Configurar o fluxo de logon do administrador do ISE 3.1 via SAML SSO com o Azure AD

Opções de download

  • PDF     (2.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de agosto de 2024
ID do documento:217342

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a Integração de SSO SAML do Cisco ISE 3.1 com um Provedor de Identidade Externo, como o Ative Diretory do Azure (AD).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    1. Cisco ISE 3.1
    2. Implantações de SAML SSO
    3. AD do Azure

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    1. Cisco ISE 3.1
    2. AD do Azure

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    TERMOS:

    Provedor de identidade (IdP):

    a autoridade do Azure AD que verifica e declara uma identidade de usuário e privilégios de acesso a um recurso solicitado (o Provedor de Serviços).

    Provedor de serviços (SP):

    o recurso ou serviço hospedado que o usuário pretende acessar (o servidor de aplicativos do ISE).

    SAML

    A Security Assertion Markup Language (SAML) é um padrão aberto que permite que o IdP passe credenciais de autorização para o SP.

    As transações SAML usam Extensible Markup Language (XML) para comunicações padronizadas entre o provedor de identidade e os provedores de serviço.

    O SAML é o link entre a autenticação de uma identidade de usuário e a autorização para usar um serviço.

    Asserção SAML

    Uma Asserção SAML é o documento XML que o provedor de identidade envia ao provedor de serviços que contém a autorização do usuário.

    Existem três tipos diferentes de Asserções SAML - autenticação, atributo e decisão de autorização.

    • As asserções de autenticação comprovam a identificação do usuário e fornecem a hora em que o usuário efetuou login e o método de autenticação usado (Kerberos, dois fatores, como exemplos)
    • A asserção de atribuição passa os atributos SAML, pedaços específicos de dados que fornecem informações sobre o usuário, para o provedor de serviços.
    • Uma asserção de decisão de autorização declara se o usuário está autorizado a usar o serviço ou se o provedor de identidade negou sua solicitação devido a uma falha de senha ou à falta de direitos ao serviço.

    Diagrama de fluxo de alto nível

    O SAML funciona passando informações sobre usuários, logons e atributos entre o provedor de identidade, o Azure AD e o provedor de serviços, ISE.

    Cada usuário faz logon uma vez em um Logon Único (SSO) com o provedor de identidade, o provedor do Azure AD passa os atributos SAML para o ISE quando o usuário tenta acessar esses serviços.

    O ISE solicita autorização e autenticação do Azure AD como mostrado na imagem.

    Diagrama de visão geral do SSO do ISE 3.1

    Configurar a Integração de SSO SAML com o Azure AD

    Etapa 1. Configurar o provedor de identidade SAML no ISE

    1. Configurar o Azure AD como Fonte de Identidade SAML Externa

    No ISE, navegue para Administração > Gerenciamento de identidades > Fontes de identidade externas > Provedores de ID SAML e clique no botão Adicionar.

    Insira o Nome do provedor de IDs e clique em Enviar para salvá-lo. O Nome do provedor de ID é significativo apenas para o ISE, como mostrado na imagem.

    Criar Provedor SAML

    2. Configurar o método de autenticação do ISE

    Navegue até Administração >Sistema > Acesso de administrador > Autenticação > Método de autenticação e selecione o botão de opção Baseado em senha.

    Selecione o Nome do provedor de ID necessário criado anteriormente na lista suspensa Origem da identidade como mostrado na imagem.

    Alterar Método de Autenticação

    3. Exportar informações do provedor de serviços

    Navegue até Administração > Gerenciamento de identidades > Fontes de identidade externas > Provedores de Id SAML > [Seu Provedor SAML].

    Alterne a guia para Informações do provedor de serviços e clique no botão Exportar como mostrado na imagem.

    Exportar informações do provedor de serviços.

    Faça o download do arquivo .xml e salve-o. Anote o valor de Location URL e entityID.

