ISE 3.1 Admin Log in Flow configureren via SAML SSO met Azure AD

Downloadopties

  • PDF     (2.9 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.8 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 augustus 2024
Document-id:217342

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u Cisco ISE 3.1 SAML SSO-integratie kunt configureren met een externe identiteitsprovider zoals Azure Active Directory (AD).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    1. Cisco ISE-lijnkaart 3.1
    2. SAML SSO-implementaties
    3. Azure AD

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    1. Cisco ISE-lijnkaart 3.1
    2. Azure AD

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    BEGRIPPEN:

    Identity Provider (IDp) :

    de autoriteit Azure AD die een gebruikersidentiteit en toegangsrechten tot een gevraagde bron verifieert en bevestigt (de Serviceprovider).

    Serviceprovider (SP):

    de gehoste bron of service waartoe de gebruiker toegang wil krijgen (de ISE-toepassingsserver).

    SAML

    Security Assertion Markup Language (SAML) is een open standaard die IdP toestaat om aanmeldingsgegevens door te geven aan SP.

    SAML-transacties maken gebruik van Extensible Markup Language (XML) voor gestandaardiseerde communicatie tussen de identiteitsprovider en serviceproviders.

    SAML is de koppeling tussen de authenticatie van een gebruikersidentiteit en de autorisatie voor het gebruik van een dienst.

    SAML Assertion

    Een SAML Assertion is het XML-document dat de identiteitsprovider verstuurt naar de serviceprovider die de gebruikersautorisatie bevat.

    Er zijn drie verschillende typen SAML Assertions - authenticatie, attribuut en autorisatiebesluit.

    • Verificatiebeweringen bewijzen de identificatie van de gebruiker en geven de tijd aan dat de gebruiker is ingelogd en welke verificatiemethode hij heeft gebruikt (Kerberos, twee-factor, als voorbeelden)
    • De attributie bewering geeft de SAML attributen, specifieke stukken gegevens die informatie over de gebruiker geven, door aan de dienstverlener.
    • In een autorisatiebesluit wordt verklaard of de gebruiker geautoriseerd is om de service te gebruiken of of dat de identificatieprovider hun verzoek heeft afgewezen vanwege een wachtwoordfout of gebrek aan rechten op de service.

    Flow Diagram op hoog niveau

    SAML werkt door informatie over gebruikers, logins en attributen door te geven tussen de identiteitsprovider, Azure AD en de serviceprovider, ISE.

    Elke gebruiker logt eenmaal in bij een Single Sign-On (SSO) met de identiteitsprovider, dan geeft de Azure AD-provider de SAML-kenmerken door aan ISE wanneer de gebruiker probeert toegang te krijgen tot die diensten.

    ISE vraagt autorisatie en verificatie aan bij Azure AD zoals in de afbeelding.

    ISE 3.1 SSO - overzichtsdiagram

    SAML SSO-integratie configureren met Azure AD

    Stap 1. SAML Identity Provider configureren op ISE

    1. Azure AD configureren als externe SAML Identity Source

    Ga op ISE naar Administration > Identity Management > Externe Identity Sources > SAML ID Providers en klik op de knop Add.

    Voer de naam van de ID-provider in en klik op Indienen om deze op te slaan. De naam van de ID-provider is alleen belangrijk voor ISE zoals in de afbeelding.

    SAML-provider maken

    2. ISE-verificatiemethode configureren

    Navigeer naar Beheer >Systeem > Admin Access > Verificatie > Verificatiemethode en selecteer de keuze Wachtwoord gebaseerd.

    Selecteer de gewenste naam van de ID-provider die eerder is gemaakt in de vervolgkeuzelijst Identity Source zoals in de afbeelding.

    Verificatiemethode wijzigen

    3. Informatie over exportserviceproviders

    Ga naar Beheer > Identiteitsbeheer > Externe Identiteitsbronnen > SAML ID Providers > [Uw SAML Provider].

