Configuración de notificaciones de correo electrónico y SMS de la versión 1.4 de ISE

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de agosto de 2015
ID del documento:119213

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El documento describe cómo configurar Cisco Identity Services Engine (ISE) versión 1.4 para admitir notificaciones de correo electrónico y SMS (servicio de mensajes cortos) para varios servicios.

Prerequisites

Requirements

Cisco recomienda que tenga conocimientos básicos sobre Cisco ISE y los servicios para invitados.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software y hardware.

  • Microsoft Windows versión 7 con Cisco AnyConnect Secure Mobility Client, versión 3.1

  • Switch Catalyst de Cisco serie 3750X que ejecuta las versiones de software 15.0.2 y posteriores

  • Cisco ISE versiones 1.3 y posteriores

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Configurar

En esta sección se describe cómo configurar ISE para admitir notificaciones de correo electrónico y SMS para diversos servicios.

Configuración SMTP

Para poder utilizar cualquier servicio de correo electrónico, ISE debe tener configurado un servidor de retransmisión de protocolo simple de transferencia de mensajes (SMTP). Para configurar el servidor, navegue hasta Administration > System > Settings > SMTP Server:

Este servidor debe poder aceptar cualquier correo electrónico de ISE sin autenticación ni cifrado.

Nota: para la configuración del servidor de retransmisión SMTP, Cisco recomienda que agregue la dirección IP de ISE a la lista de excepciones (sin autenticación o anónima) y que requiera autenticación de todos los demás hosts.

Configuración de SMS

Para que los servicios SMS funcionen con ISE, debe configurar un gateway SMS específico. ISE es compatible con los gateways Smtp2SMS y Http2SMS. De forma predeterminada, hay nueve puertas de enlace preconfiguradas para proveedores conocidos (puede que tenga que ajustarlas). Para configurarlos, navegue hasta Administration > System > Settings > SMS gateway:

Gateway de SMS vía SMTP

Al configurar el gateway SMS SMTP, el único campo obligatorio es el campo Dominio del proveedor, según la sección Configuración del gateway SMS para el gateway de correo electrónico SMS de la Guía del administrador de Cisco Identity Services Engine, versión 1.4.

Con la configuración predeterminada (vacía), el valor del campo de plantilla de cuerpo de la API SMTP es igual al valor $message$.

El valor predeterminado del mensaje depende del servicio que se utilice. Para los servicios de notificación (cuando crea una cuenta de invitado), se puede configurar desde la página de personalización del portal de patrocinadores (Notificación de invitado/Notificación de SMS). Éste es el valor predeterminado:

El valor del campo Plantilla de cuerpo de la API SMTP también se puede personalizar. Las sustituciones dinámicas admitidas para el valor predeterminado son $mobilenumber$ y $message$. Por ejemplo, cuando configura la plantilla de prueba $message$ value, estos datos se envían en la carga SMTP:

Después de la cadena de plantilla de prueba, se sustituirá el valor de $message$ (en este ejemplo, para el servicio de notificación SMS).

Otro ejemplo del valor del campo plantilla de cuerpo de la API SMTP es plantilla de prueba2 $mobilenumber$. Esta es la carga útil que se envía cuando se utiliza este valor:

Es importante observar una ligera diferencia entre las variables $mobilenumber$ y $message$. Normalmente, todos los caracteres de espacios en blanco (espacios) son de escape y reemplazados por el carácter +. Cuando se utiliza la variable $message$, se mantienen esos caracteres en blanco.

Hay un ejemplo de un gateway SMS SMTP (ClickatellViaSMTP) que se configura con varios valores en el campo de plantilla de cuerpo API SMTP. Todos estos valores son estáticos (excepto los valores $message$ y $mobilenumber$). Los valores se proporcionan para mostrar que es posible ajustar esa carga y proporcionar datos adicionales, que podrían ser requeridos por el proveedor SMTP. Los valores que se muestran en mayúsculas deben reemplazarse por los valores correctos, que son proporcionados por el proveedor (y serán los mismos para todos los correos electrónicos que se envían a través de este proveedor).

Aquí tiene un ejemplo:

Gateway de SMS a través de HTTP

Para el gateway HTTP2SMS, ingrese SMS HTTP API para utilizar un método de solicitud Get HTTP:

Por lo general, el proveedor de SMS debe indicar los atributos que son obligatorios de enviar y los que son opcionales, así como el tipo de cadena que se debe enviar y el número de puerto (si es distinto de 80).

Este es un ejemplo que se basa en el proveedor de servicios AwalJawaly SMS, y esta es la estructura de URL que se utiliza: http://awaljawaly.awalservices.com.sa:8001/Send.aspx.

Estos son los parámetros obligatorios:

  • Tipo de solicitud (SMSSubmitReq)

  • Nombre de usuario

  • Contraseña

  • Número de móvil

  • Mensaje

Estos son los parámetros opcionales

  • Dirección de origen

  • Tipo

  • Plazo de expedición

  • Período de validez

  • Intermitente

  • Reconocimiento

  • Créditos máximos

  • ID de mensaje del cliente

  • Encabezado de datos de usuario (UDH)

Ésta es la URL que se utiliza en este ejemplo:

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

Nota: Todos los campos obligatorios están incluidos en la URL anterior. Los campos opcionales se pueden agregar a la cadena si es necesario.

