционный 802.1X с AD)
30:06
Аутентификация TEAP (EAP-TLS) в ISE 2.7+ для компьютера + пользователя (EAP-Chaining)
33:33
Аутентификация EAP-TLS с гибридным соответствием
AD+Azure
34:44
Аутентификация EAP-TLS с соответствием Azure
Intune
35:29
Аутентификация EAP-TTLS+PAP в ISE 3.0 (без GUID для Intune)
36:31
Аутентификация EAP-TLS с авторизацией Azure AD с соответствием Intune в ISE 3.2

Reply to Cisco ISE ROPC с Azure — EAP-TLS on Mon, 02 Mar 2026 12:24:37 GMT

ahollifield — Mon, 02 Mar 2026 12:24:37 GMT

Ваша собственная внутренняя PKI генерирует сертификаты. Как вы получите сертификаты идентификации на компьютер, решать вам. Большинство клиентов, с которыми я работаю, используют для этого ADCA и InTune.