Inleiding
Dit document beschrijft hoe u de Cisco Identity Service Engine 3.3 pxGrid-context kunt configureren met behulp van Open API.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Identity Service Engine (ISE) 3.3
- Advanced REST API
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco ISE-lijnkaart 3.3
- Slapeloosheid REST API-client
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
pxGrid Context-In oplossing via REST API’s. Dit komt doordat het model Context-In pubsub enige beperkingen heeft met betrekking tot het gebruik van aangepaste attributen in profilering en autorisatiebeleid.
Aangepaste kenmerken zijn door de gebruiker gedefinieerde eigenschappen die niet als eindpuntgegevens binnenkomen via reguliere netwerksondes. Voorafgaand aan ISE 3.3 waren er voornamelijk twee manieren om aangepaste attribuutwaarden als eindpuntgegevens in te voeren.
- pxGrid Context-In-activapunt, waarbij ISE als consument optreedt en eindpuntgegevens gebruikt die door een extern derdeproduct worden gepubliceerd.
- Endpoint Extensible RESTful Services (ERS) Maak/update API's.
Beide kanalen hebben beperkingen voor het gebruik van aangepaste attributen in profilering en autorisatiebeleid.
Eerste stappen
Open API inschakelen op ISE
Open API is standaard uitgeschakeld op ISE. Blader om dit te activeren naar Administration > System > API Settings > API Service Settings
. Schakel de opties voor Open API in en klik op Opslaan.
Open API inschakelen
Aangepaste kenmerken voor profilering en handhaving op ISE inschakelen
Custom Attribute for Profiling Enforcement is standaard uitgeschakeld op ISE. Blader om dit te activeren naar Work Centers > Profiler > Settings > Profiler Settings
. Aangepaste kenmerken inschakelen voor handhaving van profilering. Klik op Save (Opslaan).
Aangepaste kenmerken voor handhaving van profielen inschakelen
Opmerking: De vlag Aangepaste Attributen voor Profiling Enforcement geeft aan dat een automatische herprofileringsactie plaatsvindt als een douaneattribuut wordt gewijzigd.
Swagger UI
Ga naar om toegang te krijgen tot alle Open API-definities op ISE Administration > System > Settings > API Settings
en klik op 'Voor meer informatie over ISE Open API, bezoek:'.
De URL's voor de in dit document gebruikte definities zijn:
- Aangepaste kenmerken: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primairName=CustomAttributes
- Endpoint: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=Endpoints
Swagger UI
Configureren van aangepaste endpoints met behulp van Open API
Aangepaste endpointkenmerken maken
Om een endpoint custom attribuut te maken, is het verplicht om het een naam en type te geven.
De volgende typen kunnen worden gebruikt:
- String
- Int
- Booleaans
- drijver
- Lang
- IP
- Datum
Methode |
POST |
URL |
https://<ISE-PAN-IP>:443/api/v1/endpoint-custom-attribuut |
Verificatietype |
Basis |
referenties |
Open API-accountreferenties gebruiken |
Koppen |
Aanvaarden:toepassing/json Content-type:applicatie/json |
Tekst |
{ "attributeName": "DeviceType", "attributeType": "String" } |
Tekst:
Aangepaste kenmerk eindpunt hoofdtekst
Verificatie:
Verificatie-endpoints - Aangepaste kenmerken
Koppen:
Aangepaste kenmerken van headers endpoints
Verwachte output:
Aangepaste kenmerken verwacht uitvoerendpoint
Controleer of aangepaste kenmerken zijn gemaakt
Van ISE, navigeer naar Administration > Identity Management > Settings > Endpoint Custom Attributes
. Controleer of het kenmerk is gemaakt.
Endpoint Custom Attribute GUI
Opmerking: de aangepaste endpointkenmerken kunnen handmatig worden toegevoegd. Van ISE, navigeer naar Administration > Identity Management > Settings > Endpoint Custom Attributes
. Klik op +, voer vervolgens de naam van het kenmerk in en kies het type.
Context-In API voor één eindpunt
Profielbeleid voor aangepaste kenmerken
Van ISE, navigeer naar Work Centers > Profiler > Profiling Policies
. Klik op de knop Add
.
Voer in Name
van het profileringsbeleid.
Onder Rules
, naar Attributes > Create New Condition > CUSTOMATTRIBUTE
. Kies het aangepaste kenmerk dat is gemaakt, kies Operator en voer de waarde in die moet worden aangepast. Klik op Verzenden.
In dit voorbeeld, wordt het DevicTypeA profileringsbeleid bepaald met CUSTOMER ATTRIBUTE_DeviceType.
Profilerbeleid
Eindpunt maken
In dit voorbeeld, een eindpunt met het mac-adres 94:DA:5F:96:74:63
en DeviceType ingesteld op A wordt gemaakt.
Methode |
POST |
URL |
https://<ISE-PAN-IP>:443/api/v1/endpoint |
Verificatietype |
Basis |
referenties |
Open API-accountreferenties gebruiken |
Koppen |
Aanvaarden:toepassing/json Content-type:applicatie/json |
Tekst |
{ "name": "94:DA:5F:96:74:63", "customAttributes": {"DeviceType":"A"}, "description": null, "connectedLinks": null, "mdmAttributes": null, "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521", "identityStore": "", "identityStoreId": "", "mac": "94:DA:5F:96:74:63", "portalUser": "", "profileId": "", "ipAddress": null, "vendor": null, "productId": null, "serialNumber": null, "deviceType": null, "softwareRevision": null, "hardwareRevision": null, "protocol": null, "staticGroupAssignment": false, "staticProfileAssignment": false } |
Tekst:
Body Endpoint
Verificatie:
Verificatieendpoint
Koppen:
Koppen-endpoint
Verwachte output:
Verwacht uitgangseindpunt
Verifieer de aanmaak van endpoints
Van ISE, navigeer naar Context Visibility > Endpoints
. Filter met de naam van het profileringsbeleid dat is gemaakt onder de kolom Endpoint Profile.
Contextzichtbaarheidsapparaat Type A
Update-endpoint
Om eindpunten via Open API bij te werken, vereist het URL-pad de parameterwaarde. Deze parameter kan het ID- of MAC-adres van het eindpunt zijn.
In dit voorbeeld, een nieuw profileringsbeleid DeviceTypeB
is gedefinieerd om het aangepaste kenmerk DeviceType bij te werken ingesteld op B en de waarde wordt ingesteld als het MAC-adres.
Methode |
PUT |
URL |
https://<ISE-PAN-IP>:443/api/v1/endpoint/{waarde} |
Verificatietype |
Basis |
referenties |
Open API-accountreferenties gebruiken |
Koppen |
Aanvaarden:toepassing/json Content-type:applicatie/json |
Tekst |
{ "name": "94:DA:5F:96:74:63", "customAttributes": {"DeviceType":"B"}, "description": null, "connectedLinks": null, "mdmAttributes": null, "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521", "identityStore": "", "identityStoreId": "", "mac": "94:DA:5F:96:74:63", "portalUser": "", "profileId": "", "ipAddress": null, "vendor": null, "productId": null, "serialNumber": null, "deviceType": null, "softwareRevision": null, "hardwareRevision": null, "protocol": null, "staticGroupAssignment": false, "staticProfileAssignment": false } |
Tekst:
Body Update-endpoint
Verificatie:
Verificatie-update-endpoint
Koppen:
Update-endpoint voor koppen
Verwachte output:
Verwacht output Update-endpoint
Controleer de update van het eindpunt
Van ISE, navigeer naar Context Visibility > Endpoints
. Filter met de naam van het profileringsbeleid dat is gemaakt onder Endpoint Profile
kolom.
Context Visibility apparaat Type B
Context-In API-bulk
Configuratie van autorisatiebeleid met Endpoint Identity Group
Van ISE, navigeer naar Policy > Policy Sets > Select a Policy Set > Authorization Policy
. Klik op het tandwielpictogram in een van de Autorisatiebeleid en kiesInvoegen.
Geef een naam aan de regel en voeg een nieuwe voorwaarde toe om de Condition Studio te openen.
Voeg een nieuw kenmerk toe en navigeer naar Identity Group > Name > CONTAINS > Select the Endpoint Profile > USE
.
Kies het profiel als resultaat van de voorwaarde. Klik op de knop Opslaan.
In dit voorbeeld is DeviceTypeA de naam van de regel.
Beleidssets
Eindpunt in bulk bijwerken
Om het kenmerk voor verschillende endpoints te wijzigen, is de bulk-API-aanroep nodig.
In dit voorbeeld heeft het Radius-verzoek van verschillende eindpunten geen eigen kenmerk en wordt het Endpoint Profile ingesteld op Unknown.
Context Visibility Onbekend profiel
Methode |
PUT |
URL |
https://<ISE-PAN-IP>:443/api/v1/endpoint/bulk |
Verificatietype |
Basis |
referenties |
Open API-accountreferenties gebruiken |
Koppen |
Aanvaarden:toepassing/json Content-type:applicatie/json |
Tekst |
[ { "name": "94:DA:5F:96:74:61", "customAttributes": {"DeviceType":"A"}, "description": null, "connectedLinks": null, "mdmAttributes": null, "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521", "identityStore": "", "identityStoreId": "", "mac": "94:DA:5F:96:74:61", "portalUser": "", "profileId": "", "ipAddress": "94:DA:5F:96:74:61", "vendor": null, "productId": null, "serialNumber": null, "deviceType": null, "softwareRevision": null, "hardwareRevision": null, "protocol": null, "staticGroupAssignment": false, "staticProfileAssignment": false }, { "name": "94:DA:5F:96:74:62", "customAttributes": {"DeviceType":"A"}, "description": null, "connectedLinks": null, "mdmAttributes": null, "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521", "identityStore": "", "identityStoreId": "", "mac": "94:DA:5F:96:74:62", "portalUser": "", "profileId": "", "ipAddress": "10.218.185.96", "vendor": null, "productId": null, "serialNumber": null, "deviceType": null, "softwareRevision": null, "hardwareRevision": null, "protocol": null, "staticGroupAssignment": false, "staticProfileAssignment": false },....... ] |
Tekst:
Body Endpoint bulk
Verificatie:
Verificatie-endpoints - bulk
Koppen:
Koppen Endpoint bulk
Verwachte output:
Verwachte bulkoutput-endpoints
Controleer bulkupdate voor endpoint
Van ISE, navigeer naar Context Visibility > Endpoints
. Filter met de naam van het profileringsbeleid dat in de kolom Endpoint Profile is gemaakt.
Context Visibility and Device Type A-endpointprofiel
Voor het eindpunt moet het eindpunt opnieuw worden geverifieerd om het juiste autorisatiebeleid te kunnen gebruiken.
Vergunningsbeleid voor Context Visibility Device Type A
Problemen oplossen
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Van ISE, navigeer naar Operation > Troubleshoot > Debug Wizard > Debug Log Configuration
. Kies uw primaire beheerknooppunt (PAN) en klik op Bewerken.
Filter de component NameBy API-service en kies het gewenste logniveau. Klik op Opslaan.
Open API voor configuratie op debugniveau
- Op ISE PAN CLI zijn de logbestanden te vinden op:
admin#show logging application api-service.log
- Op ISE GUI navigeer naar
Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs
. De zip-bestanden downloaden voor api-service.log
.
- API-responscodes en de mogelijke betekenissen ervan:
- 200 (OK): Geeft aan dat de Open API de gewenste actie met succes heeft uitgevoerd.
- 201 (Gemaakt): Geeft aan dat de resource is gemaakt en dat het verzoek is geslaagd.
- 400 (Slecht Verzoek): De server kan het verzoek niet verwerken. Herken cliëntfouten toe te schrijven aan misvormde verzoeksyntaxis, ongeldige parameters, etc. Lees de berichtdetails indien beschikbaar.
- 401 (Niet geautoriseerd): Dit geeft aan dat de actie is ondernomen met de verkeerde referenties of zonder referenties, of dat de account niet geautoriseerd is om deze actie uit te voeren.
- 403 (Verboden): Dit geeft aan dat de server het verzoek kan begrijpen, maar niet is geautoriseerd.
- 404 (niet gevonden): Dit geeft aan dat de server de gevraagde bron niet kan vinden.
- 500 (Interne serverfout): Geeft een probleem aan de serverkant aan. Logs op ISE kunnen helpen begrijpen de oorzaak.