Konfigurieren von ISE 3.1-Admin-Login Flow über SAML SSO mit Azure AD

Download-Optionen

  • PDF     (2.9 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.8 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.8 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. August 2024
Dokument-ID:217342

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die Cisco ISE 3.1 SAML SSO-Integration mit einem externen Identitätsanbieter wie Azure Active Directory (AD) konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    1. Cisco ISE 3.1
    2. SAML-SSO-Bereitstellungen
    3. Azure AD

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    1. Cisco ISE 3.1
    2. Azure AD

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    BEDINGUNGEN:

    Identitätsanbieter (IdP):

    die Azure AD-Autorität, die eine Benutzeridentität und Zugriffsberechtigungen für eine angeforderte Ressource (den Dienstanbieter) überprüft und bestätigt.

    Service Provider:

    die gehostete Ressource oder den gehosteten Dienst, auf die bzw. den der Benutzer zugreifen möchte (ISE-Anwendungsserver).

    SAML

    Security Assertion Markup Language (SAML) ist ein offener Standard, der IdP zum Übergeben von Autorisierungsanmeldeinformationen an SP zulässt.

    SAML-Transaktionen verwenden Extensible Markup Language (XML) für die standardisierte Kommunikation zwischen Identitätsanbieter und Dienstanbieter.

    SAML ist die Verbindung zwischen der Authentifizierung einer Benutzeridentität und der Autorisierung zur Nutzung eines Dienstes.

    SAML-Assertion

    Eine SAML-Assertion ist das XML-Dokument, das der Identitätsanbieter an den Dienstanbieter sendet, der die Benutzerautorisierung enthält.

    Es gibt drei verschiedene Arten von SAML-Assertionen: Authentifizierung, Attribut und Autorisierungsentscheidung.

    • Authentifizierungsassertionen belegen die Identifizierung des Benutzers und geben die Zeit an, zu der sich der Benutzer angemeldet hat, sowie die verwendete Authentifizierungsmethode (z. B. Kerberos, zweistufig).
    • Die Attributassertion übergibt die SAML-Attribute, d. h. bestimmte Datenelemente, die Informationen über den Benutzer bereitstellen, an den Service Provider.
    • Eine Autorisierungsentscheidungsbestätigung gibt an, ob der Benutzer zur Nutzung des Dienstes autorisiert ist oder ob der identifizierende Anbieter seine Anfrage aufgrund eines Kennwortfehlers oder fehlender Rechte für den Dienst abgelehnt hat.

    Übergeordnetes Flussdiagramm

    SAML übergibt Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsanbieter Azure AD und dem Dienstanbieter ISE.

    Jeder Benutzer meldet sich einmal bei einer einmaligen Anmeldung (Single Sign-On, SSO) beim Identitätsanbieter an. Anschließend übergibt der Azure AD-Anbieter die SAML-Attribute an die ISE, wenn der Benutzer versucht, auf diese Dienste zuzugreifen.

    ISE fordert Autorisierung und Authentifizierung von Azure AD an, wie im Bild dargestellt.

    ISE 3.1 SSO - Übersichtsdiagramm

    Konfigurieren der SAML-SSO-Integration mit Azure AD

    Schritt 1: Konfiguration des SAML Identity Providers auf der ISE

    1. Azure AD als externe SAML-Identitätsquelle konfigurieren

    Navigieren Sie auf der ISE zu Administration > Identity Management > External Identity Sources > SAML Id Providers, und klicken Sie auf die Schaltfläche Add (Hinzufügen).

    Geben Sie den ID-Anbieternamen ein, und klicken Sie auf Senden, um ihn zu speichern. Der ID-Anbietername ist nur für die ISE relevant, wie im Bild gezeigt.

    SAML-Anbieter erstellen

    2. Konfigurieren der ISE-Authentifizierungsmethode

    Navigieren Sie zu Administration > System > Admin Access > Authentication > Authentication Method, und wählen Sie das Optionsfeld Password Based (Passwortbasiert) aus.

    Wählen Sie den zuvor erstellten erforderlichen ID-Anbieternamen aus der Dropdown-Liste Identitätsquelle aus, wie im Bild dargestellt.

    Authentifizierungsmethode ändern

    3. Exportieren von Informationen zu Service Providern

    Navigieren Sie zu Administration > Identity Management > External Identity Sources > SAML Id Providers > [Your SAML Provider].

    Wechseln Sie zur Registerkarte Service Provider Info., und klicken Sie auf die Schaltfläche Exportieren, wie in der Abbildung dargestellt.

    Exportieren von Service Provider-Informationen.

    Laden Sie die .xml-Datei herunter, und speichern Sie sie. Notieren Sie sich die Standort-URL und den entityID-Wert.

    <?xml version="1.0" encoding="UTF-8"?>
    <md:EntityDescriptor entityID="http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"><md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true" AuthnRequestsSigned="false">
    <md:KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFTjCCAzagAwIBAgINAg2amSlL6NAE8FY+tzANBgkqhkiG9w0BAQwFADAlMSMwIQYDVQQDExpT 
    QU1MX2lzZTMtMS0xOS5ja3VtYXIyLmNvbTAeFw0yMTA3MTkwMzI4MDBaFw0yNjA3MTgwMzI4MDBa 
    MCUxIzAhBgNVBAMTGlNBTUxfaXNlMy0xLTE5LmNrdW1hcjIuY29tMIICIjANBgkqhkiG9w0BAQEF 
    AAOCAg8AMIICCgKCAgEAvila4+SOuP3j037yCOXnHAzADupfqcgwcplJQnFxhVfnDdOixGRT8iaQ 
    1zdKhpwf/BsJeSznXyaPVxFcmMFHbmyt46gQ/jQQEyt7YhyohGOt1op01qDGwtOnWZGQ+ccvqXSL 
    Ge1HYdlDtE1LMEcGg1mCd56GfrDcJdX0cZJmiDzizyjGKDdPf+1VM5JHCo6UNLFlIFyPmGvcCXnt 
    NVqsYvxSzF038ciQqlm0sqrVrrYZuIUAXDWUNUg9pSGzHOFkSsZRPxrQh+3N5DEFFlMzybvm1FYu 
    9h83gL4WJWMizETO6Vs/D0p6BSf2MPxKe790R5TfxFqJD9DnYgCnHmGooVmnSSnDsAgWebvF1uhZ 
    nGGkH5ROgT7v3CDrdFtRoNYAT+YvO941KzFCSE0sshykGSjgVn31XQ5vgDH1PvqNaYs/PWiCvmI/ 
    wYKSTn9/hn7JM1DqOR1PGEkVjg5WbxcViejMrrIzNrIciFNzlFuggaE8tC7uyuQZa2rcmTrXGWCl 
    sDU4uOvFpFvrcC/lavr9Fnx7LPwXaOasvJd19SPbD+qYgshz9AI/nIXaZdioHzEQwa8pkoNRBwjZ 
    ef+WFC9dWIy+ctbBT0+EM06Xj1aTI1bV80mN/6LhiS8g7KpFz4RN+ag1iu6pgZ5O58Zot9gqkpFw 
    kVS9vT4EOzwNGo7pQI8CAwEAAaN9MHswIAYDVR0RBBkwF4IVaXNlMy0xLTE5LmNrdW1hcjIuY29t 
    MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgLsMB0GA1UdDgQWBBRIkY2z/9H9PpwSnOPGARCj5iaZ 
    oDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEMBQADggIBAIE6mnBL 
    206Dkb6fHdgKd9goN8N2bj+34ybwxqvDSwGtn4NA6Hy1q7N6iJzAD/7soZfHgOT2UTgZpRF9FsHn 
    CGchSHqDt3bQ7g+GWlvcgreC7R46qenaonXVrltRw11vVIdCf8JQFFMxya/rIC4mxVeooOj1Fl9d 
    rvDBH+XVEt67DnQWkuLp8zPJUuqfa4H0vdm6oF3uBteO/pdUtEi6fObqrOwCyWd9Tjq7KXfd2ITW 
    hMxaFsv8wWcVuOMDPkP9xUwwt6gfH0bE5luT4EYVuuHiwMNGbZqgqb+a4uSkX/EfiDVoLSL6KI31 
    nf/341cuRTJUmDh9g2mppbBwOcxzoUxDm+HReSe+OJhRCyIJcOvUpdNmYC8cfAZuiV/e3wk0BLZM 
    lgV8FTVQSnra9LwHP/PgeNAPUcRPXSwaKE4rvjvMc0aS/iYdwZhZiJ8zBdIBanMv5mGu1nvTEt9K 
    EEwj9yslIHmdqoH3Em0F0gnzR0RvsMPbJxAoTFjfoITTMdQXNHhg+wlPOKXS2GCZ29vAM52d8ZCq 
    UrzOVxNHKWKwER/q1GgaWvh3X/G+z1shUQDrJcBdLcZI1WKUMa6XVDj18byhBM7pFGwg4z9YJZGF 
    /ncHcoxFY759LA+m7Brp7FFPiGCrPW8E0v7bUMSDmmg/53NoktfJ1CckaWE87myhimj0
    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
    <md:AssertionConsumerService index="0" Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
    <md:AssertionConsumerService index="1" Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>

    </md:SPSSODescriptor>
    </md:EntityDescriptor>

    Interessante Attribute aus der XML-Datei:

    entityID="http://CiscoISE/100d02da-9457-41e8-87d7-0965b0714db2"

    AssertionConsumerService Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action"

    AssertionConsumerService Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action"

    Schritt 2: Azure AD IDp-Einstellungen konfigurieren

    1. Erstellen Sie einen Azure AD-Benutzer

    Melden Sie sich beim Azure Active Directory-Admin-Center-Dashboard an, und wählen Sie Ihr AD wie im Bild dargestellt aus.

    Azure Active Directory-Admin-Center-Dashboard

    Wählen Sie Benutzer aus, klicken Sie auf Neuer Benutzer, konfigurieren Sie Benutzername, Name und Anfangskennwort, wie erforderlich. Klicken Sie auf Erstellen, wie im Bild gezeigt.

    Benutzerkonto erstellen

    2. Erstellen einer Azure AD-Gruppe

    Wählen Sie Gruppen aus. Klicken Sie auf Neue Gruppe.

    Erstellen einer Azure AD-Gruppe

    Behalten Sie Gruppentyp als Sicherheit bei. Konfigurieren Sie den Gruppennamen wie im Bild dargestellt.

    Neue Gruppe erstellen

    3. Azure AD-Benutzer der Gruppe zuweisen

    Klicken Sie auf Keine Mitglieder ausgewählt. Wählen Sie den Benutzer aus, und klicken Sie auf Auswählen. Klicken Sie auf Erstellen, um die Gruppe mit einem zugewiesenen Benutzer zu erstellen.

    Mitglieder hinzufügen

    Notieren Sie sich die Gruppenobjekt-ID. In diesem Bildschirm ist dies 576c60ec-c0b6-4044-a8ec-d395b1475d6e für die ISE-Admin-Gruppe, wie im Bild gezeigt.

    Gruppen-ID

    4. Erstellen einer Azure AD-Enterprise-Anwendung

    Wählen Sie unter AD die Option Enterprise Applications aus, und klicken Sie auf New application.

    Neue Anwendung erstellen

    Wählen Sie die Option Eigene Anwendung erstellen aus.

    Anwendung erstellen

    Geben Sie den Namen Ihrer Anwendung ein, und wählen Sie das Optionsfeld Andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie) und klicken Sie auf die Schaltfläche Erstellen, wie im Bild dargestellt.

    Anwendungskonfiguration bearbeiten

    5. Gruppe zur Anwendung hinzufügen

    Wählen Sie Benutzer und Gruppen zuweisen aus.

    Benutzer und Gruppen zuweisen

    Klicken Sie auf Benutzer/Gruppe hinzufügen.

    Hinzufügen von Benutzern und Gruppen

    Klicken Sie auf Benutzer und Gruppen.

    Gruppenzuweisung

    Wählen Sie die zuvor konfigurierte Gruppe aus, und klicken Sie auf Auswählen.

    Hinweis: Wählen Sie die richtige Gruppe von Benutzern oder Gruppen aus, die wie vorgesehen auf die ISE zugreifen sollen, da die hier erwähnten Benutzer und Gruppen nach Abschluss der Einrichtung Zugriff auf die ISE erhalten.

    Benutzergruppe auswählen

    Klicken Sie nach Auswahl der Gruppe auf Zuweisen.

    Gruppenzuweisung

    Daher wird das Menü Benutzer und Gruppen für die konfigurierte Anwendung mit der ausgewählten Gruppe gefüllt.

    Ausgewählte Benutzergruppe

    6. Konfigurieren einer Azure AD-Enterprise-Anwendung

    Navigieren Sie zurück zu Ihrer Anwendung, und klicken Sie auf einmalige Anmeldung einrichten.

    Single Sign-On einrichten

    Wählen Sie auf dem nächsten Bildschirm SAML aus.

    SAML auswählen

    Klicken Sie neben "SAML-Basiskonfiguration" auf Bearbeiten.

    Konfiguration für einmalige Anmeldung bearbeiten

    Geben Sie in Identifier (Entity ID) den Wert entityID aus der XML-Datei aus Schritt Export Service Provider Information ein. Füllen Sie die Antwort-URL (Assertion Consumer Service URL) mit dem Wert von Locations von AssertionConsumerService aus. Klicken Sie auf Speichern.

    Hinweis: Antworten-URLs fungieren als Weiterleitungsliste, die es bestimmten URLs ermöglicht, als Quelle zu fungieren, wenn sie zur IdP-Seite weitergeleitet werden.

    SAML-Konfiguration

    7. Active Directory-Gruppenattribut konfigurieren

    Um den zuvor konfigurierten Gruppenattributwert zurückzugeben, klicken Sie neben "Benutzerattribute & Ansprüche" auf Bearbeiten.

    Benutzerattribute und Ansprüche bearbeiten

    Klicken Sie auf Gruppenanspruch hinzufügen.

    Gruppenanspruch hinzufügen

    Wählen Sie Sicherheitsgruppen aus, und klicken Sie auf Speichern. Wählen Sie im Dropdown-Menü "Quellattribut" die Option Gruppen-ID aus. Aktivieren Sie das Kontrollkästchen, um den Namen des Gruppenanspruchs anzupassen, und geben Sie den Namen Gruppen ein.

    Sicherheitsgruppen auswählen

    Notieren Sie sich den Forderungsnamen für die Gruppe. In diesem Fall sind es Gruppen.

    Benutzerattribute und Ansprüche

    8. Azure Federation Metadaten-XML-Datei herunterladen

    Klicken Sie auf Download für Verbundmetadaten-XML im SAML-Signaturzertifikat.

    Metadaten herunterladen

    Schritt 3: Hochladen von Metadaten aus Azure Active Directory in die ISE

    Navigieren Sie zu Administration > Identity Management > External Identity Sources > SAML Id Providers > [Your SAML Provider].

    Wechseln Sie von der Registerkarte zu Identity Provider Config, und klicken Sie auf Durchsuchen. Wählen Sie Verbundmetadaten-XML-Datei aus Schritt Azure-Verbundmetadaten-XML herunterladen aus, und klicken Sie auf Speichern.

    Identity Provider-Konfiguration

    Schritt 4: Konfigurieren von SAML-Gruppen auf der ISE

    Wechseln Sie zu Registerkarte Gruppen, und fügen Sie den Wert des Anspruchsnamens aus Active Directory-Gruppenattribut konfigurieren in Gruppenmitgliedschaft-Attribut ein.

    Gruppenattribut hinzufügen

    Klicken Sie auf Hinzufügen. Geben Sie in Assertion den Wert der Gruppenobjekt-ID der ISE-Admin-Gruppe ein, die in Azure Active Directory-Benutzer der Gruppe zuweisen erfasst wurde.

    Konfigurieren Sie Name in ISE mit dem Dropdown-Menü, und wählen Sie die entsprechende Gruppe auf ISE aus. In diesem Beispiel wird die Gruppe "Super Admin" verwendet. Klicken Sie auf OK. Klicken Sie auf Speichern. 

    Dadurch wird eine Zuordnung zwischen der Gruppe in Azure und dem Gruppennamen auf der ISE erstellt.

    Verwaltungsrolle zuordnen

    (Optional) Schritt 5: RBAC-Richtlinien konfigurieren

    Im vorherigen Schritt gibt es viele verschiedene Arten von Benutzerzugriffsebenen, die auf der ISE konfiguriert werden können.

    Um rollenbasierte Zugriffskontrollrichtlinien (RBAC) zu bearbeiten, navigieren Sie zu Administration > System > Admin Access > Authorization > Permissions > RBAC Policies, und konfigurieren Sie sie nach Bedarf.

    Dieses Bild dient als Referenz für die Beispielkonfiguration.

    RBAC-Richtlinien

    Überprüfung

    Bestätigen Sie, dass Ihre Konfiguration ordnungsgemäß funktioniert.

    Hinweis: SAML SSO-Anmeldetest von der Azure-Testfunktion funktioniert nicht. Die SAML-Anforderung muss von ISE initiiert werden, damit die Azure SAML-SSO ordnungsgemäß funktioniert.

    Öffnen Sie den Anmeldeaufforderungsbildschirm der ISE-GUI. Es wird eine neue Option für die Anmeldung mit SAML angezeigt.

    1. Rufen Sie Ihre ISE GUI-Anmeldeseite auf, und klicken Sie auf Anmelden mit SAML.

    Mit SAML anmelden

    2. Sie werden zum Microsoft-Anmeldebildschirm weitergeleitet. Geben Sie Ihre Benutzernamen-Anmeldeinformationen für ein Konto in einer Gruppe ein, die der ISE zugeordnet ist, wie hier dargestellt, und klicken Sie auf Weiter, wie im Bild gezeigt.

    Microsoft-Anmeldeseite

    3. Geben Sie Ihr Kennwort für den Benutzer ein, und klicken Sie auf Anmelden.

    Microsoft-Anmeldeinformationen eingeben

    4. Sie werden jetzt zum ISE-Anwendungs-Dashboard mit den entsprechenden Berechtigungen umgeleitet, die basierend auf der zuvor konfigurierten ISE-Gruppe konfiguriert wurden, wie im Bild gezeigt.

    ISE-Dashboard

    Fehlerbehebung

    In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    Häufige Probleme

    Es ist wichtig zu wissen, dass die SAML-Authentifizierung zwischen dem Browser und Azure Active Directory durchgeführt wird. Daher können Sie authentifizierungsbezogene Fehler direkt vom Identity Provider (Azure) abrufen, bei dem die ISE-Einbindung noch nicht gestartet wurde.

    Problem 1. Der Fehler "Ihr Konto oder Kennwort ist falsch" wird angezeigt, nachdem Sie die Anmeldeinformationen eingegeben haben. Hier werden Nutzerdaten noch nicht von der ISE empfangen und der Prozess bleibt an dieser Stelle noch bei IdP (Azure).

    Der wahrscheinlichste Grund ist, dass die Kontoinformationen falsch sind oder das Kennwort falsch ist. Um zu beheben: Setzen Sie das Kennwort zurück, oder geben Sie das richtige Kennwort für das Konto ein, wie im Bild gezeigt.

    Microsoft-Anmeldung - falsches Kennwort

    Ausgabe 2. Der Benutzer ist nicht Teil der Gruppe, die Zugriff auf SAML SSO erhalten soll. Ähnlich wie im vorherigen Fall werden Benutzerdaten noch nicht von der ISE empfangen und der Prozess bleibt an dieser Stelle noch bei IdP (Azure).

    Um dies zu beheben, stellen Sie sicher, dass die Gruppe "Hinzufügen" zum Konfigurationsschritt "Anwendung" korrekt ausgeführt wird, wie im Bild gezeigt.

    Microsoft-Anmeldeproblem

    Ausgabe 3. Der ISE-Anwendungsserver kann SAML-Anmeldeanforderungen nicht verarbeiten. Dieses Problem tritt auf, wenn die SAML-Anforderung vom Identitätsanbieter Azure statt vom Dienstanbieter ISE initiiert wird. Das Testen der SSO-Anmeldung von Azure AD funktioniert nicht, da ISE vom Identitätsanbieter initiierte SAML-Anforderungen nicht unterstützt.

    SAML-Seite nicht erreichbar

    Erwarteter Fehler bei einmaliger Anmeldung beim Test

    Ausgabe 4: ISE zeigt nach einem Anmeldeversuch den Fehler "Zugriff verweigert" an. Dieser Fehler tritt auf, wenn der Anspruchsname der zuvor in der Azure Enterprise-Anwendung erstellten Gruppe in ISE nicht übereinstimmt.

    So beheben Sie dies: Stellen Sie sicher, dass der Gruppenanspruchname in Azure und ISE auf der Registerkarte SAML Identity Provider Groups (SAML-Identitätsanbietergruppen) identisch ist. Weitere Informationen finden Sie in den Schritten 2.7 und 4 im Abschnitt Konfigurieren von SAML SSO mit Azure AD dieses Dokuments.

    ISE-Zugriff verweigert Seite

    Fehlerbehebung bei ISE

    Die Protokollstufe der hier aufgeführten Komponenten muss für die ISE geändert werden. Navigieren Sie zu Operationen > Fehlerbehebung > Debugassistent > Debugprotokollkonfiguration.

    Komponentenname

    Protokollstufe

    Protokolldateiname

    Portal

    DEBUG

    guest.log

    opensaml

    DEBUG

    ise-psc.log

    Kleine

    DEBUG

    ise-psc.log

    Protokolle mit SAML-Anmeldung und nicht übereinstimmenden Gruppenanspruchnamen

    Satz von Debugs, die ein Fehlerbehebungsszenario mit nicht übereinstimmenden Anspruchsnamen zum Zeitpunkt der Ausführung des Datenflusses anzeigen (ise-psc.log).

    Hinweis: Achten Sie auf fett gedruckte Elemente. Die Protokolle wurden zur Verdeutlichung gekürzt.

    1. Der Benutzer wird von der ISE-Admin-Seite zur IdP-URL umgeleitet.

    2021-07-29 13:48:20,709 INFO   [admin-http-pool46][] api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig Type: PDP
    2021-07-29 13:48:20,712 INFO   [admin-http-pool46][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as found in IdP configuration):http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - spUrlToReturnTo:https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:20,844 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Request:
    2021-07-29 13:48:20,851 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- <?xml version="1.0" encoding="UTF-16"?><samlp:AuthnRequest AssertionConsumerServiceURL="https://10.201.232.19:8443/portal/SSOLoginResponse.action" ForceAuthn="false"

    2. Die SAML-Antwort wird vom Browser empfangen.

    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.201.232.19 This node's host name:ise3-1-19 LB:null request Server Name:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.201.232.19) this node host name is:10.201.232.19

    -::::- Decoded SAML relay state of: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19

    2021-07-29 13:48:27,177 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Parsing message stream into DOM document

    -::::- Decoded SAML message

    2021-07-29 13:48:27,182 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder -::::- Extracting ID, issuer and issue instant from status response
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- No security policy resolver attached to this message context, no security policy evaluation attempted
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Successfully decoded message.
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Checking SAML message intended destination endpoint against receiver endpoint
    opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Intended message destination endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Actual message receiver endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator - [https://10.201.232.19:8443/portal/SSOLoginResponse.action] vs. [https://10.201.232.19:8443/portal/SSOLoginResponse.action]
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- SAML message intended destination endpoint matched recipient endpoint
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: statusCode:urn:oasis:names:tc:SAML:2.0:status:Success

    3. Die Analyse von Attributen (Assertionen) wird gestartet.

    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/tenantid
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/displayname
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/displayname> add value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/displayname> value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> add value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/identityprovider
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/identityprovider> add value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/identityprovider> value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/claims/authnmethodsreferences
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/claims/authnmethodsreferences> add value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/claims/authnmethodsreferences> value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> add value=<email>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> value=(email)
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: IdentityAttribute is set to Subject Name

    4. Gruppenattribut wird mit dem Wert 576c60ec-c0b6-4044-a8ec-d395b1475d6e empfangen, Signaturvalidierung.

    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
            IdP URI: https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/
            SP URI: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
            Assertion Consumer URL: https://10.201.232.19:8443/portal/SSOLoginResponse.action
            Request Id: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
            Client Address: 10.24.226.171
            Load Balancer: null
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard with cert:CN=Microsoft Azure Federated SSO Certificate serial:49393248893701952091070196674789114797
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Enveloped signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Exclusive C14N signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Attempting to validate signature using key from supplied credential
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Creating XMLSignature object
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validating signature with signature algorithm URI: https://www.w3.org/2001/04/xmldsig-more#rsa-sha256
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Signature validated with key from supplied credential
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated succesfully
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for (email)
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=Microsoft Azure Federated SSO Certificate] as signing certificates
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo: (email), format=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, sessionIndex=_7969c2df-f4c8-4734-aab4-e69cf25b9600, time diff=17475, attributeValues=null
    2021-07-29 13:48:27,358 INFO   [admin-http-pool50][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

    5. Validierung der RBAC-Autorisierung.

    *************************Rbac Log Summary for user samlUser*************************
    2021-07-29 13:48:27,360 INFO   [admin-http-pool50][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
    2021-07-29 13:48:27,368 ERROR  [admin-http-pool50][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
    java.lang.NullPointerException
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
    2021-07-29 13:48:27,369 ERROR  [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    13-Aug-2024
    Rezertifizierung
    1.0
    19-Aug-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Chandan Kumar
      Cisco TAC Engineer
    • Mueed Ahmad
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.