Introduzione
In questo documento viene descritto come configurare le licenze di Cisco Identity Service Engine 3.3 utilizzando Open API.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco ISE 3.3
- API REST
- Licenze software Smart
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco ISE 3.3
- Client API REST Insonnia.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Le licenze Cisco ISE consentono di gestire le funzionalità e l'accesso alle applicazioni, ad esempio il numero di endpoint attivi simultanei che possono usare le risorse di rete Cisco ISE in qualsiasi momento. Le licenze in Cisco ISE vengono fornite come pacchetti basati su funzionalità in cui ogni tipo di licenza supporta funzionalità diverse.
Cisco ISE è una soluzione basata su abbonamento. Le licenze Cisco ISE in abbonamento sono nidificate, ossia le licenze di livello superiore includono tutte le funzionalità di livello inferiore. Ad esempio, la licenza ISE Premier include tutte le funzionalità associate alle licenze ISE Advantage e ISE Essentials. Allo stesso modo, la licenza ISE Advantage include tutte le funzionalità associate alla licenza ISE Essentials. Con questo modello, è possibile acquistare direttamente licenze Premier o Advantage senza la necessità di una licenza Essentials.
Fasi iniziali
Abilita Open API su ISE
Open API è disabilitato per impostazione predefinita su ISE. Per abilitarlo, selezionare Amministrazione > Sistema > Impostazioni API > Impostazioni servizio API. Attivate o disattivate le opzioni di Open API. Fare clic su Salva.
Apri impostazioni API
Interfaccia utente Swagger
Per accedere a tutte le definizioni Open API su ISE, selezionare Amministrazione > Sistema > Impostazioni > Impostazioni API. Fare clic sul collegamento Per ulteriori informazioni su ISE Open API, visitare:.
Gli URL per la definizione da usare in questo documento sono: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License
Configurare le licenze utilizzando Open API
GET License - Stato livello
Per configurare la licenza, è necessario conoscere l'attributo di conformità utilizzando lo stato del livello, in quanto non è stata configurata alcuna licenza e l'attributo di conformità può essere impostato su Valutazione.
Metodo |
OTTIENI |
URL |
https://<ISE-PAN-IP>:443/api/v1/license/system/tier-state |
Tipo di autenticazione |
Base |
Credenziali |
Usa credenziali dell'account API aperto |
Intestazioni |
Accetta:application/json Content-Type:applicazione/json |
Autenticazione
Autenticazione livello-stato
Intestazioni
Intestazioni stato livello
Output previsto
Output previsto stato livello
GET Giorni rimanenti per licenza di valutazione
Per conoscere i giorni rimanenti per la licenza di valutazione, utilizzare questa chiamata API.
Metodo |
OTTIENI |
URL |
https://<ISE-PAN-IP>:443/api/v1/license/system/eval-license |
Tipo di autenticazione |
Base |
Credenziali |
Usa credenziali dell'account API aperto |
Intestazioni |
Accetta:application/json Content-Type:applicazione/json |
Autenticazione
Autenticazione licenza di valutazione
Intestazioni
Intestazioni licenze di valutazione
Output previsto
Output previsto della licenza di valutazione
Registra licenza
Nota: la creazione di token per Smart Licensing non rientra nell'ambito di questo documento.
Per registrare la licenza, è necessario immettere connectionType, registrationType e il livello.
Tipi di connessione:
- HTTP_DIRECT
- PROXY
- SSM_ONPREM_SERVER Se questo attributo è selezionato, è necessario dichiarare la chiave ssmOnPremServer e il valore.
- TRANSPORT_GATEWAY
Tipi di registrazione:
- ANNULLA REGISTRAZIONE
- REGISTRATI
- RINNOVO
- UPDATE
Livello:
- VANTAGGIO
- DEVICEADMIN
- ESSENZIALE
- PREMIER
- VM
Metodo |
POST |
URL |
https://<ISE-PAN-IP>:443/api/v1/license/system/register |
Tipo di autenticazione |
Base |
Credenziali |
Usa credenziali dell'account api aperto |
Intestazioni |
Accetta:application/json Content-Type:applicazione/json |
Corpo |
{ "connectionType": "PROXY", "registrationType": "REGISTER", "ssmOnPremServer": "CSSM28.demo.local", "tier": [ "ADVANTAGE", "DEVICEADMIN", "ESSENTIAL", "PREMIER", "VM" ], "token": "NzFjNjQyYWYtMjkyYS00OGJiLTkzNzYtNWY5Nzg5OTU4ZjhkLTE2MzE2MTM1%0AMTg4ODl8QU0wdWUzRmZXRnhBQzBWZldmTmZaTjFwdzdaZ0diVXpmU0hjTUVz%0AS0NYZz0%3D%0A" } |
Corpo
POST - Registrazione del testo della licenza
Autenticazione
POST - Registrazione dell'autenticazione della licenza
Intestazioni
POST - Registra intestazioni licenza
Output previsto
POST - Output previsto della registrazione della licenza
Verifica
GET - Registra informazioni sulla licenza
Per conoscere le coppie chiave-valore utilizzate per configurare la registrazione, utilizzare questa chiamata API.
Metodo |
OTTIENI |
URL |
https://<ISE-PAN-IP>:443/api/v1/license/system/register |
Tipo di autenticazione |
Base |
Credenziali |
Usa credenziali dell'account API aperto |
Intestazioni |
Accetta:application/json Content-Type:applicazione/json |
Autenticazione
GET - Registra autenticazione licenza
Intestazioni
GET - Registra intestazioni licenza
Output previsto
GET - Output previsto registrazione licenza
OTTIENI informazioni sulle licenze Smart
Per conoscere lo stato della connessione a Smart Licensing, utilizzare questa chiamata API.
Metodo |
OTTIENI |
URL |
https://<ISE-PAN-IP>:443/api/v1/license/system/register |
Tipo di autenticazione |
Base |
Credenziali |
Usa credenziali dell'account API aperto |
Intestazioni |
Accetta:application/json Content-Type:applicazione/json |
Autenticazione
Autenticazione delle informazioni di Smart Licensing
Intestazioni
Intestazioni informazioni sulle licenze Smart
Output previsto
Output previsto delle informazioni sulle licenze Smart
Verifica della licenza per ISE GUI
Per verificare la corretta installazione sulla GUI. Selezionare Amministrazione > Sistema > Licenze > Licenze.
Verifica GUI di Smart Licensing
Nota: le licenze sono state acquistate e rilasciate per l'uso, ma finora non sono state usate in questa implementazione di Cisco ISE. In uno scenario di questo tipo, il numero di consumi per la licenza è 0. Le licenze possono diventare conformi quando il conteggio dei consumi viene modificato da 0
Risoluzione dei problemi
Licenze
Da ISE selezionare Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selezionare il nodo di amministrazione principale (PAN) e fare clic su Modifica.
Filtrare il nome del componente in base alla licenza e alla licenza dell'amministratore, quindi selezionare il livello di log necessario. Fare clic su Salva.
Licenze di configurazione a livello di debug
- Dalla CLI di ISE PAN, i log sono disponibili all'indirizzo:
admin#show logging application ise-psc.log
- Dalla GUI di ISE, selezionare Operazioni > Risoluzione dei problemi > Log di download > Selezionare ISE PAN > Log di debug > Tipo di log di debug > Log applicazioni. Scaricare i file zip per ise-psc.log.
API aperta
Da ISE selezionare Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selezionare il nodo di amministrazione principale (PAN) e fare clic su Modifica.
Filtrare il nome del componente per apiservice e selezionare il livello di log necessario. Fare clic su Salva.
Debug Level Configuration Open API
- Dalla CLI di ISE PAN, i log sono disponibili all'indirizzo:
admin#show logging application api-service.log
- Dalla GUI di ISE, selezionare Operazioni > Risoluzione dei problemi > Log di download > Selezionare ISE PAN > Log di debug > Tipo di log di debug > Log applicazioni. Scaricare i file zip per api-service.log.
- Codici di risposta API e relativi significati possibili:
- 200 (OK): indica che l'API aperta ha eseguito l'azione desiderata.
- 201 (Creato): indica che la risorsa è stata creata e che la richiesta è stata completata.
- 400 (richiesta non valida): il server non è in grado di elaborare la richiesta. Errore di riconoscimento del client a causa di sintassi della richiesta non valida, parametri non validi e così via. Leggere i dettagli del messaggio, se disponibili.
- 401 (non autorizzato): indica che l'azione è stata eseguita con credenziali errate, senza credenziali o che l'account non è autorizzato a eseguire l'azione.
- 403 (accesso negato): indica che il server è in grado di comprendere la richiesta ma non è autorizzato.
- 404 (non trovato): indica che il server non è in grado di trovare la risorsa richiesta.
- 500 (errore interno del server): indica un problema sul lato server. L'accesso ad ISE può aiutare a capire la causa.
Informazioni correlate