Configurazione del portale per gli utenti guest ISE 2.3 con OKTA SAML SSO

Introduzione

In questo documento viene descritto come integrare Identity Services Engine (ISE) con OKTA per fornire l'autenticazione Single Sign-On (SAML SSO) Security Assertion Markup Language per il portale guest.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Servizi guest Cisco Identity Services Engine. 
• SSO SAML. 
• (facoltativo) configurazione del controller WLC (Wireless LAN Controller).

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Identity Services Engine 2.3.0.298
• Applicazione OKTA SAML SSO
• Cisco 5500 wireless controller versione 8.3.141.0
• Windows 7 Lenovo

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

SSO federato

Un utente all'interno dell'organizzazione può eseguire l'autenticazione una sola volta e quindi accedere a più risorse. Questa identità utilizzata nelle organizzazioni è detta identità federativa.

Il concetto di federazione:

• Principio: L'endpoint è rappresentato dall'utente finale (colui che richiede un servizio), in questo caso il browser Web.
• Provider di servizi (SP): chiamato anche relying party (RP), che è il sistema che fornisce un servizio, in questo caso ISE.
• Provider di identità (IdP): che gestisce l'autenticazione, il risultato dell'autorizzazione e gli attributi restituiti all'SP, in questo caso OKTA.
• Asserzione: le informazioni utente inviate da IdP a SP.

Diversi protocolli implementano SSO, ad esempio OAuth2 e OpenID. ISE utilizza SAML.

SAML è un framework basato su XML che descrive l'utilizzo e lo scambio di asserzioni SAML in modo sicuro tra entità aziendali. Lo standard descrive la sintassi e le regole per richiedere, creare, utilizzare e scambiare queste asserzioni.

ISE utilizza la modalità SP avviata. L'utente viene reindirizzato al portale guest, quindi ISE lo reindirizza a IdP per l'autenticazione. Dopodiché, il prodotto torna ad ISE. La richiesta viene convalidata e l'utente procede con l'accesso guest o l'avvio, a seconda della configurazione del portale.

Flusso di rete

1. L'utente si connette al SSID e l'autenticazione è mac filtering (mab).
   
   
2. ISE risponde con access-accept contenente gli attributi Redirect-URL e Redirect-ACL
   
3. L'utente tenta di accedere a www.facebook.com.
   
4. WLC intercetta la richiesta e reindirizza l'utente al portale guest ISE, facendo clic sull'accesso dei dipendenti per registrare il dispositivo con le credenziali SSO.
   
5. ISE reindirizza l'utente all'applicazione OKTA per l'autenticazione.
   
6. Dopo l'autenticazione riuscita, OKTA invia la risposta dell'asserzione SAML al browser.
   
7. Il browser ritrasmette l'asserzione ad ISE.
   
8. ISE verifica la risposta all'asserzione e, se l'utente è autenticato correttamente, passa all'AUP e quindi alla registrazione del dispositivo.

Per ulteriori informazioni su SAML, fare clic sul collegamento seguente

https://developer.okta.com/standards/SAML/

Configurazione

Passaggio 1. Configurare SAML Identity Provider e Guest Portal su ISE.

1. Preparare l'origine dell'identità esterna.

Passaggio 1. Passare a Amministrazione > Origini identità esterne > Provider di ID SAML.

 Passaggio 2. Assegnare un nome al provider di ID e sottomettere la configurazione.

2. Creare il portale per SSO.

Passaggio 1. Creare il portale assegnato a OKTA come origine identità. Qualsiasi altra configurazione per BYOD, registrazione del dispositivo, Guest e così via, è esattamente la stessa del portale normale. In questo documento, il portale viene mappato al portale guest come accesso alternativo per i dipendenti.

Passaggio 2. Passare a Centri di lavoro > Accesso guest > Portali e componenti e creare il portale.

Passaggio 3. Scegliere il metodo di autenticazione per puntare al provider di identità configurato in precedenza.

Passaggio 4. Scegliere l'origine di identità OKTA come metodo di autenticazione.

(facoltativo) scegliere le impostazioni BYOD.

Passaggio 5. Salvare la configurazione del portale, con BYOD il flusso avrà il seguente aspetto:

3. Configurare l'accesso alternativo.

Nota: È possibile ignorare questa parte se non si utilizza il login alternativo.

Passare al portale guest di registrazione automatica o a qualsiasi altro portale personalizzato per l'accesso guest.

Nelle impostazioni della pagina di accesso, aggiungere il portale di accesso alternativo: OKTA_SSO.

Questo è il flusso del portale ora.

Passaggio 2. Configurare le impostazioni dell'applicazione OKTA e del provider di identità SAML.

1. Creare l'applicazione OKTA.

Passaggio 1. Accedere al sito Web OKTA con un account amministratore.

Passaggio 2. Fare clic su Aggiungi applicazione.

Passaggio 3. Creare una nuova app. Scegliere SAML2.0

Impostazioni generali

Passaggio 4. Scaricare il certificato e installarlo in ISE Trusted Certificates.

2. Esportare le informazioni SP dal provider di identità SAML.

Passare al provider di identità configurato in precedenza. Fare clic su Service Provider Info (Informazioni provider di servizi) ed esportarlo, come mostrato nell'immagine.

La cartella zip esportata contiene il file XML e il file readme.txt

Per alcuni provider di identità è possibile importare direttamente il codice XML, ma in questo caso è necessario eseguire l'importazione manualmente.

• URL Single Sign-On (asserzione saml )
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• ID entità SP

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

URL SSO disponibile in formato indirizzo IP e FQDN.

Attenzione: La selezione del formato dipende dalle impostazioni di reindirizzamento nel profilo di autorizzazione. Se si utilizza un indirizzo IP statico, è necessario utilizzare l'indirizzo IP per l'URL SSO.

3. Impostazioni OKTA SAML.

Passaggio 1. Aggiungere gli URL nelle impostazioni SAML.

Passaggio 2. È possibile aggiungere più URL dal file XML, in base al numero di PSN che ospitano questo servizio. Il formato ID del nome e il nome utente dell'applicazione dipendono dalla progettazione.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Passaggio 3. Fare clic su Avanti e scegliere la seconda opzione.

 4. Esportare i metadati dall'applicazione.

Metadati:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Salvare il file in formato XML.

5. Assegnare gli utenti all'applicazione.

Assegnare gli utenti a questa applicazione, esiste un modo per l'integrazione di AD, come spiegato in: directory okta-active

6. Importare i metadati dall'Idp all'ISE.

Passaggio 1. In Provider di identità SAML, selezionare Config. e Importa metadati.

Passaggio 2. Salvare la configurazione.

Passaggio 3. Configurazione di CWA.

Questo documento descrive la configurazione per ISE e WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Aggiungere URL nell'ACL di reindirizzamento.

https://cisco-yalbikaw.okta.com  / aggiungere l'URL dell'applicazione

https://login.okta.com

Verifica

Eseguire il test del portale e verificare se è possibile raggiungere l'applicazione OKTA

Passaggio 1. Fare clic sul test del portale, quindi reindirizzare all'applicazione SSO.

Passaggio 2. Verificare la connessione delle informazioni a <nome applicazione>

Passaggio 3. Se si immettono le credenziali, è possibile che venga visualizzata una richiesta SAML errata. Ciò non significa necessariamente che a questo punto la configurazione sia errata.

Verifica utente finale

 Verifica ISE 

Controllare i registri di durata per verificare lo stato di autenticazione.

Risoluzione dei problemi

 Risoluzione dei problemi OKTA

Passaggio 1. Controllare i log nella scheda Report.

Passaggio 2. Visualizzare anche i log correlati dall'applicazione.

Risoluzione dei problemi ISE

Sono disponibili due file registro da controllare

• ise-psc.log
•  guest.log 

Selezionare Amministrazione > Sistema > Log > Configurazione log di debug. Abilitare il livello a DEBUG.

SAML	ise-psc.log
Guestaccess	guest.log
Portale	guest.log

Nella tabella viene illustrato il componente di cui eseguire il debug e il file di log corrispondente.

Problemi comuni e soluzioni

Scenario 1. Richiesta SAML non valida.

Questo errore è generico. Controllare i registri per verificare il flusso e individuare il problema. Su ISE guest.log:

ISE# show logging applicazione guest.log | ultimi 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

ISE ha reindirizzato l'utente all'IDP. Tuttavia, non verrà inviata alcuna risposta all'ISE e verrà visualizzata una richiesta SAML errata. Indicare che OKTA non accetta la richiesta SAML.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Controllare nuovamente l'applicazione, se sono state apportate modifiche.

L'URL SSO utilizza un indirizzo IP. Tuttavia, il guest sta inviando un FQDN come è possibile vedere nella richiesta sopra l'ultima riga contiene SEMI_DELIMITER<FQDN> per risolvere il problema. Modificare l'indirizzo IP in FQDN nelle impostazioni OKTA.

Scenario 2. "Si è verificato un problema durante l'accesso al sito. Contattare l'helpdesk per assistenza".

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

Dai log, ISE segnala che l'asserzione non è corretta. Verificare che l'URI del gruppo di destinatari OKTA corrisponda all'SP per risolverlo.

Scenario 3. Reindirizzato alla pagina vuota oppure l'opzione di accesso non viene visualizzata.

Dipende dall'ambiente e dalla configurazione del portale. In questo tipo di problema è necessario controllare l'applicazione OKTA e quali URL sono necessari per l'autenticazione. Fare clic sul test del portale, quindi esaminare l'elemento per verificare quali siti Web devono essere raggiungibili.

In questo scenario, solo due URL: e login.okta.com - queste dovrebbero essere consentite sul WLC.

Informazioni correlate 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com