Как мы уже обсуждали, Authentication - это процесс проверки удостоверения личности.

Когда водителя на дороге останавливает полицейский, он проверяет водительские права: проверяет фотографию, печать, срок действия, на компьютере "пробивает" по базе.
После того как все проверки (идентификации) прошли успешно, можно считать что аутентификация прошла успешно.

И есть большое отличие между Authentication и Authorization.
Приведём еще пример: предположим мы пришли в банк с паспортом и банковской книжкой.
Офисный работник проверяет паспорт и удостоверяется что он ваш, т.е. вы успешно проходите аутентификацию. Но это вовсе не означает что после сверки паспорта вам выдадут какую-то сумму денег. Для этого сотрудник банка должен выполнить следующий шаг: проверить ваш счет или банковскую книжку, т.е. выполнить Authorization.

Authentication Policy

Цель Authentication Policy, как следует из названия - произвести Authentication request. В случае успеха отдать на обработку в Authorization policies. В случае неуспеха ответить отказом.

1. Проверить и принять только разрешённые протоколы аутентификации. Существуют различные authentication protocols со своими плюсами и минусами. Поэтому выбор конкретного протокола зависит от конкретной ситуации.
2. Выбрать для проверки нужный identity store. (например локальное хранилище или AD)
3. Произвести Validate Identity (проверка username и password, проверка сертификатов и т.д.)
4. Отдать на обработку в в Authorization policies

Понятие Authentication Policy

Authentication Policy расположены здесь:
Policy > Authentication

ISE как и ACS 5.x основаны на политиках. Это подобно access-lists, политики - это список правил, которые обрабатываются в порядке нумерации или с начала до конца.
Политикам характерно правило "first-match", т.е. если условия какого-либо правила удовлетворяют запросу, то это правило активируется, а ниже стоящие правила уже не проверяются.

По умолчанию тут уже создано пара политик.

Здесь MAB (MAC Authentication Bypass) - используется для разрешения доступа "тупых" устройств, не умеющих применять Dot1.x.

Смысл этих правил в том, что они по атрибутам RADIUS распознают характер запроса.
В случае если это Wired_MAB или Wireless_MAB, для них необходимо просмотреть Identity Store Internal Endpoints.
В случае если это Wired_802.1X или Wireless_802.1X, для них просматривается All_User_ID_Stores.

Пример создания authentication policy Wireless SSID

Данная политика позволит нам определённый SSID аутентифицировать определёнными протоколами:

• Правило применять только для SSID "ONE"
• Разрешать только EAP-FAST authentications
• Использовать EAP chaining
• Аутентифицировать в AD

Создаём новую Allowed Protocols:

В итоге у нас получится правило.