簡介
本文檔介紹如何配置思科身份服務引擎(ISE)2.3與Facebook憑據的整合,以實現經過身份驗證的訪客訪問。
必要條件
需求
思科建議您瞭解以下主題:
- 身份服務引擎(ISE)配置
- 基本Facebook應用配置
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE版本2.3
- Facebook社交登入
- Cisco無線LAN控制器(WLC)版本8.3.102.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
網路圖表
組態
提供的Facebook應用配置是一個示例,不是思科建議的配置。
1.配置Facebook應用
轉到https://developers.facebook.com,然後註冊新應用。
應用的控制面板顯示應用ID和應用Secret金鑰,該金鑰將在ISE上用於建立外部社交登入。
使建立的應用程式公開。
2.將ISE與Facebook應用整合
使用以下資訊將Facebook應用與思科ISE整合。
導航到Administration > Identity Management > External Identity Sources > Social Login並新增新儲存。
配置ISE訪客門戶以允許社交登入。
配置ISE訪客門戶以允許社交登入後,社交登入將使用URL填充,並且需要新增到Facebook應用設定Valid OAuth redirect URL。
從「產品」新增Facebook Login並新增有效的OAuth重定向URL。
成功將ISE門戶與Facebook外部社交登入繫結後,將在ISE上自動生成URL。
3.配置身份驗證和授權策略
ISE配置遵循與訪客CWA(中央Web身份驗證)相同的配置步驟。
(有關ISE CWA的配置步驟,請參閱以下文檔:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html)
確保已將Facebook ip位址範圍(31.13.0.0/16)從WLC重新導向ACL中排除
驗證
在重定向訪客使用者後,會向他們顯示「使用Facebook登入」選項。
此按鈕利用新建立的應用程式,重定向到facebook登入頁面,使用者將在其中輸入其facebook憑據。
身份驗證成功後,訪客使用者重定向回ISE門戶。
ISE Radius即時日誌:
疑難排解
ISE上的調試
要在ISE上啟用調試,請導航到Administration > System > Logging > Debug Log Configuration,選擇PSN節點並將以下元件的日誌級別更改為DEBUG:
要檢查的日誌 — ise-psc.log和guest.log。您可以直接從ISE的CLI對其進行跟蹤:
ise23-1/admin# show logging application ise-psc.log tail
在連線到Facebook應用期間,ISE顯示連線超時錯誤:
2017-08-21 08:28:18,003 DEBUG [admin-http-pool22][] com.cisco.cpm.oauth.OAuthClient -::::- Got error while checking OAuth settings for AppId: [123456789] and secret key: ****
2017-08-21 08:28:18,003 ERROR [admin-http-pool22][] admin.restui.features.social.SocialLoginUIApi -::::- ERROR
connect timed out
確保ISE節點具有直接網際網路連線。
在Bug CSCve87511上使用代理地址 "代理伺服器的社交登入支援"