Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

External Authentication

A maioria das Empresas implanta uma estrutura de Autentication escalável com um External Repository que armazena User Accounts e Attributes. Esse processo permite que vários sistemas acessem um único Database centralizado para solicitar as informações de que precisam. A External Identity Source é configurada de maneira redundante para fornecer uma solução de Authentication altamente disponível.

Ao configurar o Cisco ISE para usar uma External Identity Source, você deve considerar o seguinte:

• O Cisco ISE pode Authenticate Clients em uma única Authentication Source ou Sequential Authentication Sources.
• As External Authentication Sources suportadas incluem Active Directory (AD), Lightweight Directory Access Protocol (LDAP), RADIUS, Secure RSA Server e SAML Identity Providers. Você também pode Authenticate Users por meio de Certificate Services e Social Media Credentials.
• Você também pode usar um Database Service compatível com Open Database Connectivity (ODBC), como MySQL, Oracle ou Microsoft SQL Server. Para obter mais informações sobre como usar um Database compatível com ODBC como uma External Identity Source, consulte o capítulo Asset Visibility em Cisco Identity Services Engine Administrator Guide, Release 3.4 ou posterior.
• No Cisco ISE, você pode configurar Active Directory e LDAP Servers com endereços IPv4 ou IPv6 ao adicioná-los manualmente como um "IP Attribute" e Authenticating Users.
• O Cisco ISE não oferece suporte a Servers que estejam atrás de um Network Address Translator (NAT) ou tenham NAT Addresses. Para obter mais informações sobre os pré-requisitos para integrar o Microsoft Active Directory com o Cisco ISE, incluindo as Open Ports necessárias, consulte o capitulo Cisco ISE Port References em Cisco Identity Services Engine Installation Guide, Release 3.4 ou posterior.

Visão Geral do Active Directory

O Active Directory é um Repository para informações de Network User & Devices. É uma estrutura de Directory amplamente Distributed que contém Logical Groups de Users ou Devices em um formato hierárquico e permite que os Administrators atribuam permissões a Users, Network Devices e Object Groups.

Ao integrar o Cisco ISE com o Active Directory, esteja ciente de que o Active Directory exige um Time preciso. O Time no Cisco ISE e no Domain Controller deve estar dentro de 5 minutos um do outro. Se o Time no Cisco ISE for mais de 5 minutos diferente do Time do Active Directory, o ISE poderá ser removido do Domain e a Identity Verification poderá falhar. Recomendamos que você use a mesma fonte do Network Time Protocol (NTP) que o Active Directory usa.

Se você tiver um Firewall entre o Cisco ISE e o Active Directory, deverá garantir que ele não esteja bloqueando a comunicação entre o ISE e o Active Directory. Certifique-se de que todas as Ports relacionadas à comunicação do Active Directory estejam Open no Firewall e que o Network Address Translation (NAT) não esteja habilitado.

As informações de Identity são armazenadas no Active Directory como Individual Entities conhecidas como Objects. Os Objects representam Network Entities, como Servers, Printers, PCs e User Accounts. Essa Directory Structure permite que você agrupe Objects que compartilham Permissions, Functions ou Locations semelhantes. As Permissions de User e Device são baseadas em Corporate Policies configuradas.

O Active Directory usa uma Topology Structure em forma de Tree, similar ao Domain Name System (DNS). O Active Directory contém as seguintes hierarquias:

• Forest: o Top Level do Active Directory. Uma Forest contém uma ou mais Trees, e todos os Objects dentro da mesma Forest compartilham o mesmo Global Catalog, Directory Schema, Logical Structure e Directory Organization.
• Tree: uma Tree é uma coleção de um ou mais Domains que compartilham um Trusted Relationship.
• Domain: um Domain é um grupo de Objects que compartilham o mesmo Database. Um Domain pode conter vários Objects que são logicamente agrupados em Organizational Units.
• Organizational Unit: uma Organizational Unit é um agrupamento lógico de Objects dentro de um Domain. As Organizational Units são organizadas de acordo com o Network Design. Uma Organizational Unit pode ser uma coleção de Users no mesmo Corporate Group, Servers no mesmo Cluster, Printers no mesmo andar ou qualquer outro agrupamento que seja importante para sua Empresa.
• Object: um Object no Active Directory é qualquer User, PC, Network Server, Printer ou outro Device incorporado ao Directory.

Active Directory - Authentication Methods Suportados

O Active Directory fornece um método comum para Authenticating Network Access.

Ao usar o Active Directory como uma External Authentication Source, o Cisco ISE oferece suporte aos seguintes Authentication Protocols:

• PAP (Password Authentication Protocol)
• MS-CHAPv1 e MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol versions 1 & 2)
• Extensible Authentication Protocol (EAP-TLS, EAP-TTLS, LEAP, EAP-FAST, PEAP e EAP-GTC)

Integrando o Cisco ISE com o Active Directory

O Cisco ISE usa o Active Directory como uma External Identity Source para acessar recursos como Users, Machines, Groups e Attributes. Você pode configurar o Cisco ISE para autenticar Users e Machines.

