Configurar o portal de convidados do ISE 2.3 com OKTA SAML SSO

Introduction

Este documento descreve como integrar o Identity Services Engine (ISE) ao OKTA, para fornecer autenticação SAML SSO (Security Assertion Markup Language Single Sign-On) para o portal do convidado.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Serviços para convidados do Cisco Identity Services Engine. 
• SAML SSO. 
• (opcional) configuração de Wireless LAN Controller (WLC).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Identity Services Engine 2.3.0.298
• aplicativo SSO OKTA SAML
• Controlador sem fio Cisco 5500 versão 8.3.141.0
• Lenovo Windows 7

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

SSO Federado

Um usuário na organização pode se autenticar uma vez e, em seguida, ter acesso a vários recursos. Essa identidade usada em organizações é chamada de identidade federada.

O conceito de federação:

• Princípio: Usuário final (o que solicita um serviço), navegador da Web, neste caso, é o endpoint.
• Provedor de serviços (SP): às vezes chamado de entidade confiadora (RP), que é o sistema que fornece um serviço, neste caso, ISE.
• Provedor de identidade (IdP): que gerencia a autenticação, o resultado da autorização e os atributos que são enviados de volta à controladora de armazenamento, nesse caso, o OKTA.
• Declaração: as informações do usuário enviadas pelo IdP ao SP.

Vários protocolos implementam SSO, como OAuth2 e OpenID. O ISE usa SAML.

SAML é uma estrutura baseada em XML que descreve o uso e a troca de asserções SAML de forma segura entre entidades de negócios. O padrão descreve a sintaxe e as regras para solicitar, criar, usar e trocar essas asserções.

O ISE usa o modo iniciado pelo SP. O usuário é redirecionado para o portal Convidado e, em seguida, o ISE o redireciona para o IdP para autenticação. Depois disso, ele redireciona de volta para o ISE. A solicitação é validada, o usuário prossegue com o acesso do convidado ou com a integração, dependendo da configuração do portal.

Fluxo de rede

1. O usuário se conecta ao SSID e a autenticação é a filtragem mac (mab).
   
   
2. O ISE responde com aceitação de acesso que contém atributos Redirect-URL e Redirect-ACL
   
3. O usuário tenta acessar www.facebook.com.
   
4. A WLC intercepta a solicitação e redireciona o usuário para o portal de convidados do ISE, o usuário clica no acesso do funcionário para registrar o dispositivo com credenciais de SSO.
   
5. O ISE redireciona o usuário para o aplicativo OKTA para autenticação.
   
6. Após a autenticação bem-sucedida, o OKTA envia a resposta de asserção SAML ao navegador.
   
7. O navegador retransmite a asserção de volta ao ISE.
   
8. O ISE verifica a resposta da asserção e, se o usuário estiver corretamente autenticado, ele continua para AUP e, em seguida, com registro de dispositivo.

Verifique o link abaixo para obter mais informações sobre o SAML

https://developer.okta.com/standards/SAML/

Configurar

Etapa 1. Configure o provedor de identidade e o portal de convidado do SAML no ISE.

1. Preparar Fonte de Identidade Externa.

Etapa 1. Navegue até Administration > External Identity Sources > SAML id Providers.

 Etapa 2. Atribua um nome ao provedor de ID e envie a configuração.

2. Criar portal para SSO.

Etapa 1. Crie o portal atribuído ao OKTA como fonte de identidade. Qualquer outra configuração para BYOD, registro de dispositivos, Convidado etc. é exatamente a mesma do portal normal. Neste documento, o portal é mapeado para o portal do convidado como um login alternativo para o funcionário.

Etapa 2. Navegue até Centros de trabalho > Acesso de convidado > Portais e componentes e crie o portal.

Etapa 3. Escolha o método de autenticação para apontar para o provedor de identidade configurado anteriormente.

Etapa 4. Escolha a origem da identidade OKTA como um método de autenticação.

(opcional) escolha as configurações de BYOD.

Etapa 5. Salve a configuração do portal, com a consumerização de TI, o fluxo é semelhante a este:

3. Configure o login alternativo.

Note: Você pode pular esta parte se não estiver usando o login alternativo.

Navegue até o Portal de convidado de registro automático ou qualquer outro portal personalizado para acesso de convidado.

Nas configurações da página de login, adicione o portal de login alternativo: OKTA_SSO.

Esse é o fluxo do portal agora.

Etapa 2. Configure o aplicativo OKTA e as configurações do provedor de identidade SAML.

1. Criar Aplicativo OKTA.

Etapa 1. Faça login no site OKTA com uma conta de administrador.

Etapa 2. Clique em Add Application (Adicionar aplicativo).

Etapa 3. Criar novo aplicativo, escolha-o como SAML2.0

Configurações gerais

Etapa 4. Baixe o certificado e instale-o em certificados confiáveis do ISE.

2. Exportar informações de SP do provedor de identidade SAML.

Navegue até o provedor de identidade configurado anteriormente. Clique em Informações do provedor de serviços e exporte-as, como mostrado na imagem.

A pasta zip exportada contém o arquivo XML e readme.txt

Para alguns provedores de identidade, você pode importar o XML diretamente, mas nesse caso, ele precisa importar manualmente.

• URL de início de sessão único (asserção de exemplo )
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• ID da entidade do SP

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

O URL SSO disponível no endereço IP e formato FQDN.

Caution: A seleção de formato depende das configurações de redirecionamento no perfil de autorização. Se você usar o ip estático, use o endereço ip para o URL do SSO.

3. Configurações do OKTA SAML.

Etapa 1. Adicione esses URLs às configurações de SAML.

Etapa 2. Você pode adicionar mais de um URL do arquivo XML, com base no número de PSNs que hospedam esse serviço. O formato de ID de nome e o nome de usuário do aplicativo dependem do seu design.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Etapa 3. Clique em Next (Avançar) e escolha a segunda opção.

 4. Exportar metadados do aplicativo.

Metadados:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Salve o arquivo no formato XML.

5. Atribuir usuários ao aplicativo.

Atribuir usuários a este aplicativo, há uma forma de integração do AD, explicada em: diretório octa-ativo

6. Importar Metadados de Idp para ISE.

Etapa 1. Em SAML Identity Provider, selecione Identity Provider Config. e Importar Metadados.

Etapa 2. Salve a configuração.

Etapa 3.Configuração do CWA.

Este documento descreve a configuração para ISE e WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Adicione URLs na ACL de redirecionamento.

https://cisco-yalbikaw.okta.com  / adicione o URL do seu aplicativo

https://login.okta.com

Verificar

Teste o portal e verifique se você consegue acessar o aplicativo OKTA

Etapa 1. Clique no teste do portal e, em seguida, você deve ser redirecionado para o aplicativo SSO.

Etapa 2. Verifique a conexão de informações com o <nome do aplicativo>

Etapa 3. Se você digitar as credenciais que podem estar com uma solicitação de amostra incorreta, isso não significa necessariamente que a configuração esteja errada neste ponto.

Verificação do usuário final

 Verificação do ISE 

Verifique os registros de vida útil para verificar o status da autenticação.

Troubleshoot

 Solução de problemas OKTA

Etapa 1. Verifique os registros na guia Relatórios.

Etapa 2. Também no aplicativo, veja os registros relacionados.

Solução de problemas do ISE

Há dois arquivos de log a serem verificados

• ise-psc.log
•  guest.log 

Navegue até Administration > System > Logging > Debug Log Configuration. Ative o nível para DEBUG.

SAML	ise-psc.log
Guestaccess	guest.log
Portal	guest.log

A tabela mostra o componente a ser depurado e seu arquivo de log correspondente.

Problemas e soluções comuns

Cenário 1. Solicitação SAML incorreta.

Esse erro é genérico, verifique os registros para verificar o fluxo e aponte o problema. No ISE guest.log:

ISE#show logging application guest.log | últimos 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

O ISE redirecionou o usuário para o IDP com êxito. No entanto, nenhuma resposta de volta ao ISE e a solicitação SAML incorreta é exibida. Identifique se OKTA não aceita nossa solicitação SAML abaixo.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Agora, verifique novamente o aplicativo, talvez haja alterações feitas.

A URL do SSO está usando o endereço IP, no entanto, o convidado está enviando FQDN como podemos ver na solicitação acima da última linha contém SEMI_DELIMITER<FQDN> para corrigir esse problema e alterar o endereço IP para FQDN nas configurações OKTA.

Cenário 2. "Ocorreu um problema ao acessar o site. Entre em contato com o helpdesk para obter assistência".

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

Nos registros, o ISE informa que a Asserção não está correta. Verifique o URI do público OKTA para garantir que ele corresponda ao SP para resolvê-lo.

Cenário 3. Redirecionado para a página em branco ou a opção de login não é exibida.

Depende do ambiente e da configuração do portal. Nesse tipo de problema, você precisa verificar o aplicativo OKTA e qual URL ele precisa para autenticar. Clique no teste do portal e inspecione o elemento para verificar quais sites devem estar acessíveis.

Neste cenário, somente dois URLs: application e login.okta.com - esses devem ser permitidos na WLC.

Informações Relacionadas 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com