Configuración de ISE 2.3 Guest Portal con OKTA SAML SSO

Introducción

Este documento describe cómo integrar Identity Services Engine (ISE) con OKTA, para proporcionar autenticación de Lenguaje de marcado de aserción de seguridad de inicio de sesión único (SAML SSO) para el portal de invitados.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Servicios de invitados de Cisco Identity Services Engine. 
• SAML SSO. 
• (opcional) Configuración del controlador de LAN inalámbrica (WLC).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Identity Services Engine 2.3.0.298
• aplicación OKTA SAML SSO
• Controlador inalámbrico Cisco 5500 versión 8.3.141.0
• Lenovo Windows 7

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

SSO federado

Un usuario dentro de la organización puede autenticarse una vez y después tener acceso a varios recursos. Esta identidad utilizada en las organizaciones se denomina identidad federada.

El concepto de federación:

• Principio: El usuario final (el que solicita un servicio), el navegador web, en este caso, es el terminal.
• Proveedor de servicios (SP): a veces se denomina parte de confianza (RP), que es el sistema que proporciona un servicio, en este caso, ISE.
• Proveedor de identidad (IdP): que administra la autenticación, el resultado de la autorización y los atributos que se envían de vuelta al SP, en este caso, OKTA.
• Afirmación: la información de usuario enviada por IdP al SP.

Varios protocolos implementan SSO como OAuth2 y OpenID. ISE utiliza SAML.

SAML es un marco basado en XML que describe el uso y el intercambio de aserciones SAML de forma segura entre entidades empresariales. El estándar describe la sintaxis y las reglas para solicitar, crear, utilizar e intercambiar estas afirmaciones.

ISE utiliza el modo iniciado por SP. El usuario se redirige al portal de invitados y, a continuación, ISE lo redirige a IdP para autenticarse. Después de eso, vuelve a redirigir a ISE. La solicitud se valida, el usuario continúa con el acceso de invitado o la incorporación, dependiendo de la configuración del portal.

Flujo de red

1. El usuario se conecta al SSID y la autenticación es el filtrado mac (mab).
   
   
2. ISE responde con access-accept que contiene atributos Redirect-URL y Redirect-ACL
   
3. El usuario intenta acceder a www.facebook.com.
   
4. El WLC intercepta la solicitud y redirige al usuario al portal de invitados ISE, el usuario hace clic en el acceso del empleado para registrar el dispositivo con credenciales SSO.
   
5. ISE redirige al usuario a la aplicación OKTA para la autenticación.
   
6. Después de una autenticación exitosa, OKTA envía la respuesta de afirmación SAML al navegador.
   
7. El navegador retransmite la afirmación a ISE.
   
8. ISE verifica la respuesta de afirmación y, si el usuario está autenticado correctamente, pasa a AUP y luego con el registro del dispositivo.

Consulte el siguiente enlace para obtener más información sobre SAML

https://developer.okta.com/standards/SAML/

Configurar

Paso 1. Configure SAML Identity Provider y el portal de invitados en ISE.

1. Preparar origen de identidad externo.

Paso 1. Vaya a Administration > External Identity Sources > SAML id Providers.

 Paso 2. Asigne un nombre al proveedor de ID y envíe la configuración.

2. Crear portal para SSO.

Paso 1. Cree el portal que se asigna a OKTA como origen de identidad. Cualquier otra configuración para BYOD, registro de dispositivos, Invitado, etc., es exactamente la misma que para el portal normal. En este documento, el portal se asigna al portal de invitados como inicio de sesión alternativo para Empleado.

Paso 2. Navegue hasta Centros de trabajo > Acceso de invitado > Portales y componentes y cree el portal.

Paso 3. Elija el método de autenticación para señalar al proveedor de identidad configurado previamente.

Paso 4. Elija la fuente de identidad OKTA como método de autenticación.

(opcional) seleccione la configuración de BYOD.

Paso 5. Guarde la configuración del portal, con BYOD el flujo se ve de la siguiente manera:

3. Configuración de inicio de sesión alternativo.

Nota: Puede omitir esta parte si no utiliza el inicio de sesión alternativo.

Navegue hasta el portal de invitados de registro automático o cualquier otro portal personalizado para el acceso de invitados.

En la configuración de la página de inicio de sesión, agregue el portal de inicio de sesión alternativo: OKTA_SSO.

Este es el flujo del portal ahora.

Paso 2. Configure la aplicación OKTA y los parámetros del proveedor de identidad SAML.

1. Crear aplicación OKTA.

Paso 1. Inicie sesión en el sitio web de OKTA con una cuenta de administrador.

Paso 2. Haga clic en Add Application (Agregar aplicación).

Paso 3. Crear nueva aplicación, elija que sea SAML2.0

Configuración general

Paso 4. Descargue el certificado e instálelo en Certificados de confianza ISE.

2. Exportar información SP del proveedor de identidad SAML.

Navegue hasta el proveedor de identidad configurado previamente. Haga clic en Información del proveedor de servicios y exporte la información, como se muestra en la imagen.

La carpeta zip exportada contiene el archivo XML y readme.txt

Para algunos proveedores de identidad puede importar el XML directamente, pero en este caso, debe importarlo manualmente.

• URL de inicio de sesión único (aserción única )
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• ID de entidad SP

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

La URL de SSO está disponible en formato de dirección IP y FQDN.

Precaución: La selección del formato depende de la configuración de redirección en el perfil de autorización, si utiliza la dirección ip estática, debe utilizar la dirección ip para la dirección URL de SSO.

3. Configuración de OKTA SAML.

Paso 1. Agregue esas URL en la configuración de SAML.

Paso 2. Puede agregar más de una URL del archivo XML, en función del número de PSN que alojan este servicio. El formato de ID de nombre y el nombre de usuario de la aplicación dependen del diseño.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Paso 3. Haga clic en next (Siguiente) y elija la segunda opción.

 4. Exportar metadatos de la aplicación.

Metadatos:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Guarde el archivo en formato XML.

5. Asignar usuarios a la aplicación.

Asigne usuarios a esta aplicación, hay una forma de integración de AD, explicada en: direccionamiento activo de okta

6. Importar metadatos de Idp a ISE.

Paso 1. En Proveedor de identidad SAML, seleccione Configuración del proveedor de identidad. e Importar metadatos.

Paso 2. Guarde la configuración.

Paso 3.Configuración de CWA.

Este documento describe la configuración para ISE y WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Agregue URL en Redirect-ACL.

https://cisco-yalbikaw.okta.com  / agregue su URL de aplicación

https://login.okta.com

Verificación

Pruebe el portal y verifique si puede alcanzar la aplicación OKTA

Paso 1. Haga clic en la prueba del portal y, a continuación, debe redirigirse a la aplicación SSO.

Paso 2. Compruebe la conexión de información a <nombre de la aplicación>

Paso 3. Si introduce las credenciales, puede que vea una solicitud de ejemplo incorrecta, esto no significa necesariamente que la configuración sea incorrecta en este momento.

Verificación del usuario final

 Verificación de ISE 

Verifique los registros de vida para verificar el estado de autenticación.

Troubleshoot

 Solución de problemas de OKTA

Paso 1. Verifique los registros en la pestaña Informes.

Paso 2. También desde la aplicación ver los registros relacionados.

Solución de problemas de ISE

Hay dos archivos de registro que comprobar

• ise-psc.log
•  guest.log 

Vaya a Administration > System > Logging > Debug Log Configuration. Habilite el nivel en DEBUG.

SAML	ise-psc.log
Acceso a invitados	guest.log
Portal	guest.log

La tabla muestra el componente que se va a depurar y su archivo de registro correspondiente.

Problemas comunes y soluciones

Escenario 1. Solicitud de SAML incorrecta.

Este error es genérico, verifique los registros para verificar el flujo y señalar el problema. En ISE guest.log:

ISE# show logging application guest.log | últimos 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

ISE ha redirigido correctamente el usuario a IDP. Sin embargo, no aparece ninguna respuesta a ISE y aparece la solicitud SAML incorrecta. Identifique que OKTA no acepte nuestra solicitud SAML a continuación.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Ahora vuelva a comprobar la aplicación tal vez haya cambios realizados.

La dirección URL de SSO está utilizando la dirección IP; sin embargo, el invitado está enviando FQDN, como se puede ver en la solicitud anterior en la que la última línea contiene SEMI_DELIMITER<FQDN> para solucionar este problema, cambie la dirección IP a FQDN en la configuración de OKTA.

Situación hipotética 2. "Se ha producido un problema al acceder al sitio. Póngase en contacto con el servicio de asistencia técnica para obtener asistencia".

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

Desde los registros, ISE informa que la afirmación no es correcta. Verifique el URI de audiencia OKTA para asegurarse de que coincide con el SP para resolverlo.

Situación hipotética 3. Redirigido a la página en blanco o la opción de inicio de sesión no se muestra.

Depende del entorno y de la configuración del portal. En este tipo de problema debe verificar la aplicación OKTA y la URL que necesita para autenticarse. Haga clic en la prueba del portal y, a continuación, inspeccione el elemento para comprobar qué sitios web deben estar accesibles.

En este escenario, solo dos URL: application and login.okta.com - se deben permitir en el WLC.

Información Relacionada 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com