    <?xml version="1.0" encoding="UTF-8"?>
    <md:EntityDescriptor entityID="http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"><md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true" AuthnRequestsSigned="false">
    <md:KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFTjCCAzagAwIBAgINAg2amSlL6NAE8FY+tzANBgkqhkiG9w0BAQwFADAlMSMwIQYDVQQDExpT 
    QU1MX2lzZTMtMS0xOS5ja3VtYXIyLmNvbTAeFw0yMTA3MTkwMzI4MDBaFw0yNjA3MTgwMzI4MDBa 
    MCUxIzAhBgNVBAMTGlNBTUxfaXNlMy0xLTE5LmNrdW1hcjIuY29tMIICIjANBgkqhkiG9w0BAQEF 
    AAOCAg8AMIICCgKCAgEAvila4+SOuP3j037yCOXnHAzADupfqcgwcplJQnFxhVfnDdOixGRT8iaQ 
    1zdKhpwf/BsJeSznXyaPVxFcmMFHbmyt46gQ/jQQEyt7YhyohGOt1op01qDGwtOnWZGQ+ccvqXSL 
    Ge1HYdlDtE1LMEcGg1mCd56GfrDcJdX0cZJmiDzizyjGKDdPf+1VM5JHCo6UNLFlIFyPmGvcCXnt 
    NVqsYvxSzF038ciQqlm0sqrVrrYZuIUAXDWUNUg9pSGzHOFkSsZRPxrQh+3N5DEFFlMzybvm1FYu 
    9h83gL4WJWMizETO6Vs/D0p6BSf2MPxKe790R5TfxFqJD9DnYgCnHmGooVmnSSnDsAgWebvF1uhZ 
    nGGkH5ROgT7v3CDrdFtRoNYAT+YvO941KzFCSE0sshykGSjgVn31XQ5vgDH1PvqNaYs/PWiCvmI/ 
    wYKSTn9/hn7JM1DqOR1PGEkVjg5WbxcViejMrrIzNrIciFNzlFuggaE8tC7uyuQZa2rcmTrXGWCl 
    sDU4uOvFpFvrcC/lavr9Fnx7LPwXaOasvJd19SPbD+qYgshz9AI/nIXaZdioHzEQwa8pkoNRBwjZ 
    ef+WFC9dWIy+ctbBT0+EM06Xj1aTI1bV80mN/6LhiS8g7KpFz4RN+ag1iu6pgZ5O58Zot9gqkpFw 
    kVS9vT4EOzwNGo7pQI8CAwEAAaN9MHswIAYDVR0RBBkwF4IVaXNlMy0xLTE5LmNrdW1hcjIuY29t 
    MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgLsMB0GA1UdDgQWBBRIkY2z/9H9PpwSnOPGARCj5iaZ 
    oDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEMBQADggIBAIE6mnBL 
    206Dkb6fHdgKd9goN8N2bj+34ybwxqvDSwGtn4NA6Hy1q7N6iJzAD/7soZfHgOT2UTgZpRF9FsHn 
    CGchSHqDt3bQ7g+GWlvcgreC7R46qenaonXVrltRw11vVIdCf8JQFFMxya/rIC4mxVeooOj1Fl9d 
    rvDBH+XVEt67DnQWkuLp8zPJUuqfa4H0vdm6oF3uBteO/pdUtEi6fObqrOwCyWd9Tjq7KXfd2ITW 
    hMxaFsv8wWcVuOMDPkP9xUwwt6gfH0bE5luT4EYVuuHiwMNGbZqgqb+a4uSkX/EfiDVoLSL6KI31 
    nf/341cuRTJUmDh9g2mppbBwOcxzoUxDm+HReSe+OJhRCyIJcOvUpdNmYC8cfAZuiV/e3wk0BLZM 
    lgV8FTVQSnra9LwHP/PgeNAPUcRPXSwaKE4rvjvMc0aS/iYdwZhZiJ8zBdIBanMv5mGu1nvTEt9K 
    EEwj9yslIHmdqoH3Em0F0gnzR0RvsMPbJxAoTFjfoITTMdQXNHhg+wlPOKXS2GCZ29vAM52d8ZCq 
    UrzOVxNHKWKwER/q1GgaWvh3X/G+z1shUQDrJcBdLcZI1WKUMa6XVDj18byhBM7pFGwg4z9YJZGF 
    /ncHcoxFY759LA+m7Brp7FFPiGCrPW8E0v7bUMSDmmg/53NoktfJ1CckaWE87myhimj0
    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
    <md:AssertionConsumerService index="0" Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
    <md:AssertionConsumerService index="1" Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>

    </md:SPSSODescriptor>
    </md:EntityDescriptor>

    Atributos de interesse do arquivo XML:

    entityID="http://CiscoISE/100d02da-9457-41e8-87d7-0965b0714db2"

    AssertionConsumerService Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action"

    AssertionConsumerService Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action"

    Etapa 2. Definir Configurações do Azure AD IdP

    1. Criar um Usuário do Azure AD

    Faça logon no painel do centro de administração do Azure Ative Diretory e selecione seu AD como mostrado na imagem.