Multidomain Join Points no Active Directory

O Cisco ISE oferece suporte à integração com vários Active Directory Domains sem exigir Trust Relationships entre os Domains.

A capacidade do Cisco ISE de unir Active Directory Servers independentes é chamada de Join Points. Você pode configurar relacionamentos One-Way Trust e usar várias Credentials para configurar esses Join Points.

O Cisco ISE oferece suporte à configuração de até 200x Active Directory Servers sem precisar estabelecer uma "Two-Way Trust" entre os Servers. Essa configuração permite que o Cisco ISE junte vários Domains simultaneamente, cada um com uma One-Way Trust, ignorando problemas de Permissions.

O recurso de Join de Multi Domain permite que você tenha um conjunto separado de Active Directory Domains, cada um com seus próprios Groups, Attributes, Authorization Policies correspondentes e várias condições para cada Join individual.

Identity Rewrite

Identity Rewrite (em Administration > Identity Management > External Identity Sources > Active Directory > selecione o Active Directory > clique em Advanced Settings) é um recurso avançado que permite ao Cisco ISE modificar o Username de um Incoming Request e enviá-lo ao Active Directory no formato necessário. Ele também pode Rewrite a Identity de um Certificate e manipular solicitações com Certificates provisionados incorretamente. As mesmas regras de Identity Rewrite podem ser aplicadas a Incoming Usernames ou Computer Names, tanto do Client quanto de dentro do Certificate.

A opção de Identity Rewrite pode resolver problemas de ambiguidade e permite que você inclua ou exclua o Domain Prefix ou qualquer outra marcação que desejar. Por exemplo, você pode reescrever domain1.local\msmith para msmith@domain.local.

Quando uma regra de Identity Rewrite é aplicada, a Subject Identity reconciliada é passada do componente de Identity Store do Cisco ISE para o Active Directory Conector para todas as interações dessa Session. Essas interações incluem Subject Searches, Authentications e Authorization Queries. O Cisco ISE corresponde aos Condition Tokens. Se o primeiro Token corresponder, o Policy Processing termina e a sequência de Identity é Rewrite com base nos resultados.

As regras de Identity Rewrite são sempre aplicadas dentro do contexto dos Active Directory Join Points. As regras de Rewrite são aplicadas a cada Active Directory Join Point, mesmo que o escopo seja selecionado como resultado de uma Authentication Policy.

Active Directory Diagnostics Tool

O Cisco ISE Diagnostics Tool (em Administration > Identity Management > External Identity Sources > Active Directory > Advanced Tools) serve como um guia passo a passo para Troubleshooting de problemas. Este Service é executado em todos os Cisco ISE Nodes que estão associados a um Active Directory Domain e pode executar testes para detectar problemas que podem causar problemas de funcionalidade ou desempenho.

Pode haver vários motivos pelos quais o Cisco ISE não consegue realizar um Join ou Authenticate no Active Directory. O Diagnostic Tool verifica se os pré-requisitos para conectar o Cisco ISE ao Active Directory estão configurados corretamente. Ela também detecta problemas com Networking, configuração de Firewall, Time Synchronization, User Authentication e outros.

Alguns dos testes realizados pelo Cisco ISE Diagnostic Tool são os seguintes:

• Kerberos check SASL connectivity to AD: Kerberos verifica a conectividade segura com o Active Directory usando o mecanismo Simple Authentication and Security Layer (SASL).
• Kerberos test bind and query to ROOT DSE: testa se um Anonymous User pode se vincular ao diretório ROOT DSE e consultar Properties dele.
• Kerberos test obtaining Join Point TGT: testa o processo de obtenção de TGT (Ticket Granting Tickets) em Join Points.

Para solucionar problemas usando o Cisco ISE Diagnostic Tool, acesse a interface de gerenciamento do ISE e execute as seguintes etapas:

1. Administration > Identity Management > External Identity Sources > Active Directory.
2. Clique Advanced Tools e selecione Diagnostics Tool
3. Selecione o Cisco ISE Node que voce deseja diagnosticar.
4. (Opcional) Selecione um Join Point específico. Se nenhum Join Point for selecionado, TODOS os Join Points serão testados.
5. Clique Run Tests Now
6. Depois que todos os testes forem concluídos, você pode clicar no link de resumo do teste para ver informações sobre os testes com status de Warning ou Failed.

Microsoft Entra ID (Azure AD)

Microsoft Entra ID é o novo nome do Azure AD. Os nomes Azure Active Directory, Azure AD e AAD são substituídos por Microsoft Entra ID.

Até o ISE 2.7, o Azure AD não era um Identity Store com suporte nativo.

O ISE 3.0+ suporta o Microsoft Entra ID.