    Switch het tabblad naar Serviceprovider Info. en klik op de knop Exporteren zoals in de afbeelding.

    Informatie over serviceproviders exporteren.

    Download het .xml-bestand en sla het op. Noteer de URL van de locatie en de waarde van entityID.

    <?xml version="1.0" encoding="UTF-8"?>
    <md:EntityDescriptor entityID="http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"><md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true" AuthnRequestsSigned="false">
    <md:KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFTjCCAzagAwIBAgINAg2amSlL6NAE8FY+tzANBgkqhkiG9w0BAQwFADAlMSMwIQYDVQQDExpT 
    QU1MX2lzZTMtMS0xOS5ja3VtYXIyLmNvbTAeFw0yMTA3MTkwMzI4MDBaFw0yNjA3MTgwMzI4MDBa 
    MCUxIzAhBgNVBAMTGlNBTUxfaXNlMy0xLTE5LmNrdW1hcjIuY29tMIICIjANBgkqhkiG9w0BAQEF 
    AAOCAg8AMIICCgKCAgEAvila4+SOuP3j037yCOXnHAzADupfqcgwcplJQnFxhVfnDdOixGRT8iaQ 
    1zdKhpwf/BsJeSznXyaPVxFcmMFHbmyt46gQ/jQQEyt7YhyohGOt1op01qDGwtOnWZGQ+ccvqXSL 
    Ge1HYdlDtE1LMEcGg1mCd56GfrDcJdX0cZJmiDzizyjGKDdPf+1VM5JHCo6UNLFlIFyPmGvcCXnt 
    NVqsYvxSzF038ciQqlm0sqrVrrYZuIUAXDWUNUg9pSGzHOFkSsZRPxrQh+3N5DEFFlMzybvm1FYu 
    9h83gL4WJWMizETO6Vs/D0p6BSf2MPxKe790R5TfxFqJD9DnYgCnHmGooVmnSSnDsAgWebvF1uhZ 
    nGGkH5ROgT7v3CDrdFtRoNYAT+YvO941KzFCSE0sshykGSjgVn31XQ5vgDH1PvqNaYs/PWiCvmI/ 
    wYKSTn9/hn7JM1DqOR1PGEkVjg5WbxcViejMrrIzNrIciFNzlFuggaE8tC7uyuQZa2rcmTrXGWCl 
    sDU4uOvFpFvrcC/lavr9Fnx7LPwXaOasvJd19SPbD+qYgshz9AI/nIXaZdioHzEQwa8pkoNRBwjZ 
    ef+WFC9dWIy+ctbBT0+EM06Xj1aTI1bV80mN/6LhiS8g7KpFz4RN+ag1iu6pgZ5O58Zot9gqkpFw 
    kVS9vT4EOzwNGo7pQI8CAwEAAaN9MHswIAYDVR0RBBkwF4IVaXNlMy0xLTE5LmNrdW1hcjIuY29t 
    MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgLsMB0GA1UdDgQWBBRIkY2z/9H9PpwSnOPGARCj5iaZ 
    oDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEMBQADggIBAIE6mnBL 
    206Dkb6fHdgKd9goN8N2bj+34ybwxqvDSwGtn4NA6Hy1q7N6iJzAD/7soZfHgOT2UTgZpRF9FsHn 
    CGchSHqDt3bQ7g+GWlvcgreC7R46qenaonXVrltRw11vVIdCf8JQFFMxya/rIC4mxVeooOj1Fl9d 
    rvDBH+XVEt67DnQWkuLp8zPJUuqfa4H0vdm6oF3uBteO/pdUtEi6fObqrOwCyWd9Tjq7KXfd2ITW 
    hMxaFsv8wWcVuOMDPkP9xUwwt6gfH0bE5luT4EYVuuHiwMNGbZqgqb+a4uSkX/EfiDVoLSL6KI31 
    nf/341cuRTJUmDh9g2mppbBwOcxzoUxDm+HReSe+OJhRCyIJcOvUpdNmYC8cfAZuiV/e3wk0BLZM 
    lgV8FTVQSnra9LwHP/PgeNAPUcRPXSwaKE4rvjvMc0aS/iYdwZhZiJ8zBdIBanMv5mGu1nvTEt9K 
    EEwj9yslIHmdqoH3Em0F0gnzR0RvsMPbJxAoTFjfoITTMdQXNHhg+wlPOKXS2GCZ29vAM52d8ZCq 
    UrzOVxNHKWKwER/q1GgaWvh3X/G+z1shUQDrJcBdLcZI1WKUMa6XVDj18byhBM7pFGwg4z9YJZGF 
    /ncHcoxFY759LA+m7Brp7FFPiGCrPW8E0v7bUMSDmmg/53NoktfJ1CckaWE87myhimj0
    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
    <md:AssertionConsumerService index="0" Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
    <md:AssertionConsumerService index="1" Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>

    </md:SPSSODescriptor>
    </md:EntityDescriptor>

    Attributen van belang uit het XML-bestand:

    entityID="http://CiscoISE/100d02da-9457-41e8-87d7-0965b0714db2"

    AssertionConsumer Service Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action"

    AssertionConsumer Service Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action"

    Stap 2. Instellingen voor Azure AD IDP configureren

    1. Een Azure AD-gebruiker maken

    Log in op het Azure Active Directory-beheerdersdashboard en selecteer uw AD zoals in de afbeelding.

    Azure Active Directory-beheercentrum - Dashboard

    Selecteer Gebruikers, klik op Nieuwe Gebruiker, configureer Gebruikersnaam, Naam en Eerste Wachtwoord zoals vereist. Klik op Maken zoals in de afbeelding.

    Een gebruikersaccount maken

    2. Een Azure AD-groep maken

    Selecteer Groepen. Klik op Nieuwe groep.

    Een Azure AD-groep maken

    Groepstype behouden als security. Configureer de groepsnaam zoals in de afbeelding.

    Nieuwe groep maken

    3. Wijs Azure AD-gebruiker toe aan de groep

    Klik op Geen leden geselecteerd. Kies de gebruiker en klik op Selecteren. Klik op Aanmaken om de groep te maken waaraan een gebruiker is toegewezen.

    Leden toevoegen

    Maak een notitie van Group Object id, in dit scherm, het is 576c60ec-c0b6-4044-a8ec-d395b1475d6e voor ISE Admin Group zoals in de afbeelding.

    Groep-ID

    4. Een Azure AD Enterprise-toepassing maken

    Selecteer onder AD de optie Enterprise Application (Enterprise-toepassingen) en klik op New application (Nieuwe toepassing).

    Nieuwe toepassing maken

    Selecteer de optie Uw eigen toepassing maken.

    Toepassing maken

    Voer de naam van uw toepassing in en selecteer de knop Integrate een andere toepassing die u niet vindt in de galerij (Non-gallery) en klik op de knop Create zoals getoond in de afbeelding.

    Toepassingsconfiguratie bewerken

    5. Voeg groep toe aan de toepassing

    Selecteer Gebruikers en groepen toewijzen.

    Gebruikers en groepen toewijzen

    Klik op Gebruiker/groep toevoegen.

    Gebruikers en groepen toevoegen

    Klik op Gebruikers en groepen.

    Groepstoewijzing

    Kies de groep die u eerder hebt ingesteld en klik op Selecteren.

    N.B.: Selecteer de juiste set gebruikers of groepen die toegang krijgen zoals bedoeld, aangezien de gebruikers en groepen die hier worden vermeld toegang krijgen tot de ISE zodra de installatie is voltooid.

    Selecteer de gebruikersgroep

    Klik op Toewijzen nadat de groep is geselecteerd.

    Groepstoewijzing

    Hierdoor wordt het menu Gebruikers en groepen voor de geconfigureerde toepassing gevuld met de geselecteerde groep.

    Geselecteerde gebruikersgroep

    6. Een Azure AD Enterprise-toepassing configureren

    Navigeer terug naar uw Applicatie en klik op Enkelvoudige aanmelding instellen.

    Single Sign-On instellen

    Selecteer SAML op het volgende scherm.

    Selecteer SAML

    Klik op Bewerken naast Basis SAML Configuration.

    Configuratie van eenmalige aanmelding bewerken

    Populate Identifier (Entity ID) met de waarde van entityID uit het XML-bestand uit de stap Export Service Provider Information. Populate Reply URL (Assertion Consumer Service URL) met de waarde van Locaties van AssertionConsumerService. Klik op Save (Opslaan).

    Opmerking: Reply URL fungeert als een pass list, die bepaalde URL's toestaat om als bron te fungeren wanneer ze worden doorgestuurd naar de IdP pagina.

    SAML-configuratie

    7. Active Directory-groepskenmerk configureren

    Klik op Bewerken naast de Gebruikerskenmerken & claims om de eerder ingestelde waarde voor groepsattributen terug te geven.

    Gebruikerskenmerken en -claims bewerken

    Klik op Een groepsclaim toevoegen.

    Een groepsclaim toevoegen

    Selecteer Beveiligingsgroepen en klik op Opslaan. Selecteer Groep-ID onder het vervolgkeuzemenu Bronkenmerken. Selecteer het aanvinkvakje om de naam van de groepsclaim aan te passen en voer de naam Groepen in.

    Selecteer beveiligingsgroepen

    Noteer de naam van de claim voor de groep. In dit geval gaat het om Groepen.

    Gebruikerskenmerken en claims

    8. Azure Federation Metadata XML-bestand downloaden

    Klik op Downloaden tegen Federatie Metadata XML in SAML Signing Certificate.

    Metagegevens downloaden

    Stap 3. MetaData uploaden van Azure Active Directory naar ISE

    Ga naar Beheer > Identity Management > Externe Identity Resources > SAML ID Providers > [Uw SAML Provider].

    Switch het tabblad naar Identity Provider Config. en klik op Bladeren. Selecteer Federatie Metadata XML bestand uit stap Download Azure Federation Metadata XML en klik op Opslaan.

    Configuratie van identiteitsprovider

    Stap 4. SAML-groepen op ISE configureren

    Switch naar tab Groepen en plak de waarde van Claim naam van Configure Active Directory Group attribuut in Group Membership Attribute.

    Groepskenmerk toevoegen

    Klik op Toevoegen. Naam invullen in Assertion met de waarde van Group Object ID van ISE Admin Group opgenomen in Toewijzen Azure Active Directory-gebruiker aan de groep.

    Configureer Naam in ISE met de vervolgkeuzelijst en selecteer de juiste groep op ISE. In dit voorbeeld is de gebruikte groep Super Admin. Klik op OK. Klik op Save (Opslaan). 

    Hiermee wordt een koppeling gemaakt tussen Groep in Azure en Groepsnaam op ISE.

    Map beheerder rol

    (Optioneel) Stap 5. RBAC-beleid configureren

    Van de vorige stap, zijn er vele verschillende types van de niveaus van de gebruikerstoegang die op ISE kunnen worden gevormd.

    Als u op rol gebaseerde toegangscontroleregelingen (RBAC) wilt bewerken, gaat u naar Beheer > Systeem > Admin Access > Autorisatie > Rechten > RBAC-beleid en configureert u het beleid naar wens.

    Dit beeld is een verwijzing naar de steekproefconfiguratie.

    RBAC-beleid

    Verifiëren

    Bevestig dat uw configuratie correct werkt.

    Opmerking: SAML SSO Login test van de Azure testfunctionaliteit werkt niet. Het SAML-verzoek moet door ISE worden geïnitieerd om de Azure SAML SSO correct te laten werken.

    Open het aanloopscherm voor ISE GUI. U krijgt een nieuwe optie om in te loggen met SAML.

    1. Open de inlogpagina van de ISE GUI en klik op Inloggen met SAML.

    Inloggen met SAML

    2. U wordt omgeleid naar het Microsoft-inlogscherm. Voer uw gebruikersnaam in voor een account in een groep die is toegewezen aan ISE, zoals hier wordt getoond, en klik op Volgende zoals in de afbeelding.

    Aanmeldpagina voor Microsoft

    3. Voer uw wachtwoord voor de gebruiker in en klik op Inloggen.

    Voer Microsoft Credentials in

    4. U wordt nu doorgestuurd naar het ISE-toepassingsdashboard met de juiste rechten die zijn ingesteld op basis van de eerder geconfigureerde ISE-groep zoals in de afbeelding.

    ISE-dashboard

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    Veelvoorkomende problemen

    Het is belangrijk om te begrijpen dat SAML-verificatie wordt afgehandeld tussen de browser en de Azure Active Directory. Daarom kunt u verificatiegerelateerde fouten rechtstreeks opvragen bij de Identity Provider (Azure), waar de ISE-overeenkomst nog niet is gestart.

    Probleem 1. "Uw account of wachtwoord is onjuist" fout wordt gezien nadat u de aanmeldingsgegevens hebt ingevoerd. Hier worden gebruikersgegevens nog niet door ISE ontvangen en blijft het proces op dit punt nog steeds bij IdP (Azure).

    De meest waarschijnlijke reden is dat de accountinformatie onjuist is of dat het wachtwoord niet juist is. Om te repareren: stel het wachtwoord opnieuw in of geef het juiste wachtwoord op voor die account zoals in de afbeelding.

    Microsoft Sign-in onjuist wachtwoord

    Probleem 2. De gebruiker maakt geen deel uit van de groep die toegang zou moeten krijgen tot SAML SSO. Net als bij de vorige case worden gebruikersgegevens nog niet door ISE ontvangen en blijft het proces op dit punt nog steeds bij IdP (Azure).

    Om dit op te lossen: controleer of de Add groep aan de Application configuratie stap correct wordt uitgevoerd zoals in het afbeelding.

    Probleem met Microsoft Sign in

    Probleem 3. ISE Application Server kan geen SAML-aanmeldingsverzoeken verwerken. Dit probleem doet zich voor wanneer het SAML-verzoek wordt geïnitieerd door de Identity Provider, Azure, in plaats van de Service Provider, ISE. Het testen van SSO Login van Azure AD werkt niet omdat ISE geen ondersteuning biedt voor door SAML geïnitieerde identiteitsprovider-verzoeken.

    SAML Pagina onbereikbaar

    Verwachte fout bij eenmalige aanmelding van test

    Probleem 4. ISE geeft "Access Denied"-fout weer na een inlogpoging. Deze fout doet zich voor wanneer de claimnaam van de groep die eerder in de Azure Enterprise Application is gemaakt, niet overeenkomt in ISE.

    Om dit te verhelpen: zorg ervoor dat de naam van de groepsclaim in Azure en ISE onder het tabblad SAML Identity Provider Groups hetzelfde zijn. Raadpleeg de stappen 2.7 en 4. onder het gedeelte SAML SSO configureren met Azure AD van dit document voor meer informatie.

    ISE-pagina met toegangsweigering

    Probleemoplossing ISE

    Log niveau van de componenten hier moet worden gewijzigd op ISE. Navigeer naar Operations > Probleemoplossing > Wizard Debug > Configuratie debug log.

    Naam van component

    Logniveau

    Logbestandsnaam

    deuropening

    DEBUGGEN

    guest.log

    opensaml

    DEBUGGEN

    ise-psc.log

    klein

    DEBUGGEN

    ise-psc.log

    Logbestanden met SAML Login en Mismatched Group Claim Names

    De reeks van debugs toont de wanverhouding van de eisennaam het oplossen van probleemscenario op het tijdstip van stroomuitvoering (ise-psc.log).

    Opmerking: Houd vetgedrukte items in de gaten. Logbestanden zijn ingekort omwille van de duidelijkheid.

    1. Gebruiker wordt doorgestuurd naar IDp URL vanaf ISE-beheerpagina.

    2021-07-29 13:48:20,709 INFO   [admin-http-pool46][] api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig Type: PDP
    2021-07-29 13:48:20,712 INFO   [admin-http-pool46][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as found in IdP configuration):http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - spUrlToReturnTo:https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:20,844 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Request:
    2021-07-29 13:48:20,851 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- <?xml version="1.0" encoding="UTF-16"?><samlp:AuthnRequest AssertionConsumerServiceURL="https://10.201.232.19:8443/portal/SSOLoginResponse.action" ForceAuthn="false"

    2. SAML-antwoord wordt ontvangen van de browser.

    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.201.232.19 This node's host name:ise3-1-19 LB:null request Server Name:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.201.232.19) this node host name is:10.201.232.19

    -::::- Decoded SAML relay state of: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19

    2021-07-29 13:48:27,177 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Parsing message stream into DOM document

    -::::- Decoded SAML message

    2021-07-29 13:48:27,182 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder -::::- Extracting ID, issuer and issue instant from status response
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- No security policy resolver attached to this message context, no security policy evaluation attempted
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Successfully decoded message.
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Checking SAML message intended destination endpoint against receiver endpoint
    opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Intended message destination endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Actual message receiver endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator - [https://10.201.232.19:8443/portal/SSOLoginResponse.action] vs. [https://10.201.232.19:8443/portal/SSOLoginResponse.action]
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- SAML message intended destination endpoint matched recipient endpoint
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: statusCode:urn:oasis:names:tc:SAML:2.0:status:Success

    3. Het ontleden van een kenmerk (bewering) is gestart.

    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/tenantid
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/displayname
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/displayname> add value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/displayname> value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> add value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/identityprovider
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/identityprovider> add value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/identityprovider> value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/claims/authnmethodsreferences
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/claims/authnmethodsreferences> add value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/claims/authnmethodsreferences> value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> add value=<email>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> value=(email)
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: IdentityAttribute is set to Subject Name

    4. Het kenmerk Group wordt ontvangen met de waarde 576c60ec-c0b6-4044-a8ec-d395b1475d6e, ondertekening validatie.

    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
            IdP URI: https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/
            SP URI: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
            Assertion Consumer URL: https://10.201.232.19:8443/portal/SSOLoginResponse.action
            Request Id: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
            Client Address: 10.24.226.171
            Load Balancer: null
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard with cert:CN=Microsoft Azure Federated SSO Certificate serial:49393248893701952091070196674789114797
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Enveloped signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Exclusive C14N signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Attempting to validate signature using key from supplied credential
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Creating XMLSignature object
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validating signature with signature algorithm URI: https://www.w3.org/2001/04/xmldsig-more#rsa-sha256
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Signature validated with key from supplied credential
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated succesfully
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for (email)
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=Microsoft Azure Federated SSO Certificate] as signing certificates
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo: (email), format=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, sessionIndex=_7969c2df-f4c8-4734-aab4-e69cf25b9600, time diff=17475, attributeValues=null
    2021-07-29 13:48:27,358 INFO   [admin-http-pool50][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

    5. validering van RBAC-vergunningen.

    *************************Rbac Log Summary for user samlUser*************************
    2021-07-29 13:48:27,360 INFO   [admin-http-pool50][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
    2021-07-29 13:48:27,368 ERROR  [admin-http-pool50][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
    java.lang.NullPointerException
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
    2021-07-29 13:48:27,369 ERROR  [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    13-Aug-2024
    Hercertificering
    1.0
    19-Aug-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Chandan Kumar
      Cisco TAC Engineer
    • Mueed Ahmad
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten