Configurazione di ISE Licensing con Open API

Introduzione

In questo documento viene descritto come configurare le licenze di Cisco Identity Service Engine 3.3 utilizzando Open API.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco ISE 3.3
• API REST
• Licenze software Smart

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Cisco ISE 3.3
• Client API REST Insonnia.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Le licenze Cisco ISE consentono di gestire le funzionalità e l'accesso alle applicazioni, ad esempio il numero di endpoint attivi simultanei che possono usare le risorse di rete Cisco ISE in qualsiasi momento. Le licenze in Cisco ISE vengono fornite come pacchetti basati su funzionalità in cui ogni tipo di licenza supporta funzionalità diverse.

Cisco ISE è una soluzione basata su abbonamento. Le licenze Cisco ISE in abbonamento sono nidificate, ossia le licenze di livello superiore includono tutte le funzionalità di livello inferiore. Ad esempio, la licenza ISE Premier include tutte le funzionalità associate alle licenze ISE Advantage e ISE Essentials. Allo stesso modo, la licenza ISE Advantage include tutte le funzionalità associate alla licenza ISE Essentials. Con questo modello, è possibile acquistare direttamente licenze Premier o Advantage senza la necessità di una licenza Essentials.

Fasi iniziali

Abilita Open API su ISE

Open API è disabilitato per impostazione predefinita su ISE. Per abilitarlo, selezionare Amministrazione > Sistema > Impostazioni API > Impostazioni servizio API. Attivate o disattivate le opzioni di Open API. Fare clic su Salva.

Apri impostazioni API

Interfaccia utente Swagger

Per accedere a tutte le definizioni Open API su ISE, selezionare Amministrazione > Sistema > Impostazioni > Impostazioni API. Fare clic sul collegamento Per ulteriori informazioni su ISE Open API, visitare:.

Gli URL per la definizione da usare in questo documento sono: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License 

Configurare le licenze utilizzando Open API

GET License - Stato livello

Per configurare la licenza, è necessario conoscere l'attributo di conformità utilizzando lo stato del livello, in quanto non è stata configurata alcuna licenza e l'attributo di conformità può essere impostato su Valutazione.

Autenticazione

Autenticazione livello-stato

Intestazioni

Intestazioni stato livello

Output previsto

Output previsto stato livello

GET Giorni rimanenti per licenza di valutazione

Per conoscere i giorni rimanenti per la licenza di valutazione, utilizzare questa chiamata API.

Autenticazione

Autenticazione licenza di valutazione

Intestazioni

Intestazioni licenze di valutazione

Output previsto

Output previsto della licenza di valutazione

Registra licenza

Nota: la creazione di token per Smart Licensing non rientra nell'ambito di questo documento.

Per registrare la licenza, è necessario immettere connectionType, registrationType e il livello.

Tipi di connessione:

• HTTP_DIRECT
• PROXY
• SSM_ONPREM_SERVER Se questo attributo è selezionato, è necessario dichiarare la chiave ssmOnPremServer e il valore.
  
• TRANSPORT_GATEWAY

Tipi di registrazione:

• ANNULLA REGISTRAZIONE
• REGISTRATI
• RINNOVO
• UPDATE

Livello:

• VANTAGGIO
• DEVICEADMIN
• ESSENZIALE
• PREMIER
• VM

{
"connectionType": "PROXY",
"registrationType": "REGISTER",
"ssmOnPremServer": "CSSM28.demo.local",
"tier": [
"ADVANTAGE", "DEVICEADMIN", "ESSENTIAL", "PREMIER", "VM"
],
"token": "NzFjNjQyYWYtMjkyYS00OGJiLTkzNzYtNWY5Nzg5OTU4ZjhkLTE2MzE2MTM1%0AMTg4ODl8QU0wdWUzRmZXRnhBQzBWZldmTmZaTjFwdzdaZ0diVXpmU0hjTUVz%0AS0NYZz0%3D%0A"
}

Corpo

POST - Registrazione del testo della licenza

Autenticazione

POST - Registrazione dell'autenticazione della licenza

Intestazioni

POST - Registra intestazioni licenza

Output previsto

POST - Output previsto della registrazione della licenza

Verifica

GET - Registra informazioni sulla licenza

Per conoscere le coppie chiave-valore utilizzate per configurare la registrazione, utilizzare questa chiamata API.

Autenticazione

GET - Registra autenticazione licenza

Intestazioni

GET - Registra intestazioni licenza

Output previsto

GET - Output previsto registrazione licenza

OTTIENI informazioni sulle licenze Smart

Per conoscere lo stato della connessione a Smart Licensing, utilizzare questa chiamata API.

Autenticazione

Autenticazione delle informazioni di Smart Licensing

Intestazioni

Intestazioni informazioni sulle licenze Smart

Output previsto

Output previsto delle informazioni sulle licenze Smart

Verifica della licenza per ISE GUI

Per verificare la corretta installazione sulla GUI. Selezionare Amministrazione > Sistema > Licenze > Licenze.

Verifica GUI di Smart Licensing

Nota: le licenze sono state acquistate e rilasciate per l'uso, ma finora non sono state usate in questa implementazione di Cisco ISE. In uno scenario di questo tipo, il numero di consumi per la licenza è 0. Le licenze possono diventare conformi quando il conteggio dei consumi viene modificato da 0

Risoluzione dei problemi

Licenze

Da ISE selezionare Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selezionare il nodo di amministrazione principale (PAN) e fare clic su Modifica.

Filtrare il nome del componente in base alla licenza e alla licenza dell'amministratore, quindi selezionare il livello di log necessario. Fare clic su Salva.

Licenze di configurazione a livello di debug

• Dalla CLI di ISE PAN, i log sono disponibili all'indirizzo:

admin#show logging application ise-psc.log

• Dalla GUI di ISE, selezionare Operazioni > Risoluzione dei problemi > Log di download > Selezionare ISE PAN > Log di debug > Tipo di log di debug > Log applicazioni. Scaricare i file zip per ise-psc.log.
  

API aperta

Da ISE selezionare Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selezionare il nodo di amministrazione principale (PAN) e fare clic su Modifica.

Filtrare il nome del componente per apiservice e selezionare il livello di log necessario. Fare clic su Salva.

Debug Level Configuration Open API

• Dalla CLI di ISE PAN, i log sono disponibili all'indirizzo:

admin#show logging application api-service.log

• Dalla GUI di ISE, selezionare Operazioni > Risoluzione dei problemi > Log di download > Selezionare ISE PAN > Log di debug > Tipo di log di debug > Log applicazioni. Scaricare i file zip per api-service.log.
• Codici di risposta API e relativi significati possibili:
  •    200 (OK): indica che l'API aperta ha eseguito l'azione desiderata.
  •    201 (Creato): indica che la risorsa è stata creata e che la richiesta è stata completata.
  •    400 (richiesta non valida): il server non è in grado di elaborare la richiesta. Errore di riconoscimento del client a causa di sintassi della richiesta non valida, parametri non validi e così via. Leggere i dettagli del messaggio, se disponibili.
  •    401 (non autorizzato): indica che l'azione è stata eseguita con credenziali errate, senza credenziali o che l'account non è autorizzato a eseguire l'azione.
  •    403 (accesso negato): indica che il server è in grado di comprendere la richiesta ma non è autorizzato.
  •    404 (non trovato): indica che il server non è in grado di trovare la risorsa richiesta.
  •    500 (errore interno del server): indica un problema sul lato server. L'accesso ad ISE può aiutare a capire la causa.

Informazioni correlate

• Supporto tecnico Cisco e download