تكوين سجل إدارة ISE 3.1 في التدفق عبر SAML SSO باستخدام Azure AD

المقدمة

يصف هذا المستند كيفية تكوين تكامل Cisco ISE 3.1 SAML SSO مع موفر هوية خارجي مثل Azure Active Directory (AD).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

1. Cisco ISE 3.1
2. عمليات نشر SAML SSO
3. لازوردي دي

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

1. Cisco ISE 3.1
2. لازوردي دي

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

المصطلحات:

موفر الهوية (IDp) :

السلطة Azure AD التي تتحقق من هوية المستخدم وامتيازات الوصول إلى المورد المطلوب (مزود الخدمة) وتأكدها.

مزود الخدمة (SP) :

المورد المستضاف أو الخدمة التي ينوي المستخدم الوصول إليها (خادم تطبيق ISE).

سامل

لغة تمييز تأكيد الأمان (SAML) هي معيار مفتوح يسمح ب IDp لتمرير بيانات اعتماد التفويض إلى SP.

تستخدم معاملات SAML لغة الترميز القابلة للتوسيع (XML) للاتصالات القياسية بين موفر الهوية ومزودي الخدمة.

SAML هو الارتباط بين مصادقة معرف المستخدم والتفويض لاستخدام خدمة.

تأكيد SAML

تأكيد SAML هو مستند XML الذي يرسله موفر الهوية إلى موفر الخدمة الذي يحتوي على تفويض المستخدم.

هناك ثلاثة أنواع مختلفة من تأكيدات SAML - المصادقة وتحديد السمة وقرار التفويض.

• تثبت تأكيدات المصادقة تعريف المستخدم وتوفر الوقت الذي قام المستخدم بتسجيل الدخول فيه وطريقة المصادقة التي استخدمها (على سبيل المثال، Kerberos، المكون من عاملين)
• يقوم تأكيد الإسناد بتمرير سمات SAML، وهي قطع بيانات محددة توفر معلومات حول المستخدم، إلى موفر الخدمة.
• يعلن تأكيد قرار التخويل ما إذا كان المستخدم مخولا لاستخدام الخدمة أو إذا رفض موفر التحديد طلبه بسبب فشل كلمة المرور أو بسبب عدم وجود حقوق للخدمة.

رسم تخطيطي للتدفق عالي المستوى

يعمل SAML عن طريق تمرير معلومات حول المستخدمين وعمليات تسجيل الدخول والسمات بين موفر الهوية و Azure AD ومزود الخدمة ISE.

يقوم كل مستخدم بتسجيل الدخول مرة واحدة إلى تسجيل دخول واحد (SSO) باستخدام موفر الهوية، ثم يقوم موفر Azure AD بتمرير سمات SAML إلى ISE عندما يحاول المستخدم الوصول إلى هذه الخدمات.

يطلب ISE التخويل والمصادقة من Azure AD كما هو موضح في الصورة.

تكوين تكامل SAML SSO باستخدام Azure AD

الخطوة 1. تكوين موفر هوية SAML على ISE

1. تكوين Azure AD كمصدر هوية SAML خارجي

على ISE، انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > موفري SAML Id وانقر على زر إضافة.

أدخل اسم موفر المعرف وانقر فوق إرسال لحفظه. اسم موفر المعرف مهم فقط ل ISE كما هو موضح في الصورة.

2. تكوين أسلوب مصادقة ISE

انتقل إلى الإدارة >النظام > وصول المسؤول > المصادقة > طريقة المصادقة وحدد زر الراديو المستند إلى كلمة المرور.

حدد اسم موفر المعرف المطلوب الذي تم إنشاؤه مسبقا من القائمة المنسدلة مصدر الهوية كما هو موضح في الصورة.

3. تصدير معلومات مزود الخدمة

انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > موفري SAML Id > [مزود SAML الخاص بك].

قم بتبديل علامة التبويب إلى معلومات مزود الخدمة. وانقر فوق الزر تصدير كما هو موضح في الصورة.

قم بتنزيل ملف .xml واحفظه. قم بتدوين قيمة URL وEntityID للموقع.

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"><md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true" AuthnRequestsSigned="false">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIFTjCCAzagAwIBAgINAg2amSlL6NAE8FY+tzANBgkqhkiG9w0BAQwFADAlMSMwIQYDVQQDExpT 
QU1MX2lzZTMtMS0xOS5ja3VtYXIyLmNvbTAeFw0yMTA3MTkwMzI4MDBaFw0yNjA3MTgwMzI4MDBa 
MCUxIzAhBgNVBAMTGlNBTUxfaXNlMy0xLTE5LmNrdW1hcjIuY29tMIICIjANBgkqhkiG9w0BAQEF 
AAOCAg8AMIICCgKCAgEAvila4+SOuP3j037yCOXnHAzADupfqcgwcplJQnFxhVfnDdOixGRT8iaQ 
1zdKhpwf/BsJeSznXyaPVxFcmMFHbmyt46gQ/jQQEyt7YhyohGOt1op01qDGwtOnWZGQ+ccvqXSL 
Ge1HYdlDtE1LMEcGg1mCd56GfrDcJdX0cZJmiDzizyjGKDdPf+1VM5JHCo6UNLFlIFyPmGvcCXnt 
NVqsYvxSzF038ciQqlm0sqrVrrYZuIUAXDWUNUg9pSGzHOFkSsZRPxrQh+3N5DEFFlMzybvm1FYu 
9h83gL4WJWMizETO6Vs/D0p6BSf2MPxKe790R5TfxFqJD9DnYgCnHmGooVmnSSnDsAgWebvF1uhZ 
nGGkH5ROgT7v3CDrdFtRoNYAT+YvO941KzFCSE0sshykGSjgVn31XQ5vgDH1PvqNaYs/PWiCvmI/ 
wYKSTn9/hn7JM1DqOR1PGEkVjg5WbxcViejMrrIzNrIciFNzlFuggaE8tC7uyuQZa2rcmTrXGWCl 
sDU4uOvFpFvrcC/lavr9Fnx7LPwXaOasvJd19SPbD+qYgshz9AI/nIXaZdioHzEQwa8pkoNRBwjZ 
ef+WFC9dWIy+ctbBT0+EM06Xj1aTI1bV80mN/6LhiS8g7KpFz4RN+ag1iu6pgZ5O58Zot9gqkpFw 
kVS9vT4EOzwNGo7pQI8CAwEAAaN9MHswIAYDVR0RBBkwF4IVaXNlMy0xLTE5LmNrdW1hcjIuY29t 
MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgLsMB0GA1UdDgQWBBRIkY2z/9H9PpwSnOPGARCj5iaZ 
oDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEMBQADggIBAIE6mnBL 
206Dkb6fHdgKd9goN8N2bj+34ybwxqvDSwGtn4NA6Hy1q7N6iJzAD/7soZfHgOT2UTgZpRF9FsHn 
CGchSHqDt3bQ7g+GWlvcgreC7R46qenaonXVrltRw11vVIdCf8JQFFMxya/rIC4mxVeooOj1Fl9d 
rvDBH+XVEt67DnQWkuLp8zPJUuqfa4H0vdm6oF3uBteO/pdUtEi6fObqrOwCyWd9Tjq7KXfd2ITW 
hMxaFsv8wWcVuOMDPkP9xUwwt6gfH0bE5luT4EYVuuHiwMNGbZqgqb+a4uSkX/EfiDVoLSL6KI31 
nf/341cuRTJUmDh9g2mppbBwOcxzoUxDm+HReSe+OJhRCyIJcOvUpdNmYC8cfAZuiV/e3wk0BLZM 
lgV8FTVQSnra9LwHP/PgeNAPUcRPXSwaKE4rvjvMc0aS/iYdwZhZiJ8zBdIBanMv5mGu1nvTEt9K 
EEwj9yslIHmdqoH3Em0F0gnzR0RvsMPbJxAoTFjfoITTMdQXNHhg+wlPOKXS2GCZ29vAM52d8ZCq 
UrzOVxNHKWKwER/q1GgaWvh3X/G+z1shUQDrJcBdLcZI1WKUMa6XVDj18byhBM7pFGwg4z9YJZGF 
/ncHcoxFY759LA+m7Brp7FFPiGCrPW8E0v7bUMSDmmg/53NoktfJ1CckaWE87myhimj0
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
<md:AssertionConsumerService index="0" Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<md:AssertionConsumerService index="1" Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>

</md:SPSSODescriptor>
</md:EntityDescriptor>

سمات الاهتمام من ملف XML:

EntityID="http://CiscoISE/100d02da-9457-41e8-87d7-0965b0714db2"

موقع ConfirmationConsumerService="https://10.201.232.19:8443/portal/SSOLoginResponse.action"

موقع ConfirmationConsumerService="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action"

الخطوة 2. تكوين إعدادات Azure AD IDp

1. إنشاء مستخدم Azure AD

قم بتسجيل الدخول إلى لوحة معلومات مركز إدارة Azure Active Directory وحدد AD الخاص بك كما هو موضح في الصورة.

حدد المستخدمين، وانقر فوق مستخدم جديد، وقم بتكوين اسم المستخدم، والاسم وكلمة المرور الأولية كما هو مطلوب. انقر على إنشاء كما هو موضح في الصورة.

2. إنشاء مجموعة Azure AD

تحديد مجموعات. طقطقة مجموعة جديد.

الاحتفاظ بنوع المجموعة كأمان. قم بتكوين اسم المجموعة كما هو موضح في الصورة.

3. تعيين مستخدم Azure AD إلى المجموعة

انقر فوق عدم تحديد أعضاء. أختر المستخدم وانقر فوق تحديد. انقر فوق إنشاء لإنشاء المجموعة بواسطة مستخدم تم تعيينه لها.

اكتب ملاحظة بمعرف كائن المجموعة، في هذه الشاشة، يكون 576c60ec-c0b6-4044-a8ec-d395b1475d6e لمجموعة إدارة ISE كما هو موضح في الصورة.

4. قم بإنشاء تطبيق Azure AD Enterprise

تحت AD، حدد تطبيقات المؤسسة وانقر فوق تطبيق جديد.

حدد إنشاء التطبيق الخاص بك.

أدخل اسم التطبيق الخاص بك وحدد تكامل أي تطبيق آخر لا تجده في زر انتقاء المعرض (غير المعرض) وانقر على زر إنشاء كما هو موضح في الصورة.

5. إضافة مجموعة إلى التطبيق

حدد تعيين مستخدمين ومجموعات.

انقر فوق إضافة مستخدم/مجموعة.

انقر فوق المستخدمين والمجموعات.

أختر المجموعة التي تم تكوينها مسبقا وانقر فوق تحديد.

ملاحظة: حدد المجموعة المناسبة من المستخدمين أو المجموعات الذين يحصلون على الوصول كما هو مقصود، كما يحصل المستخدمون والمجموعات المذكورة هنا على الوصول إلى ISE بمجرد اكتمال الإعداد.

بمجرد تحديد المجموعة، انقر فوق تعيين.

ونتيجة لذلك، يتم ملء القائمة المستخدمون والمجموعات للتطبيق الذي تم تكوينه بالمجموعة المحددة.

6. تكوين تطبيق Azure AD Enterprise

انتقل مرة أخرى إلى التطبيق وانقر فوق إعداد تسجيل دخول أحادي.

حدد SAML على الشاشة التالية.

انقر على تحرير بجوار تكوين SAML الأساسي.

تعبئة المعرف (معرف الوحدة) بقيمة EntityID من ملف XML من معلومات موفر خدمة التصدير للخطوة. قم بتعميم عنوان URL للرد (عنوان URL لخدمة المستهلك للتأكيد) بقيمة المواقع من ConfirmationConsumerService. انقر فوق حفظ.

ملاحظة: يعمل عنوان URL الخاص بالرد كقائمة مرور، والتي تسمح لبعض عناوين URL بالعمل كمصدر عند إعادة توجيهها إلى صفحة IdP.

7. تكوين سمة مجموعة Active Directory

لإرجاع قيمة سمة المجموعة التي تم تكوينها مسبقا، انقر فوق تحرير بجوار سمات المستخدم والمطالبات.

انقر فوق إضافة مطالبة مجموعة.

حدد مجموعات التأمين وانقر حفظ. حدد معرف المجموعة ضمن القائمة المنسدلة السمة المصدر. حدد خانة الاختيار لتخصيص اسم مطالبة المجموعة وأدخل اسم مجموعات.

دون اسم المطالبة للمجموعة. في هذه الحالة، إنها مجموعات.

8. تنزيل ملف XML لبيانات تعريف إتحاد Azure

انقر على تنزيل مقابل XML لبيانات تعريف الاتحاد في شهادة توقيع SAML.

الخطوة 3. تحميل MetaData من Azure Active Directory إلى ISE

انتقل إلى إدارة > إدارة الهوية > مصادر الهوية الخارجية > مزودي معرف SAML > [مزود SAML الخاص بك].

قم بتبديل علامة التبويب إلى تكوين موفر الهوية. وانقر فوق إستعراض. حدد ملف بيانات تعريف الاتحاد XML من خطوة تنزيل Azure Federation Metadata XML وانقر على حفظ.

الخطوة 4. تكوين مجموعات SAML على ISE

قم بالتبديل إلى مجموعات علامات التبويب والصق قيمة اسم المطالبة من تكوين سمة مجموعة Active Directory في سمة عضوية المجموعة.

انقر على إضافة. قم بتعميم الاسم في التأكيد مع قيمة معرف كائن المجموعة ل مجموعة مسؤول ISE الملتقطة في تعيين مستخدم Azure Active Directory إلى المجموعة.

قم بتكوين الاسم في ISE مع القائمة المنسدلة وحدد المجموعة المناسبة على ISE. في هذا المثال، المجموعة المستخدمة هي Super Admin. وانقر فوق OK. انقر فوق حفظ. 

يؤدي هذا إلى إنشاء تعيين بين المجموعة في Azure واسم المجموعة على ISE.

(إختياري) الخطوة 5. تكوين سياسات RBAC

من الخطوة السابقة، هناك العديد من الأنواع المختلفة لمستويات وصول المستخدم التي يمكن تكوينها على ISE.

لتحرير سياسات التحكم في الوصول القائمة على الأدوار (RBAC)، انتقل إلى الإدارة > النظام > وصول المسؤول > التخويل > أذون > سياسات RBAC والتكوين حسب الحاجة.

هذه الصورة هي مرجع إلى نموذج التكوين.

التحقق من الصحة

تأكد من أن التكوين لديك يعمل بشكل صحيح.

ملاحظة: إختبار تسجيل دخول SAML SSO من وظيفة إختبار Azure لا يعمل. يجب بدء طلب SAML من قبل ISE لكي يعمل Azure SAML SSO بشكل صحيح.

افتح شاشة مطالبة تسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) ل ISE. تعرض عليك خيار جديد لتسجيل الدخول باستخدام SAML.

1. قم بالوصول إلى صفحة تسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بك وانقر فوق تسجيل الدخول باستخدام SAML.

2. تتم إعادة توجيهك إلى شاشة تسجيل الدخول إلى Microsoft. أدخل بيانات اعتماد اسم المستخدم الخاصة بك لحساب في مجموعة معينة إلى ISE كما هو موضح هنا وانقر فوق التالي كما هو موضح في الصورة.

3. أدخل كلمة المرور الخاصة بك للمستخدم وانقر فوق تسجيل الدخول.

4. تتم الآن إعادة توجيهك إلى لوحة معلومات تطبيق ISE بالأذونات المناسبة التي تم تكوينها استنادا إلى مجموعة ISE التي تم تكوينها سابقا كما هو موضح في الصورة.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

المشكلات الشائعة

من المهم فهم أنه يتم معالجة مصادقة SAML بين المستعرض و Azure Active Directory. وبالتالي، يمكنك الحصول على الأخطاء المتعلقة بالمصادقة مباشرة من موفر الهوية (Azure) حيث لم تبدأ مشاركة ISE بعد.

الإصدار 1. يظهر خطأ "حسابك أو كلمة مرورك غير صحيح" بعد إدخال بيانات الاعتماد. هنا، لم يستلم ISE بيانات المستخدم بعد وتبقى العملية عند هذه النقطة مع IdP (Azure).

السبب الأكثر ترجيحا هو أن معلومات الحساب غير صحيحة أو أن كلمة المرور غير صحيحة. لإصلاح: قم بإعادة ضبط كلمة المرور أو توفير كلمة المرور الصحيحة لذلك الحساب كما هو موضح في الصورة.

المسألة 2. المستخدم ليس جزءا من المجموعة التي يفترض أن يسمح لها بالوصول إلى SAML SSO. على غرار الحالة السابقة، لم يتم إستلام بيانات المستخدم من قبل ISE ولا تزال العملية عند هذه النقطة مع IdP (Azure).

لحل هذه المشكلة: تحقق من تنفيذ خطوة إضافة مجموعة إلى تكوين التطبيق بشكل صحيح كما هو موضح في الصورة.

المسألة 3. يتعذر على خادم تطبيق ISE معالجة طلبات تسجيل الدخول إلى SAML. تحدث هذه المشكلة عندما يتم بدء طلب SAML من Identity Provider، Azure، بدلا من Service Provider، ISE. لا يعمل إختبار تسجيل دخول SSO من Azure AD لأن ISE لا يدعم طلبات SAML التي بدأها موفر الهوية.

المسألة 4. يعرض ISE خطأ "رفض الوصول" بعد محاولة تسجيل الدخول. يحدث هذا الخطأ عندما لا يتطابق اسم المطالبة للمجموعة التي تم إنشاؤها مسبقا في تطبيق Azure Enterprise مع ISE.

لحل هذه المشكلة: تأكد من تطابق اسم مطالبة المجموعة في Azure و ISE ضمن علامة التبويب SAML Identity Provider Groups. راجع الخطوات 2.7 و 4. ضمن قسم تكوين SAML SSO باستخدام Azure AD في هذا المستند للحصول على مزيد من التفاصيل.

أستكشاف أخطاء ISE وإصلاحها

يجب تغيير مستوى سجل المكونات هنا على ISE. انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل الأخطاء.

اسم المكون	مستوى التسجيل	اسم ملف السجل
بوابة	تصحيح الأخطاء	guest.log
أوبن سامل	تصحيح الأخطاء	ise-psc.log
سامل	تصحيح الأخطاء	ise-psc.log

سجلات تتضمن تسجيل دخول SAML وأسماء مطالبات المجموعة غير المطابقة

مجموعة من تصحيح الأخطاء تعرض سيناريو أستكشاف أخطاء اسم المطالبة وإصلاحها في وقت تنفيذ التدفق (ise-psc.log).

ملاحظة: التطلع دائما إلى العناصر بالخط العريض. تم تقليل عدد السجلات لأغراض التوضيح.

1. تتم إعادة توجيه المستخدم إلى عنوان URL ل IdP من صفحة مسؤول ISE.

2021-07-29 13:48:20,709 INFO   [admin-http-pool46][] api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig Type: PDP
2021-07-29 13:48:20,712 INFO   [admin-http-pool46][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as found in IdP configuration):http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - spUrlToReturnTo:https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:20,844 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Request:
2021-07-29 13:48:20,851 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- <?xml version="1.0" encoding="UTF-16"?><samlp:AuthnRequest AssertionConsumerServiceURL="https://10.201.232.19:8443/portal/SSOLoginResponse.action" ForceAuthn="false"

2. تم تلقي إستجابة SAML من المستعرض.

2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.201.232.19 This node's host name:ise3-1-19 LB:null request Server Name:10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.201.232.19) this node host name is:10.201.232.19

-::::- Decoded SAML relay state of: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19

2021-07-29 13:48:27,177 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Parsing message stream into DOM document

-::::- Decoded SAML message

2021-07-29 13:48:27,182 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder -::::- Extracting ID, issuer and issue instant from status response
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- No security policy resolver attached to this message context, no security policy evaluation attempted
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Successfully decoded message.
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Checking SAML message intended destination endpoint against receiver endpoint
opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Intended message destination endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Actual message receiver endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator - [https://10.201.232.19:8443/portal/SSOLoginResponse.action] vs. [https://10.201.232.19:8443/portal/SSOLoginResponse.action]
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- SAML message intended destination endpoint matched recipient endpoint
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: statusCode:urn:oasis:names:tc:SAML:2.0:status:Success

3. تم بدء تحليل السمة (التأكيد).

2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/tenantid
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/displayname
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/displayname> add value=<mck>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/displayname> value=<mck>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> add value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/identityprovider
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/identityprovider> add value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/identityprovider> value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/claims/authnmethodsreferences
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/claims/authnmethodsreferences> add value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/claims/authnmethodsreferences> value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> add value=<email>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> value=(email)
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: IdentityAttribute is set to Subject Name

4. يتم إستلام سمة المجموعة بقيمة 576c60ec-c0b6-4044-a8ec-d395b1475d6e، توقيع التحقق.

2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
        IdP URI: https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/
        SP URI: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
        Assertion Consumer URL: https://10.201.232.19:8443/portal/SSOLoginResponse.action
        Request Id: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
        Client Address: 10.24.226.171
        Load Balancer: null
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard with cert:CN=Microsoft Azure Federated SSO Certificate serial:49393248893701952091070196674789114797
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Enveloped signature transform
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Exclusive C14N signature transform
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing certificate
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Attempting to validate signature using key from supplied credential
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Creating XMLSignature object
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validating signature with signature algorithm URI: https://www.w3.org/2001/04/xmldsig-more#rsa-sha256
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Signature validated with key from supplied credential
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated succesfully
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for (email)
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=Microsoft Azure Federated SSO Certificate] as signing certificates
2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo: (email), format=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, sessionIndex=_7969c2df-f4c8-4734-aab4-e69cf25b9600, time diff=17475, attributeValues=null
2021-07-29 13:48:27,358 INFO   [admin-http-pool50][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

5. التحقق من صحة اعتماد RBAC.

*************************Rbac Log Summary for user samlUser*************************
2021-07-29 13:48:27,360 INFO   [admin-http-pool50][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
2021-07-29 13:48:27,368 ERROR  [admin-http-pool50][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
java.lang.NullPointerException
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
2021-07-29 13:48:27,369 ERROR  [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do