Estas son algunas notas sobre los campos opcionales:

  1. El nombre de usuario y la contraseña deben incluirse en este enlace (desafortunadamente, se utiliza texto no cifrado).

  2. El número de teléfono móvil se toma automáticamente del campo Número de teléfono durante el ejercicio de creación de invitados del portal del patrocinador.

  3. El campo mensaje se completa automáticamente desde esta ubicación: Portal del patrocinador > Personalización de la página del portal > Notificar a los invitados > Notificación de SMS > Texto del mensaje.

Después de habilitar el método Use HTTP POST para la porción de datos, se utiliza la solicitud HTTP POST:

Si utiliza el método POST, especifique el tipo de contenido, como texto sin formato o aplicación/xml. El proveedor de servicios SMS debe compartir toda la información restante.

El campo Datos se utiliza principalmente con el método POST. Cualquier información que se utilice en el campo Datos del método GET se agrega al final del Identificador uniforme de recursos (URI) de la solicitud HTTP GET.

Este es un ejemplo del URI para la solicitud GET HTTP:

Cuando la variable $message$ no se utiliza en el vínculo URL, pero se introduce información en el campo Datos, esta información es visible cerca del inicio (campo de mensaje) del URI de la solicitud GET HTTP:

Este es un ejemplo del URI para la solicitud GET HTTP:

Aquí hay algunas notas sobre la codificación:

  • Campo URL â€Â“ Este campo no está codificado con URL. El número de móvil de la cuenta de invitado se sustituye en la URL. Las sustituciones dinámicas admitidas son $mobilenumber$ y $message$.

  • Campo de datos â€Â“ Este campo está codificado por URL mediante el sistema application/x-www-form-urlencoded

  • Espacio â€Â“ Hay dos tipos de codificación URL, que difieren en la forma en que tratan los espacios. El primero (especificado por RFC 1738) trata un espacio como otro carácter no válido en una URL y lo codifica como %20. La segunda (cuando se implementa el sistema application/x-www-form-urlencoded) codifica un espacio como un carácter + y se utiliza para generar las cadenas de consulta. La segunda opción utiliza las funciones urlencode( ) y urldecode( ) que difieren de sus equivalentes sin procesar (RFC 1738) sólo en que codifican los espacios como signos más (+) en lugar de como la secuencia %20. Dado que ISE utiliza el sistema application/x-www-form-urlencoded para el cifrado de campos de datos, un espacio se cifra como un carácter +.

Nota: si la variable $message$ se utiliza directamente en un enlace URL o la variable $message$ se utiliza únicamente en el campo Datos, la información se toma del texto Mensaje bajo la notificación SMS (Página de personalización del portal > Notificación SMS). Todos los datos del campo de texto Mensaje están codificados mediante URL.

Aquí hay dos ejemplos:

Este es un ejemplo del URI para la solicitud GET HTTP:

Nota: El método GET no admite HTTPS (sólo lo admite el método POST).

Notificación de invitado con credenciales por correo electrónico

El usuario que crea cuentas de invitado a través del portal del patrocinador tiene la opción de enviar notificaciones de correo electrónico con credenciales a ese usuario específico:

Este correo electrónico se envía a la dirección de correo electrónico del invitado a través de la retransmisión SMTP configurada anteriormente. El patrocinador puede proporcionar cualquier correo electrónico que se utilice como De. Si el patrocinador no proporciona la dirección de correo electrónico del invitado durante la creación de la cuenta, ISE devuelve este error de interfaz gráfica de usuario (GUI):

Unable to send email.

Las directivas del servidor SMTP deciden si aceptar o rechazar dicho correo electrónico. Por ejemplo, el servidor se puede configurar para aceptar correos electrónicos solamente del dominio example.com.

Notificación de invitado con credenciales a través de SMS

Para que esta opción funcione, el patrocinador debe estar en el grupo de patrocinadores que ha habilitado el privilegio:

Send SMS notifications with guests' credentials

El grupo patrocinador predeterminado (ALL_ACCOUNTS) tiene ese privilegio deshabilitado. Para cambiar esto, navegue hasta Guest Access > Configure > Sponsor Groups > ALL_ACCOUNTS:

Cuando se elige una notificación a través de SMS, de forma predeterminada no hay opción para elegir un proveedor de SMS específico, por lo que se utiliza uno predeterminado. Para cambiar esto, puede personalizar el portal de patrocinadores. 

Para personalizar el portal del patrocinador, navegue hasta Guest Access > Configure > Sponsor Portals > Sponsor Portal. A continuación, puede elegir la opción Personalización de la página del portal y desplazarse hacia abajo hasta Crear cuenta para invitados conocidos:

En el panel derecho, cambie el valor de Anterior a Configuración y seleccione el (varios) proveedor de SMS que desee para esa página:

Una vez personalizada la página Crear cuenta para invitado conocido del portal de invitados, el patrocinador que utiliza el portal tiene la opción de seleccionar un proveedor de SMS durante la creación de una cuenta de invitado. Este mismo proveedor se utiliza para otras notificaciones SMS:

Cuando el gateway SMS no es accesible o devuelve un error, la GUI de ISE envía una notificación:

Unable to send SMS.

Nota: no se envía un SMS cuando se crea el usuario, sino cuando se hace clic en el botón Notificación una vez finalizada la creación del usuario.

Usuarios invitados (registrados automáticamente)

Las cuentas de invitados se pueden crear automáticamente a través del portal de invitados registrados automáticamente. Los usuarios invitados pueden crear sus propias cuentas:

Se les proporcionan (de forma predeterminada) credenciales en la misma página web:

Estas credenciales también se pueden entregar por correo electrónico o SMS.

Navegue hasta Guest Access > Configure > Guest Portals > Self Registered Guest Portal > Self Registration Page Settings para permitir varios gateways SMS para invitados auto-registrados específicos:

Los invitados pueden seleccionar un proveedor de SMS durante la creación de la cuenta. Esto se utiliza para entregar credenciales a sus teléfonos móviles:

Una vez finalizado el registro, se mostrará una contraseña en la página siguiente. Si no lo desea, puede desactivarla en la sección Página de autorregistro correcto del portal. Desde la misma página, también puede permitir que el invitado envíe manualmente la notificación por correo electrónico o SMS:

Para entregar automáticamente las credenciales por correo electrónico o SMS (o ambos), personalice la última sección de la Configuración de la página de autorregistro:

En este caso, se debe introducir una dirección de correo electrónico y un número de teléfono durante la creación de la cuenta de invitado.

Este es el único flujo de invitados en el que las notificaciones se pueden enviar automáticamente (inmediatamente después de que el usuario se haya registrado). Cuando la cuenta de usuario invitado es creada por un patrocinador, esta opción no está disponible y se envía una notificación solo después de que el patrocinador haga clic manualmente en el botón Notificación.

Aprobación de invitado por correo electrónico

Como se ha descrito en la sección anterior, los clientes pueden registrarse y tener una cuenta registrada automáticamente. Sin embargo, también es posible habilitar la aprobación del patrocinador para este proceso.

En este caso, el patrocinador recibe un mensaje de correo electrónico que debe aprobarse (se hace clic en un enlace específico del mensaje). Solo entonces se activa la cuenta de invitado. Para configurar esta función (de forma predeterminada está inhabilitada), navegue hasta Guest Access > Configure > Guest Portals > Self Registered Guest Portal > Self Registration Page Settings y habilite la opción Require self-registered guest to be approved:

También debe proporcionar las direcciones de correo electrónico de los patrocinadores que pueden aprobar la cuenta de invitado.

A continuación se indican algunos ajustes adicionales que se pueden configurar desde la página Configuración de correo electrónico de invitado:

Esta configuración se aplica a todos los tipos de notificaciones de invitados (no solo a las aprobadas por el patrocinador).

Vencimiento de la cuenta de invitado por correo electrónico/SMS

Los usuarios invitados pueden ser informados cuando la cuenta está a punto de vencer. Para configurar esto (por tipo de invitado), navegue hasta Acceso de invitado > Tipos de invitado > Contratista:

Todos los invitados que sean contratistas recibirán una notificación tres días antes del vencimiento de la cuenta. Esta notificación se puede enviar por SMS o correo electrónico. El proveedor específico de SMS se puede seleccionar y se utilizará para todos los invitados (incluso si el invitado específico está registrado automáticamente y se le permite utilizar un proveedor de SMS diferente).

En la misma sección, hay una opción Enviar correo electrónico de prueba a mí. Esto hace posible probar la disponibilidad y configuración del servidor SMTP. Después de proporcionar una dirección de correo electrónico, este mensaje de correo electrónico se envía:

Alarmas enviadas por correo electrónico

ISE puede enviar correos electrónicos para las alertas del sistema detectadas. Para habilitar esta capacidad, navegue hasta Administration > System > Alarm Settings > Alarm Notification y proporcione las direcciones de correo electrónico From y To:

Asegúrese de que una alarma específica esté habilitada desde la sección Configuración de alarma:

Una vez activada y activada, se enviará un correo electrónico cuando se active la alarma. A continuación se muestra un ejemplo de la alerta típica que se envía:

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
 for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
 configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

Enviar SMS mediante API REST

ISE permite el uso de una API REST de invitado para crear usuarios invitados. Una vez que se crea un usuario invitado con el proveedor de SMS correcto, es posible enviar un SMS con la API REST de invitado. Aquí tiene un ejemplo:

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
 ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

En este ejemplo, 444 es el ID de usuario invitado y la cadena larga (ff2d99e0-2101-11e4-b5cf-005056bf2f0a) es el ID del portal (portal patrocinador).

Nota: se requiere la autorización HTTP básica para un usuario patrocinador correcto. Para obtener más información, consulte la Guía de referencia de API.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
03-Aug-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Michal Garcarz
    Ingeniero del TAC de Cisco
  • Artem Tkachov
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos