ISE 2.3 Guest Portal met OKTA SAML configureren

Inleiding

In dit document wordt beschreven hoe Identity Services Engine (ISE) moet worden geïntegreerd in OKTA om een Security Assertion Markup Language Single Sign-On (SAML SSO) verificatie te maken voor het gastportaal.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Gastservices van Cisco Identity Services Engine 
• SAML SSO. 
• (optioneel) configuratie van draadloze LAN Controller (WLC).

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Identity Services Engine 2.3.0.298
• OKTA SAML SSO-toepassing
• Cisco 5500 draadloze controller versie 8.3.14.0
• Lenovo Windows 7

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

Federale SSO

Een gebruiker binnen een organisatie kan één keer authenticeren en dan toegang tot meerdere bronnen hebben. Deze identiteit die door organisaties wordt gebruikt wordt gefedereerd genoemd.

Het concept federatie:

• Beginsel: Eindgebruiker (degene die om een service vraagt), webbrowser, in dit geval, is het eindpunt.
• Serviceprovider: soms een relying Party (RP) genoemd, het systeem dat een dienst verleent, in dit geval ISE.
• Identiteitsaanbieder (IDP): die de echtheidscontrole, het autorisatieresultaat en de eigenschappen beheren die teruggestuurd worden naar SP, in dit geval OKTA.
• Verklaring: de gebruikersinformatie die door IDP naar SP wordt verzonden.

Verschillende protocollen implementeren SSO's zoals OAuth2 en OpenID. ISE gebruikt SAML.

SAML is een XML-gebaseerd kader dat het gebruik en de uitwisseling van SAML-beweringen op veilige wijze tussen zakelijke entiteiten beschrijft. De standaard beschrijft de syntaxis en de regels om deze beweringen aan te vragen, te maken, te gebruiken en te ruilen.

ISE gebruikt SP geïnitieerde modus. De gebruiker wordt naar het portal voor schoonmaken verwezen en ISE stuurt het naar IDP om het te bevestigen. Daarna gaat het terug naar ISE. Het verzoek wordt gevalideerd, en de gebruiker gaat, afhankelijk van de configuratie van de portal, verder met de toegang tot of het instappen van een gast.

Netwerkstroom

1. De gebruiker sluit zich aan op SSID en de authenticatie is mac filteren (mab).
   
   
2. ISE antwoordt terug met toegang-accepteert dat eigenschappen Redirect-URL en Redirect-ACL bevat
   
3. Gebruiker probeert toegang te krijgen tot www.facebook.com.
   
4. WLC intercepteert het verzoek en stuurt de gebruiker terug naar het ISE gastportaal, de gebruiker klikt op de werknemerstoegang om het apparaat met SSO geloofsbrieven te registreren.
   
5. ISE wijst de gebruiker terug naar OKTA-toepassing voor authenticatie.
   
6. Na succesvolle authenticatie stuurt OKTA de SAML-aanmaningsreactie naar de browser.
   
7. browser geeft de aanname terug aan ISE.
   
8. ISE verifieert de assertiereactie en als de gebruiker correct geauthentiseerd is, gaat deze naar de AUP en dan met apparaatregistratie.

Controleer de onderstaande link voor meer informatie over SAML

https://developer.okta.com/standards/SAML/

Configureren

Stap 1. Configureer de SAML Identity Provider en Guest portal op ISE.

1. Maak een externe identiteitsbron klaar.

Stap 1. Navigeer naar Administratie > Externe Identiteitsbronnen > SAML ID Providers.

 Stap 2. Wijs een naam aan de leverancier toe en breng de configuratie naar voren.

2. Maak een portal voor SSO.

Stap 1. Maak het portaal dat aan OKTA is toegewezen als identiteitsbron. Elke andere configuratie voor BYOD, apparaatregistratie, Guest, enz. is precies hetzelfde als voor een normaal portaal. In dit document wordt de portal in kaart gebracht bij de portal, omdat het een andere inlognaam is voor werknemer.

Stap 2. Navigeer naar werkcentra > Toegang voor gasten > Portals & Componenten en maak het portal aan.

Stap 3. Kies de authenticatiemethode om naar de eerder geconfigureerde Identity Provider te wijzen.

Stap 4. Kies de OKTA-bron als een authenticatiemethode.

(optioneel) kies de BYOD-instellingen.

Stap 5. Save the portal Configuration, met BYOD ziet de stroom er als volgt uit:

3. Alternatieve aanmelding configureren

Opmerking: U kunt dit onderdeel overslaan als u de inlognaam voor alternatief niet gebruikt.

Navigeren in naar de selfregistration Guest Portal of een ander portal dat aangepast is voor gastentoegang.

Als u een loginpagina-instellingen wilt toevoegen, kunt u ook een andere inlogportal toevoegen: OKTA_SSO.

Dit is nu de poortstroom.

Stap 2. Configuratie van OKTA-toepassing en van SAML-identiteitsproviders.

1. Maak OKTA-toepassing.

Stap 1. Meld u aan bij de OKTA-website met een beheeraccount.

Stap 2. Klik op Add Application.

Stap 3. Maak een nieuwe app, kies deze om SAML2.0 te zijn

Algemene instellingen

Stap 4. Download het certificaat en installeer het in ISE Trusted Certificates.

2. ExportSP-informatie van SAML Identity Provider.

Navigeer naar de eerder gevormde Identity Provider. Klik op Service Provider Info en voer deze uit, zoals in de afbeelding.

De geëxporteerde zip-map bevat XML-bestand en readme.txt

Voor sommige aanbieders van Identiteiten kun je XML direct importeren, maar in dit geval moet het handmatig importeren.

• Enkelvoudige aanmelding URL (kleine bewering)
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• ID SP-entiteit

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

De SSO-URL is beschikbaar in ip-adres en FQDN-indeling.

Voorzichtig: De selectie van de bestandsindeling is afhankelijk van de instellingen voor het doorsturen van een autorisatieprofiel. Als u statische ip gebruikt, moet u het IP-adres voor de SSO-URL gebruiken.

3. Instellingen OKTA SAML.

Stap 1. Voeg deze URL’s toe op SAML-instellingen.

Stap 2. U kunt meer dan één URL van het XML bestand toevoegen, gebaseerd op het aantal PSN's dat deze service ontvangt. Naam en gebruikersnaam zijn afhankelijk van uw ontwerp.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Stap 3. Klik op Volgende en kies de tweede optie.

 4. metagegevens uit de toepassing exporteren.

metagegevens:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Sla het bestand in XML-indeling op.

5. Gebruikers aan de applicatie toewijzen.

Er is een manier om gebruikers aan deze toepassing toe te wijzen. De toepassing wordt uitgelegd in: okta-actieve fabriek

6. Metagegevens importeren van IP naar ISE.

Stap 1. Onder SAML Identity Provider , selecteer Identity Provider Config. en Importeer metagegevens.

Stap 2. Bewaar de configuratie.

Stap 3.CWA-configuratie.

Dit document beschrijft de configuratie voor ISE en WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Voeg URLs in Redirect-ACL toe.

https://cisco-yalbikaw.okta.com  / voeg uw toepassing-URL toe

https://login.okta.com

Verifiëren

Test het portal en controleer of u de OKTA-toepassing kunt bereiken

Stap 1. Klik op de portal-test, dan moet u naar de SSO-toepassing worden teruggestuurd.

Stap 2. Controleer de informatieverbinding op <toepassingsnaam>

Stap 3. Als u de aanmeldingsgegevens invoert die u een slecht verzoek ziet, betekent dit niet noodzakelijkerwijs dat de configuratie op dit punt fout is.

Verificatie van eindgebruikers

 ISE-verificatie 

Controleer het levensbestand om de authenticatiestatus te controleren.

Problemen oplossen

 OKTA-probleemoplossing

Stap 1. Controleer de logbestanden in het tabblad Rapporten.

Stap 2. Bekijk ook de bijbehorende logbestanden.

ISE-probleemoplossing

Er zijn twee logbestanden om te controleren

• ise-psc.log
•  gastarts 

Navigeer naar Administratie > Systeem > Vastlegging > Logconfiguratie > Debug Log configuratie. Schakel het niveau in op DEBUG.

SAML	ise-psc.log
Guestaccess	gastarts
Portal	gastarts

In de tabel wordt de component debug en het corresponderende logbestand weergegeven.

Gemeenschappelijke problemen en oplossingen

Scenario 1. Slecht verzoek van SAML.

Deze fout is generiek, controleer de logbestanden om de stroom te controleren en specificeer de kwestie. Op ISE gaste.log:

ISE# toont bloggingstoepassing voor.log | laatste 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

ISE heeft de gebruiker met succes omgeleid naar IDP. Er verschijnt echter geen reactie op ISE en het slechte SAML verzoek. Identificeer dat OKTA ons SAML-verzoek hieronder niet accepteert, is het verzoek.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Controleer de aanvraag opnieuw en misschien zijn er wijzigingen aangebracht.

De SSO-URL gebruikt IP-adres, echter, gast stuurt FQDN zoals we in het verzoek boven de laatste regel kunnen zien bevat SEMI_DELIMITER<FQDN> om dit probleem op te lossen en het IP-adres naar FQDN te veranderen op OKTA-instellingen.

Scenario 2. "Er was een probleem bij de toegang tot de site. Neem contact op met de helpdesk om hulp te bieden".

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

Op basis van de blogs meldt ISE dat de verklaring niet juist is. Controleer de OKTA-URI met het publiek of deze overeenkomt met de SP-status om deze op te lossen.

Scenario 3. Wanneer u opnieuw naar de pagina Blanken wijst, wordt de inlogoptie niet weergegeven.

Het hangt af van de omgeving en de poortconfiguratie. In dit soort probleem moet u de OKTA-toepassing controleren en welke URL er voor nodig is om te authentiseren. Klik op de portal test en controleer vervolgens elementen om te controleren welke websites bereikbaar moeten zijn.

In dit scenario zijn slechts twee URL’s: toepassingen en inloggen.okta.com - deze moeten op de WLC zijn toegestaan.

Gerelateerde informatie 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com