Introducción
Este documento describe cómo configurar la integración de Cisco Identity Services Engine (ISE) 2.3 con las credenciales de Facebook para el acceso de invitado autenticado.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Configuración de Identity Services Engine (ISE)
- Configuración básica de la aplicación de Facebook
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco ISE versión 2.3
- Inicio de sesión social en Facebook
- Controlador de LAN inalámbrica de Cisco (WLC) versión 8.3.102.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Diagrama de la red
Configuración
La configuración de la aplicación de Facebook presentada es un ejemplo y no una configuración recomendada por Cisco.
1. Configurar la aplicación Facebook
Vaya a https://developers.facebook.com y registre la nueva Aplicación.
El panel de la aplicación muestra la ID de la aplicación y la clave Secreta de la aplicación, que se utilizarán en ISE para crear el login social externo.
Hacer pública la aplicación creada.
2. Integración de ISE con la aplicación Facebook
Utilice la información mencionada a continuación para integrar la aplicación de Facebook con Cisco ISE.
Vaya a Administration > Identity Management > External Identity Sources > Social Login y agregue un nuevo almacén.
Configure ISE Guest Portal para permitir el inicio de sesión social.
Después de configurar el portal de invitados ISE para permitir el inicio de sesión social, el inicio de sesión social se rellenará con URL y se deberá agregar a la configuración de la aplicación de Facebook, URL de redireccionamiento de OAuth válidas.
Agregue Inicio de sesión en Facebook desde Productos y agregue URL de redirección de OAuth válidas.
Las URL se generarán automáticamente en ISE después de enlazar correctamente el portal ISE con el inicio de sesión social externo de Facebook.
3. Configurar las políticas de autenticación y autorización
La configuración de ISE sigue los mismos pasos de configuración que la CWA de invitado (autenticación Web central).
(Para ver los pasos de configuración de ISE CWA, consulte el documento siguiente:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html)
Asegúrese de que el rango de direcciones IP de Facebook (31.13.0.0/16) esté excluido de la ACL de redirección de WLC
Verificación
Una vez redirigido el usuario invitado, se le mostrará la opción Iniciar sesión con Facebook.
Este botón aprovecha la aplicación recién creada y redirige a la página de inicio de sesión de facebook donde el usuario ingresará sus credenciales de facebook.
Después de una autenticación correcta, el usuario invitado vuelve a redirigir al portal de ISE.
Registros en directo de ISE Radius:
Troubleshoot
Depuraciones en ISE
Para habilitar los debugs en ISE, navegue hasta Administration > System > Logging > Debug Log Configuration, seleccione el nodo PSN y cambie el nivel de registro de los siguientes componentes a DEBUG:
Registros que se van a comprobar: ise-psc.log y guest.log. Los puede adaptar directamente desde la CLI de ISE:
ise23-1/admin# show logging application ise-psc.log tail
Durante la conexión a la aplicación de Facebook, ISE muestra el error de tiempo de espera agotado de la conexión:
2017-08-21 08:28:18,003 DEBUG [admin-http-pool22][] com.cisco.cpm.oauth.OAuthClient -::::- Got error while checking OAuth settings for AppId: [123456789] and secret key: ****
2017-08-21 08:28:18,003 ERROR [admin-http-pool22][] admin.restui.features.social.SocialLoginUIApi -::::- ERROR
connect timed out
Asegúrese de que el nodo ISE tenga una conexión directa a Internet.
Uso del proxy dirigido en el error CSCve87511 "Compatibilidad con inicio de sesión social con servidor proxy"