Supprimer des périphériques réseau ISE via l'API ERS

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:28 septembre 2023
ID du document:220992

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de suppression des périphériques d'accès réseau (NAD) sur ISE via l'API ERS en utilisant PostMan comme client REST. 

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • ISE (Identity Services Engine)
    • ERS (External RESTful Services)
    • Les clients REST comme Postman, RESTED, Insomnia, etc.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • Cisco ISE (Identity Services Engine) 3.1 correctif 6
    • Client REST Postman v10.16
    note-icon

    Remarque : la procédure est similaire ou identique pour les autres versions d'ISE et les clients REST. Vous pouvez utiliser ces étapes sur toutes les versions du logiciel ISE 2.x et 3.x, sauf indication contraire.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Activer ERS (port 9060)

    Les API ERS sont des API REST HTTPS uniquement qui fonctionnent sur les ports 443 et 9060. Le port 9060 est fermé par défaut, il doit donc être ouvert en premier. Un délai d'attente à partir du serveur est présenté si les clients essayant d'accéder à ce port n'activent pas ERS en premier. Par conséquent, la première condition est d'activer ERS à partir de l'interface utilisateur d'administration de Cisco ISE.

    Accédez à Administration > Settings > API Settings et activez le bouton bascule ERS (Read/Write).

    Activer ERS

    note-icon

    Remarque : les API ERS prennent en charge TLS 1.1 et TLS 1.2. Les API ERS ne prennent pas en charge TLS 1.0, quelle que soit l'activation de TLS 1.0 dans la fenêtre Paramètres de sécurité de l'interface utilisateur graphique de Cisco ISE (Administration > Système > Paramètres > Paramètres de sécurité). L'activation de TLS 1.0 dans la fenêtre Paramètres de sécurité est liée au protocole EAP uniquement et n'a pas d'impact sur les API ERS.

    note-icon

    Remarque : les opérations de suppression en masse ne sont pas prises en charge par ISE. La suppression NAD doit être effectuée une par une.

    Créer un administrateur ERS

    Créez un administrateur Cisco ISE, attribuez un mot de passe, puis ajoutez un utilisateur au groupe admin en tant qu'administrateur ERS. Vous pouvez laisser le reste de la configuration vide.

    Création d'utilisateurs ERS

    Configurer le facteur

    Téléchargez ou utilisez la version en ligne de Postman .

    1. Créez un utilisateur et un espace de travail en cliquant sur Créer un espace de travail sous l'onglet Espaces de travail.

    Créer un espace de travail Postman

    2. Sélectionnez Espace de travail vide et attribuez un nom à l'espace de travail. Vous pouvez ajouter une description et la rendre publique. Dans cet exemple, Personal est sélectionné.

    Créer un nom et un type d'accès

    Une fois que vous avez créé l'espace de travail, vous pouvez maintenant configurer nos appels API.

    Obtenir le nom et l'ID NAD

    Avant de commencer à supprimer des NAD, vous devez d'abord connaître le nom ou l'ID du NAD. Le nom NAD est facilement obtenu à partir de la liste NAD sur ISE, mais l'ID ne peut être obtenu qu'à partir d'un appel d'API GET. Le même appel d'API renvoie non seulement l'ID NAD, mais également le nom et la description s'il y en a eu un ajouté lors de la configuration NAD.  

    Pour configurer l'appel GET, accédez d'abord au SDK ISE ERS (Software Developer Kit). Cet outil compile la liste complète des appels d'API qu'ISE peut effectuer :

    1. Accédez à https://{ise-ip}/ers/sdk
    2. Connectez-vous avec vos identifiants d'administrateur ISE.
    3. Développez la documentation de l'API
    4. Faites défiler jusqu'à Network Device (Périphérique réseau) et cliquez dessus.
    5. Cette option vous permet de rechercher toutes les opérations disponibles que vous pouvez effectuer pour les périphériques réseau sur ISE. Sélectionner Tout récupérer

    Accédez à la documentation API

    6. Vous pouvez maintenant voir la configuration requise pour exécuter l'appel API sur n'importe quel client Rest ainsi qu'un exemple de réponse attendue.

    Détails API

    7. Revenez à Postman, configurez l'authentification de base sur ISE. Sous l'onglet Authorization, sélectionnez Basic Auth comme type d'authentification et ajoutez les informations d'identification de l'utilisateur ISE ERS précédemment créées sur ISE.

    note-icon

    Remarque : le mot de passe est affiché en texte clair sauf si les variables sont configurées sur Postman

    Configurer l'autorisation de base

    8. Accédez à l'onglet Headers et configurez les en-têtes nécessaires pour l'appel de l'API, comme indiqué dans le SDK. Pour cet exemple, JSON est utilisé, mais xml peut également l'être. Dans cet exemple, la configuration de l'en-tête doit être la suivante :

    Configuration des en-têtes

    9. Effectuez l'appel GET. Sélectionnez GET comme méthode. Collez https://{ISE-ip}/ers/config/networkdevice dans le champ et cliquez sur Send. Si tout a été correctement configuré, vous devez voir un message 200 Ok et le résultat.

    TESTNAD1 et TESTNAD2 peuvent être supprimés à l'aide de 2 appels de suppression différents.

    Résultats GET API

    Supprimer NAD par ID

    Supprimez TESTNAD1 en utilisant l'ID collecté à partir de l'appel GET.

    1. Dans le SDK sous l'onglet Network Device, sélectionnez Delete. Comme nous l'avons vu précédemment, voici les en-têtes requis pour effectuer l'appel ainsi que la réponse attendue

    Détails API

    2. Étant donné que les en-têtes sont similaires à l'appel GET et que vous effectuez l'appel DELETE sur le même ISE, dupliquez l'appel précédent et modifiez les variables nécessaires. À la fin, la configuration de l'en-tête doit ressembler à ceci :

    Configuration des en-têtes

    3. Supprimez maintenant TESTNAD1. Sélectionnez DELETE comme méthode. Collez https://{ISE-ip}/ers/config/networkdevice/{id} dans le champ, remplacez {id} par l'ID réel du NAD vu à partir de l'appel GET, puis cliquez sur Send. Si tout a été correctement configuré, vous devez voir un message 204 No Content et le résultat doit être vide.  

    Résultats de la suppression API

    4. Vérifiez si le NAD a été supprimé en exécutant à nouveau l'appel GET ou en vérifiant la liste ISE NAD. Notez que TESTNAD1 n'existe plus. 

    Résultats GET API

    Validation de l'interface ISE

    Supprimer NAD par nom

    Supprimez TESTNAD2 en utilisant le nom collecté à partir de l'appel GET ou de la liste NAD de l'interface utilisateur graphique ISE.

    1. Dans le SDK sous l'onglet Network Device, sélectionnez Delete-by-Name. Comme nous l'avons vu précédemment, voici les en-têtes requis pour effectuer l'appel ainsi que la réponse attendue.

    Détails API

    2. Étant donné que les en-têtes sont similaires à l'appel GET et que vous effectuez l'appel DELETE sur le même ISE, dupliquez l'appel précédent et modifiez les variables nécessaires. À la fin, la configuration de l'en-tête doit ressembler à ceci :

    Configuration des en-têtes

    3. Supprimez TESTNAD2. Sélectionnez DELETE comme méthode. Collez https://{ISE-ip}/ers/config/networkdevice/name/{name} dans le champ, remplacez {name} par le nom réel du NAD vu à partir de l'appel GET ou de l'interface utilisateur graphique ISE, puis cliquez sur Send. Si tout a été correctement configuré, vous devez voir un message 204 No Content et le résultat doit être vide.  

    Résultats de la suppression API

    4. Vérifiez si le NAD a été supprimé en exécutant à nouveau l'appel GET ou en vérifiant la liste ISE NAD. Notez que TESTNAD2 n'existe plus.

    Résultats GET API

    Validation de l'interface ISE

    Vérifier

     Si vous pouvez accéder à la page GUI du service API, par exemple, https://{iseip}:{port}/api/swagger-ui/index.html ou https://{iseip}:9060/ers/sdk, cela signifie que le service API fonctionne comme prévu.

    Dépannage

    • Toutes les opérations REST sont auditées et les journaux sont consignés dans les journaux système.
    • Pour résoudre les problèmes liés aux API ouvertes, définissez le niveau de journalisation du composant apiservice sur DEBUG dans la fenêtre Debug Log Configuration.
    • Pour résoudre les problèmes liés aux API ERS, définissez le niveau de journalisation du composant ERS sur DEBUG dans la fenêtre Debug Log Configuration. Pour afficher cette fenêtre, accédez à l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu et choisissez Operations > Troubleshoot > Debug Wizard > Debug Log Configuration.
    • Vous pouvez télécharger les journaux à partir de la fenêtre Download Logs. Pour afficher cette fenêtre, accédez à l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu et choisissez Operations > Troubleshoot > Download Logs.
    • Vous pouvez choisir de télécharger un bundle de support à partir de l'onglet Support Bundle en cliquant sur le bouton Download sous l'onglet, ou de télécharger les journaux de débogage api-service à partir de l'onglet Debug Logs en cliquant sur la valeur du fichier de journalisation pour le journal de débogage api-service.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    28-Sep-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Andres Bolanos
      Responsable de la remontée Cisco AAA

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits