annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Community Live 30 Juin
3149
Visites
0
Compliment
11
Réponses
Modérateur Cisco
Frequent Contributor

Demandez-moi N'importe Quoi - Microsoft Azure / AD : Intégration sans heurts avec Cisco ISE

banner_fr_lp_AMA_900x150_jpujol_mar_2021.png

Suite à l'événement du mardi 9 mars, nous avons ouvert ce forum "Demandez-moi N'importe Quoi" pour vous permettre de soumettre des nouvelles questions, qui auraient ne pas pu être posées durant la séance en direct. *Si vous voulez revoir l’événement, veuillez cliquer ici : Voir les détails | Regarder la vidéo | Questions séance live

Notre Expert

Photo_JeanFrancois_Pujol_100x140px.png

Jean-François Pujol est Technical Solutions Architect chez Cisco Suisse et couvre les sujets de sécurité et de mobilité (Wireless). Régulièrement impliqué dans les études de site, la conception et les activités avancées de dépannage sans fil, Jean-François est reconnu comme Certified CISSP Information Systems Security Professional (2005) et assiste aux principaux événements et conférences sur la Sécurité en Suisse (CLUSIS, OWASP, GRIFES, etc.).


Posez vos questions ! Toutes les questions par rapport au Community Live de Microsoft Azure / AD : Intégration sans heurts avec Cisco ISE seront répondues par Jean François et Polo : structure, licences, compatibilité, paramétrages, fonctionnalités avancées, et meilleures pratiques.

Posez vos questions du 9 au 12 mars 2021

(Cliquez sur le bouton de "Répondre" pour poser vos questions)
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

11 RÉPONSES 11
Modérateur Cisco
Frequent Contributor

Bonjour @jpujol et @learroyo 

Voici quelque questions qui sont en attente de réponse:

Q1 : Le thème de la présentation du jour concerne MS Azure... Est-il possible d'envisager qq chose de similaire dans AWS ? - Christophe @ChrisMialon 

Bonjour @ChrisMialon ,

 

Nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en oeuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ...mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum.

Merci de ta participation !

Modérateur Cisco
Frequent Contributor

Bonjour @bdube 

Est-ce que vous pouvez préciser s.v.p.

Q4 : Et qu'en est-il avec PEAP(MS-CHAPv2)? - Benoît

R4 - Polo Arroyo : Bonjour Benoît. Pourriez-vous être plus précis avec votre question? Je ne comprends pas.

Bonjour @bdube , 

 

L'échange basé sur PEAP(MS-CHAPV2) consiste à construire un hash avec un jeton aléatoire et le mot de passe de l'utilisateur  : cela demande un échange spécifique entre le client et le serveur AD pour construire le jeton, et vérifier le résultat à l'arrivée; Azure AD dans le cloud ne supporte pas cet échange, donc on ne peut pas implémenter ce mécanisme dans l'état, malheureusement.

 

Merci de ta participation !

Modérateur Cisco
Frequent Contributor

Q8 : Est-ce que nous considérons ISE cloud sur AWS et Google cloud dans le futur ? - Sylvain @sdenonco 

Bonjour Sylvain, @sdenonco 

 

Si la question concerne la possibilité de déployer ISE dans AWS aujourd'hui, c'est déjà possible sous forme d'une image VMware dans AWS (VMware cloud in Amazon Web Services ). Pour Google Cloud, ce n'est pas encore le cas, mais si la demande est là, je pense que les product managers considérerons le besoin : n'hésite pas à faire part de ta remarque ici : http://cs.co/ise-feedback 

Concernant un autre sujet de séminaire, nous pourrions faire une session sur ce thème, mais à part le support et le retour d'expérience sur la mise en oeuvre, on ne pourrait pas aborder de sujet applicatif (comme l'intégration avec une directory), ce serait plus court ...mais on pourrait grouper le thème avec autre chose. Je vais en discuter avec Jimena qui anime le forum.

Merci de ta participation !

Modérateur Cisco
Frequent Contributor

Q9 : Est-ce que ISE connecte sur ADFS pourrait permettre PEAP-MSCHAPv2 et le support du MFA fait par ADFS? - Danny @dphaneuf 

 

Bonjour @dphaneuf ,

 

Lorsque l'on fait un lien de ISE vers ADFS, c'est pour permettre une authentification de type SAML dans les portails web admin, WebAuth ou Guest d'ISE : dans ce cas, l'authentification n'utilise pas le mécanisme MS-CHAPv2; Par contre, la version 3.0 qui permet de faire du MFA avec Azure AD doit logiquement fonctionner aussi avec ADFS, bien que je n'ai pas vérifié ce point. Pour continuer à réaliser une authentification de type MS-CHAPv2, il faut un serveur AD dans le réseau, ce que Microsoft propose avec une synchronisation possible vers le cloud Azure.

 

Merci d'avoir suivi la session !

Modérateur Cisco
Frequent Contributor

Q10 : Est ce qu'il est possible d'utiliser le mode APIC? - Laurent @r.laurent 

Modérateur Cisco
Frequent Contributor

Q11 : Je voulais parler de l'ISE-PIC. - Laurent @r.laurent 

Bonjour Laurent @r.laurent ,

 

ISE-PIC est un sous-ensemble de la plate-forme ISE qui permet de partager la relation (@IP - username) dans le réseau, en se référant à l'authentification qu'un utilisateur réalise dans l'Active Directory au moment du login sur son poste (ISE-PIC récupère le message de connexion depuis le controleur AD). 

 

Si l'utilisateur se connecte dans le cloud à travers Azure-AD, le processus devient plus complexe à suivre, et pour l'instant, ce processus n'est pas pris en compte par ISE-PIC, ni par ISE non plus. Il faudrait qu'Azure AD enregistre l'adresse privée du poste (c'est ce qui nous intéresse pour le suivi de l'utilisateur dans le réseau), et je ne suis pas sûr que ce soit possible, ou implémenté par Microsoft aujourd'hui. 

 

Merci de ta participation !

Créer
Reconnaître d'autres membres
Content for Community-Ad

Vidéo - Webcast Security de Juin 2019