Configuración de licencias de ISE mediante API abierta

Introducción

Este documento describe cómo configurar Cisco Identity Service Engine 3.3 Licensing mediante API abierta.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco ISE 3.3
• API REST
• Licencias de software inteligente

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco ISE 3.3
• Cliente API REST Insomnia.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Las licencias de Cisco ISE proporcionan la capacidad de gestionar las funciones de la aplicación y el acceso, como el número de terminales activos simultáneos que pueden utilizar los recursos de red de Cisco ISE en cualquier momento. Las licencias de Cisco ISE se suministran como paquetes basados en funciones, en los que cada tipo de licencia admite distintas funciones.

Cisco ISE es una solución basada en suscripciones. Las licencias de suscripción a Cisco ISE están anidadas, lo que significa que las licencias de nivel superior incluyen todas las funciones de nivel inferior. Por ejemplo, la licencia ISE Premier incluye todas las funciones asignadas a las licencias ISE Advantage e ISE Essentials. Del mismo modo, la licencia ISE Advantage incluye todas las funciones asignadas a la licencia ISE Essentials. Con este modelo, puede comprar directamente licencias Premier o Advantage sin necesidad de una licencia Essentials.

Pasos iniciales

Habilitar API abierta en ISE

API abierta está desactivada de forma predeterminada en ISE. Para habilitarlo, navegue hasta Administration > System > API Settings > API Service Settings. Active o desactive las opciones de API abierta. Click Save.

Configuración de API abierta

Interfaz de usuario Swagger

Para acceder a todas las definiciones de API abiertas en ISE, navegue hasta Administration > System > Settings > API Settings. Haga clic en el enlace Para obtener más información sobre la API abierta de ISE, visite:.

Las URL para la definición utilizada en este documento son: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License 

Configuración de licencias mediante API abierta

Estado de nivel de licencia GET

Para configurar la licencia, el atributo de cumplimiento debe conocerse mediante el estado del nivel, ya que no se ha configurado ninguna licencia. El atributo de cumplimiento puede establecerse en Evaluación.

Autenticación

Autenticación de estado de nivel

Encabezados

Encabezados de estado de nivel

Resultado esperado

Resultado esperado de estado de nivel

Licencia de evaluación de Días RESTANTES DE GET

Para conocer los días restantes para la licencia de evaluación, utilice esta llamada de API.

Autenticación

Autenticación de licencia de evaluación

Encabezados

Encabezados de licencias de evaluación

Resultado esperado

Resultado esperado de licencia de evaluación

Licencia de registro

Nota: la creación de tokens de Smart Licensing no está dentro del alcance de este documento.

Para registrar la licencia debe ingresar el connectionType, el registrationType y el tier.

Tipos de conexión:

• HTTP_DIRECT
• PROXY
• SSM_ONPREM_SERVER Si este atributo está seleccionado, debe declarar la clave ssmOnPremServer y el valor.
  
• TRANSPORT_GATEWAY

Tipos de registro:

• ANULAR EL REGISTRO
• REGISTRO
• RENOVAR
• ACTUALIZAR

Nivel:

• VENTAJA
• DEVICEADMIN
• ESENCIAL
• PREMIER
• VM

{
"connectionType": "PROXY",
"registrationType": "REGISTER",
"ssmOnPremServer": "CSSM28.demo.local",
"tier": [
"ADVANTAGE", "DEVICEADMIN", "ESSENTIAL", "PREMIER", "VM"
],
"token": "NzFjNjQyYWYtMjkyYS00OGJiLTkzNzYtNWY5Nzg5OTU4ZjhkLTE2MzE2MTM1%0AMTg4ODl8QU0wdWUzRmZXRnhBQzBWZldmTmZaTjFwdzdaZ0diVXpmU0hjTUVz%0AS0NYZz0%3D%0A"
}

Cuerpo

POST - Registrar cuerpo de licencia

Autenticación

POST - Autenticación de licencia de registro

Encabezados

POST - Registrar encabezados de licencias

Resultado esperado

POST: salida esperada de la licencia de registro

Verificación

Información de licencia de GET Register

Para conocer los pares clave-valor utilizados para configurar el registro, utilice esta llamada API.

Autenticación

GET - Registrar autenticación de licencia

Encabezados

GET - Registrar encabezados de licencias

Resultado esperado

GET - Salida esperada de la licencia de registro

OBTENER información de licencia inteligente

Para conocer el estado de la conexión con las licencias inteligentes, utilice esta llamada API.

Autenticación

Autenticación de información de Smart Licensing

Encabezados

Encabezados de información de licencias inteligentes

Resultado esperado

Salida esperada de información de licencias inteligentes

Verificación de licencias GUI de ISE

Para verificar la instalación correcta en la GUI. Vaya a Administration > System > Licensing > Licenses.

Verificación GUI de Smart Licensing

Nota: derechos liberados significa que las licencias se han adquirido y liberado para su uso, pero que hasta el momento no se ha consumido ninguna en esta implementación de Cisco ISE. En este caso, el recuento de consumo de la licencia es 0. Las licencias pueden cambiar a Cumplimiento una vez que el Recuento de consumo cambie de 0

Troubleshoot

Licencias

En ISE, vaya a Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Seleccione el nodo de administración principal (PAN) y haga clic en Editar.

Filtre elNombre del componente por Licencia y licencia de administración y, a continuación, seleccione el Nivel de registro que lo necesita. Haga clic en Guardar.

Licencias de configuración de nivel de depuración

• En ISE PAN CLI, los registros se encuentran en:

admin#show logging application ise-psc.log

• En la GUI de ISE, navegue hasta Operaciones > Solucionar problemas > Descargar registros > Seleccionar ISE PAN > Registro de depuración > Tipo de registro de depuración > Registros de aplicación. Descargue los archivos zip para ise-psc.log.
  

API abierta

En ISE, vaya a Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Seleccione el nodo de administración principal (PAN) y haga clic en Editar.

Filtre elNombre del componente por unservicio y seleccione el Nivel de registro que lo necesita. Haga clic en Guardar.

API abierta de configuración de nivel de depuración

• En ISE PAN CLI, los registros se encuentran en:

admin#show logging application api-service.log

• En la GUI de ISE, navegue hasta Operaciones > Solucionar problemas > Descargar registros > Seleccionar ISE PAN > Registro de depuración > Tipo de registro de depuración > Registros de aplicación. Descargue los archivos zip para api-service.log.
• Códigos de respuesta de API y sus posibles significados:
  •    200 (Aceptar): indica que la API abierta ha realizado correctamente la acción deseada.
  •    201 (Creado): indica que el recurso se creó y que la solicitud se realizó correctamente.
  •    400 (solicitud incorrecta): el servidor no puede procesar la solicitud. Reconocer el error de cliente debido a una sintaxis de solicitud incorrecta, parámetros no válidos, etc. Lea los detalles del mensaje si están disponibles.
  •    401 (no autorizado): esto indica que la acción se realizó con credenciales incorrectas, sin credenciales o que la cuenta no está autorizada para realizar esta acción.
  •    403 (Prohibido): Esto indica que el servidor es capaz de entender la solicitud pero no está autorizado.
  •    404 (no encontrado): Esto indica que el servidor no puede encontrar el recurso solicitado.
  •    500 (Error interno del servidor): indica un problema en el lado del servidor. Los registros en ISE pueden ayudar a comprender la causa.

Información Relacionada

• Soporte técnico y descargas de Cisco