Configurer le portail invité ISE 2.3 avec OKTA SAML SSO

Introduction

Ce document décrit comment intégrer Identity Services Engine (ISE) avec OKTA, pour fournir l'authentification SSO SAML (Security Assertion Markup Language Single Sign-On) pour le portail invité.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Services invités Cisco Identity Services Engine. 
• SSO SAML. 
• (facultatif) Configuration du contrôleur de réseau local sans fil (WLC).

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Identity Services Engine 2.3.0.298
• Application SSO OKTA SAML
• Contrôleur sans fil Cisco 5500 version 8.3.141.0
• Lenovo Windows 7

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

SSO fédérée

Un utilisateur de l'organisation peut s'authentifier une fois puis avoir accès à plusieurs ressources. Cette identité utilisée dans toutes les organisations est appelée identité fédérée.

Le concept de fédération :

• Principe : Utilisateur final (celui qui demande un service), navigateur Web, dans ce cas, est le point de terminaison.
• Fournisseur de services (SP) : parfois appelé partie de confiance (RP), qui est le système qui fournit un service, dans ce cas, ISE.
• Fournisseur d'identité (IdP) : qui gère l'authentification, le résultat d'autorisation et les attributs qui sont renvoyés au SP, dans ce cas, OKTA.
• Affirmation : les informations utilisateur envoyées par IdP au SP.

Plusieurs protocoles implémentent SSO, tels que OAuth2 et OpenID. ISE utilise SAML.

SAML est un cadre XML qui décrit l'utilisation et l'échange d'assertions SAML de manière sécurisée entre les entités commerciales. La norme décrit la syntaxe et les règles pour demander, créer, utiliser et échanger ces assertions.

ISE utilise le mode initié par SP. L'utilisateur est redirigé vers le portail invité, puis ISE le redirige vers IdP pour s'authentifier. Après cela, il redirige vers ISE. La demande est validée, l'utilisateur procède à l'accès invité ou à l'intégration, selon la configuration du portail.

Flux réseau

1. L'utilisateur se connecte au SSID et l'authentification est mac filter (mab).
   
   
2. ISE répond avec access-accept qui contient les attributs Redirect-URL et Redirect-ACL
   
3. L'utilisateur essaie d'accéder à www.facebook.com.
   
4. Le WLC intercepte la demande et redirige l'utilisateur vers le portail invité ISE, l'utilisateur clique sur l'accès employé afin d'enregistrer le périphérique avec des informations d'identification SSO.
   
5. ISE redirige l'utilisateur vers l'application OKTA pour l'authentification.
   
6. Après une authentification réussie, OKTA envoie la réponse d'assertion SAML au navigateur.
   
7. Le navigateur renvoie l'assertion à ISE.
   
8. ISE vérifie la réponse d'assertion et si l'utilisateur est authentifié correctement, il passe à AUP, puis avec l'enregistrement du périphérique.

Pour plus d'informations sur SAML, cliquez sur le lien ci-dessous

https://developer.okta.com/standards/SAML/

Configuration

Étape 1. Configurez le fournisseur d'identités SAML et le portail invité sur ISE.

1. Préparer la source d'identité externe.

Étape 1. Accédez à Administration > External Identity Sources > SAML id Providers.

 Étape 2. Attribuez un nom au fournisseur d'ID et envoyez la configuration.

2. Créer un portail pour SSO.

Étape 1. Créez le portail affecté à OKTA comme source d'identité. Toute autre configuration pour le BYOD, l'enregistrement des périphériques, l'invité, etc., est exactement la même que pour le portail normal. Dans ce document, le portail est mappé au portail invité comme connexion alternative pour Employé.

Étape 2. Accédez à Centres de travail > Accès invité > Portails et composants et créez le portail.

Étape 3. Choisissez la méthode d'authentification pour pointer vers le fournisseur d'identité configuré précédemment.

Étape 4. Sélectionnez la source d'identité OKTA comme méthode d'authentification.

(facultatif) sélectionnez les paramètres BYOD.

Étape 5. Enregistrez la configuration du portail. Avec le BYOD, le flux ressemble à ceci :

3. Configurez une connexion alternative.

Note: Vous pouvez ignorer cette partie si vous n'utilisez pas la connexion alternative.

Accédez au portail invité d'auto-inscription ou à tout autre portail personnalisé pour l'accès invité.

Dans les paramètres de la page de connexion, ajoutez le portail de connexion alternatif : OKTA_SSO.

Voici le flux du portail maintenant.

Étape 2. Configurez les paramètres de l'application OKTA et du fournisseur d'identité SAML.

1. Créer une application OKTA.

Étape 1. Connectez-vous au site Web d'OKTA avec un compte d'administrateur.

Étape 2. Cliquez sur Ajouter une application.

Étape 3. Créer une nouvelle application, sélectionnez-la SAML2.0

Paramètres généraux

Étape 4. Téléchargez le certificat et installez-le dans les certificats de confiance ISE.

2. Exporter les informations SP à partir du fournisseur d'identité SAML.

Accédez au fournisseur d'identité précédemment configuré. Cliquez sur Service Provider Info et exportez-le, comme l'illustre l'image.

Le dossier zip exporté contient le fichier XML et readme.txt

Pour certains fournisseurs d'identité, vous pouvez importer le code XML directement, mais dans ce cas, il doit être importé manuellement.

• URL de connexion unique (assertion saml)
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• ID entité SP

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

URL SSO disponible au format adresse IP et FQDN.

Attention : La sélection du format dépend des paramètres de redirection du profil d'autorisation. Si vous utilisez la commande static ip, vous devez utiliser l'adresse ip pour l'URL SSO.

3. Paramètres SAML OKTA.

Étape 1. Ajoutez ces URL aux paramètres SAML.

Étape 2. Vous pouvez ajouter plusieurs URL à partir du fichier XML, en fonction du nombre d'hébergements de PSN pour ce service. Le format de l'ID de nom et le nom d'utilisateur de l'application dépendent de votre conception.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Étape 3. Cliquez sur Suivant et choisissez la deuxième option.

 4. Exporter les métadonnées à partir de l'application.

Métadonnées :

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Enregistrez le fichier au format XML.

5. Affecter des utilisateurs à l'application.

Affecter des utilisateurs à cette application, il existe un moyen d'intégration AD, expliqué dans : répertoire okta-active

6. Importez des métadonnées depuis Idp vers ISE.

Étape 1. Sous Fournisseur d'identité SAML, sélectionnez Config. fournisseur d'identité. et Importer des métadonnées.

Étape 2. Enregistrez la configuration.

Étape 3.Configuration CWA

Ce document décrit la configuration pour ISE et WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Ajoutez des URL dans Redirect-ACL.

https://cisco-yalbikaw.okta.com  / ajoutez votre URL d'application

https://login.okta.com

Vérification

Testez le portail et vérifiez si vous pouvez accéder à l'application OKTA

Étape 1. Cliquez sur le test du portail, puis vous devez être redirigé vers l'application SSO.

Étape 2. Vérifiez la connexion d'informations à <nom de l'application>

Étape 3. Si vous entrez les informations d'identification, vous risquez de voir une mauvaise demande de type saml, cela ne signifie pas nécessairement que la configuration est erronée à ce stade.

Vérification de l'utilisateur final

 Vérification ISE 

Vérifiez les journaux de vie pour vérifier l'état de l'authentification.

Dépannage

 Dépannage d'OKTA

Étape 1. Vérifiez les journaux dans l'onglet Rapports.

Étape 2. Également à partir de l'affichage de l'application, les journaux associés.

Dépannage ISE

Il y a deux fichiers journaux à vérifier

• ise-psc.log
•  guest.log 

Accédez à Administration > System > Logging > Debug Log Configuration. Activez le niveau DEBUG.

SAML	ise-psc.log
Accès invité	guest.log
Portail	guest.log

Le tableau indique le composant à déboguer et le fichier journal correspondant.

Problèmes courants et solutions

Scénario 1. Requête SAML incorrecte.

Cette erreur est générique, vérifiez les journaux afin de vérifier le flux et d'identifier le problème. Sur ISE guest.log :

ISE# show logging application guest.log | 50 dernières 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

ISE a correctement redirigé l'utilisateur vers le PCI. Cependant, aucune réponse à ISE et la mauvaise demande SAML n'apparaît. Indiquez que OKTA n'accepte pas notre demande SAML ci-dessous.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Maintenant, vérifiez à nouveau l'application peut-être qu'il ya des changements effectués.

L'URL SSO utilise une adresse IP, cependant, l'invité envoie un nom de domaine complet comme nous pouvons le voir dans la demande ci-dessus la dernière ligne contient SEMI_DELIMITER<FQDN> pour résoudre ce problème changer l'adresse IP en nom de domaine complet sur les paramètres OKTA.

Scénario 2. « Un problème s'est produit lors de l'accès au site. Veuillez contacter le service d'assistance pour obtenir de l'aide. »

Invité.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

À partir des journaux, ISE signale que l'assertion n'est pas correcte. Vérifiez l'URI de l'audience OKTA pour vous assurer qu'il correspond au SP pour le résoudre.

Scénario 3. Redirigé vers la page vide, ou l'option de connexion ne s'affiche pas.

Cela dépend de l'environnement et de la configuration du portail. Dans ce type de problème, vous devez vérifier l'application OKTA et l'URL requise pour l'authentification. Cliquez sur le test du portail, puis inspectez l'élément pour vérifier quels sites Web doivent être accessibles.

Dans ce scénario, seulement deux URL : application et login.okta.com - ceux-ci doivent être autorisés sur le WLC.

Informations connexes 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com