    Painel do Centro de Administração do Azure Ative Diretory

    Selecione Users, clique em New User, configure User name, Name eInitial Password conforme necessário. Clique em Criar como mostrado na imagem.

    Criar uma conta de usuário

    2. Criar um Grupo do Azure AD

    Selecione Grupos. Clique em Novo grupo.

    Criar um Grupo do Azure AD

    Mantenha o tipo Grupo como Segurança. Configure o nome do grupo como mostrado na imagem.

    Criar novo grupo

    3. Atribuir Usuário do Azure AD ao Grupo

    Clique em Nenhum membro selecionado. Escolha o usuário e clique em Selecionar. Clique em Criar para criar o grupo com um Usuário atribuído a ele.

    Adicionar membros

    Anote o ID de objeto do grupo, nesta tela, ele é 576c60ec-c0b6-4044-a8ec-d395b1475d6e para o grupo ISE Admin como mostrado na imagem.

    ID do grupo

    4. Criar um Aplicativo Empresarial do Azure AD

    Em AD, selecione Enterprise Applications e clique em New application.

    Criar novo aplicativo

    Selecione Criar seu próprio aplicativo.

    Criar Aplicativo

    Insira o nome do seu aplicativo e selecione o botão de opção Integrar qualquer outro aplicativo que não esteja na galeria (Não galeria) e clique no botão Criar conforme mostrado na imagem.

    Editar configuração do aplicativo

    5. Adicionar Grupo ao Aplicativo

    Selecione Atribuir usuários e grupos.

    Atribuir usuários e grupos

    Clique em Adicionar usuário/grupo.

    Adicionar usuários e grupos

    Clique em Usuários e grupos.

    Atribuição de grupo

    Escolha o grupo configurado anteriormente e clique em Selecionar.

    Observação: selecione o conjunto certo de usuários ou grupos que obtêm acesso conforme pretendido, à medida que os usuários e grupos mencionados aqui obtêm acesso ao ISE quando a configuração for concluída.

    Selecione o grupo de usuários

    Quando o grupo estiver selecionado, clique em Atribuir.

    Atribuição de grupo

    Como resultado, o menu Users and groups do aplicativo configurado é preenchido com o grupo selecionado.

    Grupo de Usuários Selecionado

    6. Configurar um Aplicativo Empresarial do Azure AD

    Navegue de volta para seu Aplicativo e clique em Configurar logon único.

    Configurar Logon Único

    Selecione SAML na próxima tela.

    Selecionar SAML

    Clique em Editar ao lado de Configuração SAML básica.

    Editar Configuração de Signon Único

    Preencha o identificador (ID da entidade) com o valor de entityID do arquivo XML da etapa Export Service Provider Information. Preencha URL de resposta (URL do serviço de consumidor de asserção) com o valor de Locations de AssertionConsumerService. Click Save.

    Observação: a URL de resposta atua como uma lista de aprovação, o que permite que determinadas URLs atuem como uma origem quando redirecionadas para a página IdP.

    Configuração SAML

    7. Configurar Atributo de Grupo do Ative Diretory

    Para retornar o valor de atributo de grupo configurado anteriormente, clique em Editar ao lado de Atributos e declarações do usuário.

    Editar Atributos do Usuário e Declarações

    Clique em Adicionar uma declaração de grupo.

    Adicionar uma Declaração de Grupo

    Selecione Grupos de segurança e clique em Salvar. Selecione ID do grupo no menu suspenso Atributo de origem. Marque a caixa de seleção para personalizar o nome da declaração de grupo e insira o nome Groups.

    Selecionar Grupos de Segurança

    Anote o nome da reivindicação do grupo. Nesse caso, são Grupos.

    Atributos do Usuário e Declarações

    8. Baixar Arquivo XML de Metadados de Federação do Azure

    Clique em Download no XML de Metadados de Federação em Certificado de Assinatura SAML.

    Baixar Metadados

    Etapa 3. Carregar Metadados do Azure Ative Diretory para ISE

    Navegue até Administração > Gerenciamento de identidades > Fontes de identidade externas > Provedores de Id SAML > [Seu Provedor SAML].

    Alterne a guia para Config. do provedor de identidade e clique em Procurar. Selecione o arquivo XML de Metadados de Federação na etapa Baixar XML de Metadados de Federação do Azure e clique em Salvar.

    Configuração do provedor de identidade

    Etapa 4. Configurar grupos SAML no ISE

    Alterne para a guia Grupos e cole o valor de Nome da reivindicação de Configurar atributo de grupo do Ative Diretory em Atributo de associação de grupo.

    Adicionar atributo de grupo

    Clique em Add. Preencha Nome em Asserção com o valor de ID do Objeto de Grupo do Grupo de Administração do ISE capturado em Atribuir Usuário do Ative Diretory do Azure ao Grupo.

    Configure Name no ISE com a lista suspensa e selecione o grupo apropriado no ISE. Neste exemplo, o grupo usado é o Super Admin. Click OK. Click Save. 

    Isso cria um mapeamento entre Grupo no Azure e Nome do grupo no ISE.

    Função de Administrador do Mapa

    (Opcional) Etapa 5. Configurar Políticas RBAC

    A partir da etapa anterior, há muitos tipos diferentes de níveis de acesso de usuários que podem ser configurados no ISE.

    Para editar as RBAC (Role Based Access Control Policies, Políticas de controle de acesso baseado em funções), navegue até Administration > System > Admin Access > Authorization > Permissions > RBAC Policies e configure conforme necessário.

    Esta imagem é uma referência à configuração de exemplo.

    Políticas RBAC

    Verificar

    Confirme se a configuração está funcionando corretamente.

    Observação: o teste de Logon do SAML SSO da funcionalidade de teste do Azure não funciona. A solicitação SAML deve ser iniciada pelo ISE para que o SSO SAML do Azure funcione corretamente.

    Abra a tela do prompt de login da GUI do ISE. Você verá uma nova opção para Fazer login com SAML.

    1. Acesse a página de Login da GUI do ISE e clique em Login com SAML.

    Fazer login com SAML

    2. Você será redirecionado para a tela de logon da Microsoft. Insira suas credenciais de nome de usuário de uma conta em um grupo mapeado para o ISE como mostrado aqui e clique em Avançar como mostrado na imagem.

    Página de Entrada da Microsoft

    3. Insira sua Senha para o usuário e clique em Entrar.

    Inserir Credenciais da Microsoft

    4. Agora você será redirecionado para o painel de controle do aplicativo ISE com as permissões apropriadas configuradas com base no grupo do ISE configurado anteriormente conforme mostrado na imagem.

    Painel do ISE

    Troubleshooting

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    Problemas comuns

    É vital entender que a autenticação SAML é tratada entre o navegador e o Ative Diretory do Azure. Portanto, você pode obter erros relacionados à autenticação diretamente do Provedor de Identidade (Azure) onde o compromisso do ISE ainda não foi iniciado.

    Problema 1. O erro "Sua conta ou senha está incorreta" é visto depois que você insere as credenciais. Aqui, os dados do usuário ainda não são recebidos pelo ISE e o processo neste ponto ainda permanece com o IdP (Azure).

    O motivo mais provável é que as informações da conta estão incorretas ou a senha não está correta. Para corrigir: redefina a senha ou forneça a senha correta para essa conta, como mostrado na imagem.

    Senha Incorreta para Entrada na Microsoft

    Problema 2. O usuário não faz parte do grupo que deve ter permissão para acessar o SAML SSO. Semelhante ao caso anterior, os dados do usuário ainda não são recebidos pelo ISE e o processo neste ponto ainda permanece com o IdP (Azure).

    Para corrigir isso: verifique se a etapa de configuração Add group to the Application é executada corretamente como mostrado na imagem.

    Problema ao entrar na Microsoft

    Problema 3. O Servidor de Aplicativos ISE não pode tratar solicitações de logon SAML. Esse problema ocorre quando a solicitação SAML é iniciada do Provedor de Identidade, Azure, em vez do Provedor de Serviço, ISE. Testar o Logon SSO do Azure AD não funciona, pois o ISE não oferece suporte a solicitações SAML iniciadas pelo Provedor de Identidade.

    Página SAML Inalcançável

    Falha Esperada no Logon Único de Teste

    Problema 4. O ISE exibe o erro "Acesso negado" após uma tentativa de login. Este erro ocorre quando o nome da declaração do grupo criado anteriormente no Aplicativo Azure Enterprise não corresponde no ISE.

    Para corrigir isso: verifique se o nome da declaração de grupo no Azure e no ISE na guia Grupos de Provedores de Identidade SAML são iguais. Consulte as etapas 2.7 e 4 na seção Configurar SAML SSO com o Azure AD deste documento para obter mais detalhes.

    Página Acesso Negado do ISE

    Solução de problemas do ISE

    O nível de log dos componentes aqui deve ser alterado no ISE. Navegue até Operações > Solução de problemas > Assistente de depuração > Configuração do log de depuração.

    Nome do componente

    Nível de log

    Nome do arquivo de log

    portal

    DEBUG

    guest.log

    opensaml

    DEBUG

    ise-psc.log

    saml

    DEBUG

    ise-psc.log

    Logs com Login SAML e Nomes de Declaração de Grupo Incompatíveis

    Conjunto de depurações que exibe o cenário de solução de problemas de incompatibilidade de nome de declaração no momento da execução do fluxo (ise-psc.log).

    Observação: fique de olho nos itens em negrito. Os registros foram reduzidos para fins de clareza.

    1. O usuário é redirecionado para a URL do IdP na página de administração do ISE.

    2021-07-29 13:48:20,709 INFO   [admin-http-pool46][] api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig Type: PDP
    2021-07-29 13:48:20,712 INFO   [admin-http-pool46][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as found in IdP configuration):http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
    2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - spUrlToReturnTo:https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:20,844 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Request:
    2021-07-29 13:48:20,851 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- <?xml version="1.0" encoding="UTF-16"?><samlp:AuthnRequest AssertionConsumerServiceURL="https://10.201.232.19:8443/portal/SSOLoginResponse.action" ForceAuthn="false"

    2. A resposta SAML é recebida do navegador.

    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.201.232.19 This node's host name:ise3-1-19 LB:null request Server Name:10.201.232.19
    2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.201.232.19) this node host name is:10.201.232.19

    -::::- Decoded SAML relay state of: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19

    2021-07-29 13:48:27,177 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Parsing message stream into DOM document

    -::::- Decoded SAML message

    2021-07-29 13:48:27,182 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder -::::- Extracting ID, issuer and issue instant from status response
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- No security policy resolver attached to this message context, no security policy evaluation attempted
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Successfully decoded message.
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Checking SAML message intended destination endpoint against receiver endpoint
    opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Intended message destination endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Actual message receiver endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
    2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator - [https://10.201.232.19:8443/portal/SSOLoginResponse.action] vs. [https://10.201.232.19:8443/portal/SSOLoginResponse.action]
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- SAML message intended destination endpoint matched recipient endpoint
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: statusCode:urn:oasis:names:tc:SAML:2.0:status:Success

    3. A análise do atributo (asserção) foi iniciada.

    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/tenantid
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/displayname
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/displayname> add value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/displayname> value=<mck>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> add value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/identityprovider
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/identityprovider> add value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/identityprovider> value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/claims/authnmethodsreferences
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/claims/authnmethodsreferences> add value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/claims/authnmethodsreferences> value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> add value=<email>
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> value=(email)
    2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: IdentityAttribute is set to Subject Name

    4. O atributo de grupo é recebido com o valor de 576c60ec-c0b6-4044-a8ec-d395b1475d6e, validação de assinatura.

    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
    2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
            IdP URI: https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/
            SP URI: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
            Assertion Consumer URL: https://10.201.232.19:8443/portal/SSOLoginResponse.action
            Request Id: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
            Client Address: 10.24.226.171
            Load Balancer: null
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard with cert:CN=Microsoft Azure Federated SSO Certificate serial:49393248893701952091070196674789114797
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Enveloped signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Exclusive C14N signature transform
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing certificate
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Attempting to validate signature using key from supplied credential
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Creating XMLSignature object
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validating signature with signature algorithm URI: https://www.w3.org/2001/04/xmldsig-more#rsa-sha256
    2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Signature validated with key from supplied credential
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated succesfully
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for (email)
    2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=Microsoft Azure Federated SSO Certificate] as signing certificates
    2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo: (email), format=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, sessionIndex=_7969c2df-f4c8-4734-aab4-e69cf25b9600, time diff=17475, attributeValues=null
    2021-07-29 13:48:27,358 INFO   [admin-http-pool50][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

    5. Validação da autorização RBAC.

    *************************Rbac Log Summary for user samlUser*************************
    2021-07-29 13:48:27,360 INFO   [admin-http-pool50][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
    2021-07-29 13:48:27,368 ERROR  [admin-http-pool50][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
    java.lang.NullPointerException
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
    2021-07-29 13:48:27,369 ERROR  [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
    2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    13-Aug-2024
    Recertificação
    1.0
    19-Aug-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Chandan Kumar
      Engenheiro do Cisco TAC
    • Mueed Ahmad
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos