ISE 3.3 pxGrid-context configureren

Bijgewerkt:12 oktober 2023
Document-id:221091

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de Cisco Identity Service Engine 3.3 pxGrid-context kunt configureren met behulp van Open API.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Identity Service Engine (ISE) 3.3
    • Advanced REST API

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE-lijnkaart 3.3
    • Slapeloosheid REST API-client

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    pxGrid Context-In oplossing via REST API’s. Dit komt doordat het model Context-In pubsub enige beperkingen heeft met betrekking tot het gebruik van aangepaste attributen in profilering en autorisatiebeleid.

    Aangepaste kenmerken zijn door de gebruiker gedefinieerde eigenschappen die niet als eindpuntgegevens binnenkomen via reguliere netwerksondes. Voorafgaand aan ISE 3.3 waren er voornamelijk twee manieren om aangepaste attribuutwaarden als eindpuntgegevens in te voeren.

    • pxGrid Context-In-activapunt, waarbij ISE als consument optreedt en eindpuntgegevens gebruikt die door een extern derdeproduct worden gepubliceerd.
    • Endpoint Extensible RESTful Services (ERS) Maak/update API's.

    Beide kanalen hebben beperkingen voor het gebruik van aangepaste attributen in profilering en autorisatiebeleid.

    Eerste stappen

    Open API inschakelen op ISE

    Open API is standaard uitgeschakeld op ISE. Blader om dit te activeren naar Administration > System > API Settings >  API Service Settings. Schakel de opties voor Open API in en klik op Opslaan.

    Enable Open APIOpen API inschakelen

    Aangepaste kenmerken voor profilering en handhaving op ISE inschakelen

    Custom Attribute for Profiling Enforcement is standaard uitgeschakeld op ISE. Blader om dit te activeren naar Work Centers > Profiler > Settings >  Profiler Settings. Aangepaste kenmerken inschakelen voor handhaving van profilering. Klik op Save (Opslaan).

    Enable Custom Attribute for Profiling EnforcementAangepaste kenmerken voor handhaving van profielen inschakelen

    note-icon

    Opmerking: De vlag Aangepaste Attributen voor Profiling Enforcement geeft aan dat een automatische herprofileringsactie plaatsvindt als een douaneattribuut wordt gewijzigd.

    Swagger UI

    Ga naar om toegang te krijgen tot alle Open API-definities op ISE Administration > System > Settings > API Settings  en klik op 'Voor meer informatie over ISE Open API, bezoek:'.

    De URL's voor de in dit document gebruikte definities zijn:

    • Aangepaste kenmerken: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primairName=CustomAttributes
    • Endpoint: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=Endpoints

    Swagger UISwagger UI

    Configureren van aangepaste endpoints met behulp van Open API

    Aangepaste endpointkenmerken maken

    Om een endpoint custom attribuut te maken, is het verplicht om het een naam en type te geven.

    De volgende typen kunnen worden gebruikt:

    • String
    • Int
    • Booleaans
    • drijver
    • Lang
    • IP
    • Datum

    Methode

    POST

    URL

    https://<ISE-PAN-IP>:443/api/v1/endpoint-custom-attribuut 

    Verificatietype

    Basis

    referenties

    Open API-accountreferenties gebruiken

    Koppen

    Aanvaarden:toepassing/json           

    Content-type:applicatie/json

    Tekst

    		 
    {
    "attributeName": "DeviceType",
    "attributeType": "String"
    }

    Tekst:

    Body Endpoint Custom AttributeAangepaste kenmerk eindpunt hoofdtekst

    Verificatie:

    Authentication Endpoint Custom AttributeVerificatie-endpoints - Aangepaste kenmerken

    Koppen:

    Headers Endpoint Custom AttributeAangepaste kenmerken van headers endpoints

    Verwachte output:

    Expected Output Endpoint Custom AttributeAangepaste kenmerken verwacht uitvoerendpoint

    Controleer of aangepaste kenmerken zijn gemaakt

    Van ISE, navigeer naar Administration > Identity Management > Settings > Endpoint Custom Attributes. Controleer of het kenmerk is gemaakt.

    Endpoint Custom Attribute GUIEndpoint Custom Attribute GUI

    note-icon

    Opmerking: de aangepaste endpointkenmerken kunnen handmatig worden toegevoegd. Van ISE, navigeer naar Administration > Identity Management > Settings > Endpoint Custom Attributes. Klik op +, voer vervolgens de naam van het kenmerk in en kies het type.

    Context-In API voor één eindpunt

    Profielbeleid voor aangepaste kenmerken

    Van ISE, navigeer naar Work Centers > Profiler > Profiling Policies. Klik op de knop Add.

    Voer in  Name  van het profileringsbeleid.

    Onder Rules, naar Attributes > Create New Condition > CUSTOMATTRIBUTE. Kies het aangepaste kenmerk dat is gemaakt, kies Operator en voer de waarde in die moet worden aangepast. Klik op Verzenden.

    In dit voorbeeld, wordt het DevicTypeA profileringsbeleid bepaald met CUSTOMER ATTRIBUTE_DeviceType.

    Profiler PolicyProfilerbeleid

    Eindpunt maken

    In dit voorbeeld, een eindpunt met het mac-adres 94:DA:5F:96:74:63  en DeviceType ingesteld op A wordt gemaakt.

    Methode

    POST

    URL

    https://<ISE-PAN-IP>:443/api/v1/endpoint

    Verificatietype

    Basis

    referenties

    Open API-accountreferenties gebruiken

    Koppen

    Aanvaarden:toepassing/json   

    Content-type:applicatie/json

    Tekst

    		 
    {
    "name": "94:DA:5F:96:74:63",
    "customAttributes": {"DeviceType":"A"},
    "description": null,
    "connectedLinks": null,
    "mdmAttributes": null,
    "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521",
    "identityStore": "",
    "identityStoreId": "",
    "mac": "94:DA:5F:96:74:63",
    "portalUser": "",
    "profileId": "",
    "ipAddress": null,
    "vendor": null,
    "productId": null,
    "serialNumber": null,
    "deviceType": null,
    "softwareRevision": null,
    "hardwareRevision": null,
    "protocol": null,
    "staticGroupAssignment": false,
    "staticProfileAssignment": false
    }

    Tekst:

    Body EndpointBody Endpoint

    Verificatie:

    Authentication EndpointVerificatieendpoint

    Koppen:

    Headers EndpointKoppen-endpoint

    Verwachte output:

    Expected Output EndpointVerwacht uitgangseindpunt

    Verifieer de aanmaak van endpoints

    Van ISE, navigeer naar Context Visibility > Endpoints. Filter met de naam van het profileringsbeleid dat is gemaakt onder de kolom Endpoint Profile.

    Context Visibility DeviceTypeAContextzichtbaarheidsapparaat Type A

    Update-endpoint

    Om eindpunten via Open API bij te werken, vereist het URL-pad de parameterwaarde. Deze parameter kan het ID- of MAC-adres van het eindpunt zijn.

    In dit voorbeeld, een nieuw profileringsbeleid DeviceTypeB is gedefinieerd om het aangepaste kenmerk DeviceType bij te werken ingesteld op B en de waarde wordt ingesteld als het MAC-adres.

    Methode

    PUT

    URL

    https://<ISE-PAN-IP>:443/api/v1/endpoint/{waarde}

    Verificatietype

    Basis

    referenties

    Open API-accountreferenties gebruiken

    Koppen

    Aanvaarden:toepassing/json

    Content-type:applicatie/json

    Tekst

    		 
    {
    "name": "94:DA:5F:96:74:63",
    "customAttributes": {"DeviceType":"B"},
    "description": null,
    "connectedLinks": null,
    "mdmAttributes": null,
    "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521",
    "identityStore": "",
    "identityStoreId": "",
    "mac": "94:DA:5F:96:74:63",
    "portalUser": "",
    "profileId": "",
    "ipAddress": null,
    "vendor": null,
    "productId": null,
    "serialNumber": null,
    "deviceType": null,
    "softwareRevision": null,
    "hardwareRevision": null,
    "protocol": null,
    "staticGroupAssignment": false,
    "staticProfileAssignment": false
    }

    Tekst:

    Body Update EndpointBody Update-endpoint

    Verificatie:

    Authentication Update EndpointVerificatie-update-endpoint

    Koppen:

    Headers Update EndpointUpdate-endpoint voor koppen

    Verwachte output:

    Expected Output Update EndpointVerwacht output Update-endpoint

    Controleer de update van het eindpunt

    Van ISE, navigeer naar Context Visibility > Endpoints. Filter met de naam van het profileringsbeleid dat is gemaakt onder Endpoint Profile kolom.

    Context Visibility DeviceTypeBContext Visibility apparaat Type B

    Context-In API-bulk

    Configuratie van autorisatiebeleid met Endpoint Identity Group

    Van ISE, navigeer naar Policy > Policy Sets > Select a Policy Set > Authorization Policy. Klik op het tandwielpictogram in een van de Autorisatiebeleid en kiesInvoegen.

    Geef een naam aan de regel en voeg een nieuwe voorwaarde toe om de Condition Studio te openen.

    Voeg een nieuw kenmerk toe en navigeer naar Identity Group > Name > CONTAINS > Select the Endpoint Profile > USE.

    Kies het profiel als resultaat van de voorwaarde. Klik op de knop  Opslaan.

    In dit voorbeeld is DeviceTypeA de naam van de regel.

    Policy SetsBeleidssets

    Eindpunt in bulk bijwerken

    Om het kenmerk voor verschillende endpoints te wijzigen, is de bulk-API-aanroep nodig.

    In dit voorbeeld heeft het Radius-verzoek van verschillende eindpunten geen eigen kenmerk en wordt het Endpoint Profile ingesteld op Unknown.

    Context Visibility Uknown ProfileContext Visibility Onbekend profiel

    Methode PUT
    URL https://<ISE-PAN-IP>:443/api/v1/endpoint/bulk
    Verificatietype Basis
    referenties Open API-accountreferenties gebruiken

    Koppen

    Aanvaarden:toepassing/json

    Content-type:applicatie/json

    Tekst

    		 
    [
    {
    "name": "94:DA:5F:96:74:61",
    "customAttributes": {"DeviceType":"A"},
    "description": null,
    "connectedLinks": null,
    "mdmAttributes": null,
    "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521",
    "identityStore": "",
    "identityStoreId": "",
    "mac": "94:DA:5F:96:74:61",
    "portalUser": "",
    "profileId": "",
    "ipAddress": "94:DA:5F:96:74:61",
    "vendor": null,
    "productId": null,
    "serialNumber": null,
    "deviceType": null,
    "softwareRevision": null,
    "hardwareRevision": null,
    "protocol": null,
    "staticGroupAssignment": false,
    "staticProfileAssignment": false
    },
    {
    "name": "94:DA:5F:96:74:62",
    "customAttributes": {"DeviceType":"A"},
    "description": null,
    "connectedLinks": null,
    "mdmAttributes": null,
    "groupId": "aa0e8b20-8bff-11e6-996c-525400b48521",
    "identityStore": "",
    "identityStoreId": "",
    "mac": "94:DA:5F:96:74:62",
    "portalUser": "",
    "profileId": "",
    "ipAddress": "10.218.185.96",
    "vendor": null,
    "productId": null,
    "serialNumber": null,
    "deviceType": null,
    "softwareRevision": null,
    "hardwareRevision": null,
    "protocol": null,
    "staticGroupAssignment": false,
    "staticProfileAssignment": false
    },.......
    ]

    Tekst:

    Body Endpoint BulkBody Endpoint bulk

    Verificatie:

    Authentication Endpoint BulkVerificatie-endpoints - bulk

    Koppen:

    Headers Endpoint BulkKoppen Endpoint bulk

    Verwachte output:

    Expected Output Endpoint BulkVerwachte bulkoutput-endpoints

    Controleer bulkupdate voor endpoint

    Van ISE, navigeer naar Context Visibility > Endpoints. Filter met de naam van het profileringsbeleid dat in de kolom Endpoint Profile is gemaakt.

    Context Visibility DevcieTypeA Endpoint ProfileContext Visibility and Device Type A-endpointprofiel

    Voor het eindpunt moet het eindpunt opnieuw worden geverifieerd om het juiste autorisatiebeleid te kunnen gebruiken.

    Context Visibility DevcieTypeA Authorization PolicyVergunningsbeleid voor Context Visibility Device Type A

    Problemen oplossen

    Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

    Van ISE, navigeer naar Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Kies uw primaire beheerknooppunt (PAN) en klik op Bewerken.

    Filter de component NameBy API-service en kies het gewenste logniveau. Klik op Opslaan.

    Debug Level Configuration Open APIOpen API voor configuratie op debugniveau

    • Op ISE PAN CLI zijn de logbestanden te vinden op:
    admin#show logging application api-service.log
    • Op ISE GUI navigeer naar Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs. De zip-bestanden downloaden voor api-service.log.
    • API-responscodes en de mogelijke betekenissen ervan:
      • 200 (OK): Geeft aan dat de Open API de gewenste actie met succes heeft uitgevoerd.
      • 201 (Gemaakt): Geeft aan dat de resource is gemaakt en dat het verzoek is geslaagd.
      • 400 (Slecht Verzoek): De server kan het verzoek niet verwerken. Herken cliëntfouten toe te schrijven aan misvormde verzoeksyntaxis, ongeldige parameters, etc. Lees de berichtdetails indien beschikbaar.
      • 401 (Niet geautoriseerd): Dit geeft aan dat de actie is ondernomen met de verkeerde referenties of zonder referenties, of dat de account niet geautoriseerd is om deze actie uit te voeren.
      • 403 (Verboden): Dit geeft aan dat de server het verzoek kan begrijpen, maar niet is geautoriseerd.
      • 404 (niet gevonden): Dit geeft aan dat de server de gevraagde bron niet kan vinden.
      • 500 (Interne serverfout): Geeft een probleem aan de serverkant aan. Logs op ISE kunnen helpen begrijpen de oorzaak.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    12-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ernesto Cruz Lopez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten