Konfigurieren des ISE 2.3-Gastportals mit OKTA SAML SSO

Einführung

In diesem Dokument wird beschrieben, wie Identity Services Engine (ISE) in OKTA integriert wird, um eine Single Sign-On (SAML SSO)-Authentifizierung (Security Assertion Markup Language Single Sign-On) für das Gastportal bereitzustellen.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

• Gastservices der Cisco Identity Services Engine. 
• SAML SSO. 
• (optional) Konfiguration des Wireless LAN Controllers (WLC)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Identity Services Engine 2.3.0.298
• OKTA SAML SSO-Anwendung
• Cisco 5500 Wireless Controller Version 8.3.141.0
• Windows 7

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Federated SSO

Ein Benutzer innerhalb der Organisation kann sich einmalig authentifizieren und dann auf mehrere Ressourcen zugreifen. Diese Identität, die unternehmensübergreifend verwendet wird, wird als "föderierte Identität" bezeichnet.

Das Verbundkonzept:

• Grundsatz: Endbenutzer (der einen Service anfordert), in diesem Fall Webbrowser, ist das Endgerät.
• Service Provider: manchmal auch als Relying Party (RP) bezeichnet, d. h. das System, das einen Service bereitstellt, in diesem Fall ISE.
• Identitätsanbieter (IdP): , das die Authentifizierungs-, Autorisierungsergebnisse und Attribute verwaltet, die an SP, in diesem Fall OKTA, zurückgesendet werden.
• Assertion: die Benutzerinformationen, die von IdP an SP gesendet wurden.

Mehrere Protokolle implementieren SSO, z. B. OAuth2 und OpenID. Die ISE verwendet SAML.

SAML ist ein XML-basiertes Framework, das die sichere Verwendung und den sicheren Austausch von SAML-Assertionen zwischen Geschäftseinheiten beschreibt. Der Standard beschreibt die Syntax und die Regeln, um diese Assertionen anzufordern, zu erstellen, zu verwenden und auszutauschen.

Die ISE verwendet den SP-initiierten Modus. Der Benutzer wird zum Gastportal umgeleitet, und die ISE leitet ihn zur Authentifizierung an IDP weiter. Danach wird wieder zur ISE umgeleitet. Die Anfrage wird validiert, und der Benutzer erhält je nach Portalkonfiguration Gastzugriff oder Onboarding.

Netzwerkfluss

1. Der Benutzer stellt eine Verbindung mit der SSID her, und die Authentifizierung ist MAC-Filterung (MAB).
   
   
2. Die ISE antwortet mit Access-Accept, das die Attribute Redirect-URL und Redirect-ACL enthält.
   
3. Benutzer versucht, auf www.facebook.com zuzugreifen.
   
4. WLC fängt die Anforderung ab und leitet den Benutzer zum ISE-Gastportal weiter. Der Benutzer klickt auf den Mitarbeiterzugriff, um das Gerät mit SSO-Anmeldeinformationen zu registrieren.
   
5. Die ISE leitet den Benutzer zur Authentifizierung an die OKTA-Anwendung weiter.
   
6. Nach erfolgreicher Authentifizierung sendet OKTA die SAML Assertion-Antwort an den Browser.
   
7. Browser leitet die Assertion zurück zur ISE.
   
8. Die ISE überprüft die Assertionsantwort, und wenn der Benutzer ordnungsgemäß authentifiziert wurde, geht er zum AUP und dann bei der Geräteregistrierung über.

Über den unten stehenden Link erhalten Sie weitere Informationen zu SAML.

https://developer.okta.com/standards/SAML/

Konfigurieren

Schritt 1: Konfigurieren von SAML Identity Provider und Guest Portal auf der ISE

1. Erstellen einer externen Identitätsquelle.

Schritt 1: Navigieren Sie zu Administration > External Identity Sources > SAML id Providers.

 Schritt 2: Weisen Sie dem ID-Anbieter einen Namen zu, und senden Sie die Konfiguration.

2. Portal für SSO erstellen.

Schritt 1: Erstellen Sie das Portal, das der OKTA als Identitätsquelle zugewiesen ist. Alle anderen Konfigurationen für BYOD, Geräteregistrierung, Gast usw. entsprechen exakt den Einstellungen für das normale Portal. In diesem Dokument wird das Portal dem Gastportal als alternative Anmeldung für Mitarbeiter zugeordnet.

Schritt 2: Navigieren Sie zu Work Center > Guest Access > Portals & Components (Arbeitscenter > Gastzugriff > Portale & Komponenten), und erstellen Sie das Portal.

Schritt 3: Wählen Sie die Authentifizierungsmethode aus, um auf den zuvor konfigurierten Identitätsanbieter zu verweisen.

Schritt 4: Wählen Sie OKTA-Identitätsquelle als Authentifizierungsmethode aus.

(Optional) Wählen Sie die BYOD-Einstellungen aus.

Schritt 5: Speichern Sie die Portalkonfiguration. Bei BYOD sieht der Ablauf wie folgt aus:

3. Konfigurieren der alternativen Anmeldung

Hinweis: Sie können diesen Teil überspringen, wenn Sie nicht die alternative Anmeldung verwenden.

Navigieren Sie zum Portal für Gastbenutzer zur Selbstregistrierung oder zu einem anderen Portal, das für den Gastzugriff angepasst wurde.

Fügen Sie bei den Einstellungen der Anmeldeseite das alternative Anmeldeportal hinzu: OKTA_SSO.

Dies ist jetzt der Portalfluss.

Schritt 2: Konfigurieren der Einstellungen für die OKTA-Anwendung und den SAML Identity Provider

1. Erstellen einer OKTA-Anwendung.

Schritt 1: Melden Sie sich auf der OKTA-Website mit einem Administratorkonto an.

Schritt 2: Klicken Sie auf Anwendung hinzufügen.

Schritt 3: Neue Anwendung erstellen, SAML2.0 auswählen

Allgemeine Einstellungen

Schritt 4: Laden Sie das Zertifikat herunter und installieren Sie es in ISE Trusted Certificates.

2. Exportieren von SP-Informationen vom SAML Identity Provider.

Navigieren Sie zum zuvor konfigurierten Identitätsanbieter. Klicken Sie auf Service Provider Info, und exportieren Sie sie, wie im Bild gezeigt.

Der exportierte ZIP-Ordner enthält die XML-Datei und readme.txt

Bei einigen Identitätsanbietern können Sie XML direkt importieren, in diesem Fall jedoch manuell importieren.

• URL für einmalige Anmeldung (Saml Assertion)
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• SP-Element-ID

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

Die SSO-URL ist in IP-Adresse und im FQDN-Format verfügbar.

Vorsicht: Die Auswahl des Formats hängt von den Umleitungseinstellungen im Autorisierungsprofil ab. Wenn Sie statische IP verwenden, sollten Sie die IP-Adresse für die SSO-URL verwenden.

3. OKTA SAML-Einstellungen.

Schritt 1: Fügen Sie diese URLs in den SAML-Einstellungen hinzu.

Schritt 2: Sie können mehr als eine URL aus der XML-Datei hinzufügen, abhängig von der Anzahl der PSNs, die diesen Dienst hosten. Das Namens-ID-Format und der Anwendungsbenutzername hängen vom Design ab.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Schritt 3: Klicken Sie auf Weiter und wählen Sie die zweite Option aus.

 4. Exportieren von Metadaten aus der Anwendung.

Metadaten:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Speichern Sie die Datei im XML-Format.

5. Weisen Sie der Anwendung Benutzer zu.

Weisen Sie dieser Anwendung Benutzer zu, gibt es eine Möglichkeit für die AD-Integration, wie in beschrieben: okta-aktives Verzeichnis

6. Importieren von Metadaten aus IP in ISE

Schritt 1: Wählen Sie unter SAML Identity Provider die Option Identity Provider Config aus. und Metadaten importieren.

Schritt 2: Speichern Sie die Konfiguration.

Schritt 3.CWA-Konfiguration.

Dieses Dokument beschreibt die Konfiguration für ISE und WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Fügen Sie URLs in der Umleitungsliste hinzu.

https://cisco-yalbikaw.okta.com  / Anwendungs-URL hinzufügen

https://login.okta.com

Überprüfen

Testen Sie das Portal, und überprüfen Sie, ob Sie die OKTA-Anwendung erreichen können.

Schritt 1: Klicken Sie auf den Portaltest, und Sie sollten zur SSO-Anwendung umgeleitet werden.

Schritt 2: Überprüfen Sie die Informationsverbindung mit <Anwendungsname>.

Schritt 3: Wenn Sie die Anmeldeinformationen eingeben, die Sie möglicherweise als ungültige Anfrage erhalten, bedeutet dies nicht notwendigerweise, dass die Konfiguration zu diesem Zeitpunkt falsch ist.

Endbenutzerverifizierung

 ISE-Verifizierung 

Überprüfen Sie die Lebenszyklusprotokolle, um den Authentifizierungsstatus zu überprüfen.

Fehlerbehebung

 OKTA-Fehlerbehebung

Schritt 1: Überprüfen Sie die Registerkarte Protokolle in Berichten.

Schritt 2: Auch aus der Anwendungsansicht die zugehörigen Protokolle.

ISE-Fehlerbehebung

Es müssen zwei Protokolldateien überprüft werden.

• ise-psc.log
•  guest.log 

Navigieren Sie zu Administration > System > Logging > Debug Log Configuration. Aktivieren Sie die Ebene zu DEBUG.

SAML	ise-psc.log
Gastzugriff	guest.log
Portal	guest.log

Die Tabelle zeigt die zu debuggende Komponente und die entsprechende Protokolldatei.

Häufige Probleme und Lösungen

Szenario 1. Ungültige SAML-Anforderung.

Dieser Fehler ist allgemein gehalten. Überprüfen Sie die Protokolle, um den Datenfluss zu überprüfen und das Problem zu identifizieren. Auf ISE guest.log:

ISE# show logging application guest.log | Letzte 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

ISE hat den Benutzer erfolgreich an IDP umgeleitet. Es wird jedoch keine Antwort auf die ISE angezeigt, und die SAML-Anfrage ist fehlerhaft. Stellen Sie fest, dass OKTA unsere SAML-Anfrage unten nicht akzeptiert.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Überprüfen Sie jetzt noch einmal die Anwendung, ob Änderungen vorgenommen wurden.

Die SSO-URL verwendet die IP-Adresse. Der Gast sendet jedoch FQDN, wie in der Anfrage oben dargestellt, die letzte Zeile enthält SEMI_DELIMITER<FQDN>, um dieses Problem zu beheben. Ändern Sie die IP-Adresse in den OKTA-Einstellungen in FQDN.

Szenario 2. "Beim Zugriff auf die Website ist ein Problem aufgetreten. Bitte wenden Sie sich an den Helpdesk, um Hilfe zu erhalten."

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

Aus den Protokollen meldet die ISE, dass die Assertion nicht korrekt ist. Überprüfen Sie den OKTA Audience URI, um sicherzustellen, dass er mit dem SP übereinstimmt, um ihn aufzulösen.

Szenario 3. Umgeleitet zur leeren Seite, oder die Anmeldungsoption wird nicht angezeigt.

Dies hängt von der Umgebung und der Portalkonfiguration ab. Bei diesem Problem müssen Sie die OKTA-Anwendung und die URLs überprüfen, die authentifiziert werden müssen. Klicken Sie auf den Portaltest, und überprüfen Sie dann das Element, welche Websites erreichbar sein müssen.

In diesem Szenario gibt es nur zwei URLs: application und login.okta.com - diese sollten auf dem WLC erlaubt sein.

Zugehörige Informationen 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com