Portal del invitado de la configuración ISE 2.3 con OKTA SAML SSO

Introducción

Este documento describe cómo integrar el Identity Services Engine (ISE) con OKTA, para proporcionar el lenguaje de marcado de la aserción de la Seguridad solo Muestra-en (SAML) la autenticación SSO para el portal del invitado.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Servicios del invitado del Cisco Identity Services Engine. 
• SAML SSO. 
• configuración (opcional) del regulador del Wireless LAN (WLC).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Identity Services Engine 2.3.0.298
• OKTA aplicación SAML SSO
• Versión 8.3.141.0 inalámbrica del regulador del Cisco 5500
• Lenovo Windows 7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.

Antecedentes

SSO federado

Un usuario dentro de la organización puede autenticar una vez y después tener acceso a los recursos múltiples. Esta identidad usada a través de las organizaciones se llama identidad federada.

El concepto de federación:

• Principio: El usuario final (el, que pide un servicio), buscador Web, en este caso, es el punto final.
• Proveedor de servicio (SP): (RP) de confianza a veces en este caso llamado del partido, que es el sistema que proporciona un servicio, ISE.
• Proveedor de la identidad (IdP): cuál maneja la autenticación, el resultado de la autorización y los atributos que se devuelve al SP, en este caso, OKTA.
• Aserción: la información del usuario enviada por IdP al SP.

Varios protocolos implementan el SSO tal como OAuth2 y OpenID. El ISE utiliza SAML.

SAML es un marco XML basado que describe el uso y el intercambio de las aserciones de SAML en una manera segura entre las entidades comerciales. El estándar describe el sintaxis y las reglas para pedir, para crear, para utilizar, y para intercambiar estas aserciones.

El ISE utiliza el modo iniciado SP. Reorientan al usuario al portal del invitado, después el ISE lo reorienta a IdP para autenticar. Después de eso, reorienta de nuevo al ISE. La petición se valida, los ingresos del usuario con el acceso de invitado o en-embarque, dependiendo de la configuración porta.

Flujo de red

1. El usuario conecta con el SSID, y la autenticación es filtración del mac (mab).
   
   
2. El ISE responde detrás con el access-accept que contiene los atributos Reorientar-URL y Reorientar-ACL
   
3. Intentos del usuario para acceder www.facebook.com.
   
4. El WLC intercepta la petición y reorienta al usuario al portal del invitado ISE, el usuario hace clic en el acceso del empleado para registrar el dispositivo con las credenciales SSO.
   
5. El ISE reorienta al usuario a la aplicación OKTA para la autenticación.
   
6. Después de la autenticación satisfactoria, OKTA envía la respuesta de la aserción de SAML al navegador.
   
7. El navegador retransmite la aserción de nuevo al ISE.
   
8. El ISE verifica la respuesta de la aserción y si autentican al usuario correctamente, procede al AUP y entonces con el registro del dispositivo.

Marque el link abajo para más información sobre SAML

https://developer.okta.com/standards/SAML/

Configurar

Paso 1. Configure SAML el portal del proveedor y del invitado de la identidad en el ISE.

1. Prepare la fuente externa de la identidad.

Paso 1. Navegue a la administración > las fuentes externas de la identidad > SAML los proveedores identificación.

 Paso 2. Asigne un nombre al proveedor identificación y someta la configuración.

2. Cree el portal para el SSO.

Paso 1. Cree el portal que se asigna a OKTA como fuente de la identidad. Cualquier otra configuración para BYOD, registro del dispositivo, invitado. .etc, es exactamente lo mismo que para el portal normal. En este documento, el portal se asocia al portal del invitado como login alternativo para el empleado.

Paso 2. Navegue a los centros > al acceso de invitado > a los portales y a los componentes de trabajo y cree el portal.

Paso 3. Elija el método de autentificación para señalar al proveedor de la identidad configurado previamente.

Paso 4. Elija la fuente de la identidad OKTA como método de autentificación.

(opcional) elija las configuraciones BYOD.

Paso 5. Salve la configuración porta, con BYOD que el flujo parece esto:

3. Configure el login alternativo.

Nota: Usted puede saltar esta parte si usted no está utilizando el login alternativo.

Navegue al invitado del uno mismo-registro porta o a cualquier otro portal personalizado para el acceso de invitado.

En el login las paginaciones agregan el portal alternativo del login: OKTA_SSO.

Éste ahora es el flujo porta.

Paso 2. Configuraciones del proveedor de la aplicación y SAML de la identidad de la configuración OKTA.

1. Cree la aplicación OKTA.

Paso 1. Login al sitio web OKTA con una cuenta de administración.

Paso 2. Haga clic en agregan la aplicación.

Paso 3. Cree el nuevo App, elíjalo para ser SAML2.0

Opciones generales

Paso 4. Descargue el certificado y instalelo en los certificados confiables ISE.

2. Exporte la información SP del proveedor de la identidad de SAML.

Navegue al proveedor previamente configurado de la identidad. Haga clic en la información del proveedor de servicio y expórtela, tal y como se muestra en de la imagen.

La carpeta exportada de la cremallera contiene el archivo XML y readme.txt

Para algunos proveedores de la identidad usted puede importar el XML directamente, pero en este caso, necesita importar manualmente.

• Sola muestra en URL (aserción del saml)
  
  

  Location="https://10.48.35.19:8443/portal/SSOLoginResponse.action"
  Location="https://10.48.17.71:8443/portal/SSOLoginResponse.action" 

  Location="https://isepan.bikawi.lab:8443/portal/SSOLoginResponse.action" 
  Location="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"

• Entidad ID SP

entityID="http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546"

El SSO URL disponible en el IP Address y el FQDN formatan.

Precaución: La selección de formato depende de las configuraciones de la reorientación en el perfil de la autorización, si usted le utiliza IP estático entonces utiliza el IP Address para SSO URL.

3. OKTA configuraciones SAML.

Paso 1. Agregue esos URL en las configuraciones de SAML.

Paso 2. Usted puede agregar más de un URL del archivo XML, sobre la base del número de PSN que recibe este servicio. El formato del nombre ID y el nombre de usuario de la aplicación dependen de su diseño.

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id127185945833795871212409124" IssueInstant="2018-09-21T15:47:03.790Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:x509SubjectName">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2018-09-21T15:52:03.823Z" Recipient="https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2018-09-21T15:42:03.823Z" NotOnOrAfter="2018-09-21T15:52:03.823Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>http://CiscoISE/9c969a72-b9cd-11e8-a542-d2e41bbdc546</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2018-09-21T15:47:03.790Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
</saml2:Assertion>

Paso 3. Haga clic después y elija la segunda opción.

 4. Exporte los meta datos de la aplicación.

Meta datos:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exk1rq81oEmedZSf4356">
<md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIDrDCCApSgAwIBAgIGAWWPlTasMA0GCSqGSIb3DQEBCwUAMIGWMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFzAVBgNVBAMMDmNpc2NvLXlhbGJpa2F3MRwwGgYJKoZIhvcN AQkBFg1pbmZvQG9rdGEuY29tMB4XDTE4MDgzMTEwNDMwNVoXDTI4MDgzMTEwNDQwNVowgZYxCzAJ BgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0w CwYDVQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEXMBUGA1UEAwwOY2lzY28teWFsYmlr YXcxHDAaBgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQClP7DvzVng7wSQWVOzgShwn+Yq2U4f3kbVgXWGuM0a7Bk6lAUBoq485EQJ1+heB/6x IMt8u1Z8HUsOspBECLYcI75gH4rpc2FM4kzZiDbNLb95AW6dlUztC66x42uhRYgduD5+w3/yvdwx l99upWb6SdRtnwK8cx7AyIJA4E9KK22cV3ek2rFTrMEC5TT5iEDsnVzC9Bs9a1SRIjiadvhCSPdy +qmMx9eFtZwzNl/g/vhS5F/CoC6EfOsFPr6aj/1PBeZuWuWjBFHW3Zy7hPEtHgjYQO/7GRK2RzOj bSZgeAp5YyytjA3NCn9x6FMY5Rppc3HjtG4cjQS/MQVaJpn/AgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBAJUK5zGPZwxECv5dN6YERuV5C5eHUXq3KGul2yIfiH7x8EartZ4/wGP/HYuCNCNw3HTh+6T3 oLSAevm6U3ClNELRvG2kG39b/9+ErPG5UkSQSwFekP+bCqd83Jt0kxshYMYHi5FNB5FCTeVbfqRI TJ2Tq2uuYpSveIMxQmy7r5qFziWOTvDF2Xp0Ag1e91H6nbdtSz3e5MMSKYGr9HaigGgqG4yXHkAs 77ifQOnRz7au0Uo9sInH6rWG+eOesyysecPuWQtEqNqt+MyZnlCurJ0e+JTvKYH1dSWapM1dzqoX OzyF7yiId9KPP6I4Ndc+BXe1dA8imneYy5MHH7/nE/g=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</md:NameIDFormat>
<md:NameIDFormat>
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
</md:NameIDFormat>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>

Salve el archivo en el formato XML.

5. Asigne a los usuarios a la aplicación.

Asigne a los usuarios a esta aplicación, hay una manera para la integración AD, su explicada en: driectory okta-activo

6. Meta datos de la importación de Idp al ISE.

Paso 1. Bajo el proveedor de la identidad de SAML, seleccione los Config del proveedor de la identidad. y meta datos de la importación.

Paso 2. Salve la configuración.

Configuración del paso 3.CWA.

Este documento describe la configuración para el ISE y el WLC.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

Agregue los URL en el Reorientar-ACL.

https://cisco-yalbikaw.okta.com/agrega su aplicación URL

https://login.okta.com

Verificación

Pruebe el portal y verifiquelo si usted puede alcanzar la aplicación OKTA

Paso 1. Haga clic en la prueba porta, después usted debe ser reorientado a la aplicación SSO.

Paso 2. Marque la conexión de la información al name> del <application

Paso 3. Si usted ingresa las credenciales que usted puede ser que vea la mala petición del saml, ésta no significa necesariamente que la configuración es incorrecta en este momento.

Verificación del usuario final

 Verificación ISE 

Registros de la vida del control para verificar el estado de autenticación.

Troubleshooting

 Troubleshooting OKTA

Paso 1. Marque abre una sesión la lengueta de los informes.

Paso 2. También de la opinión de la aplicación los registros relacionados.

Troubleshooting ISE

Hay dos archivos del registro a marcar

• ise-psc.log
•  guest.log 

Navegue a la administración > al sistema > a la configuración del registro del registro > del debug. Permita al nivel PARA HACER EL DEBUG DE.

SAML	ise-psc.log
Guestaccess	guest.log
Porta	guest.log

La tabla muestra el componente para hacer el debug de y su archivo del registro correspondiente.

Problemas frecuentes y soluciones

Del escenario 1. del malo petición SAML.

Este error es genérico, marca abre una sesión la orden para verificar el flujo y para establecer claramente el problema. En ISE guest.log:

Aplicación guest.log del registro de la demostración ISE# | último 50 

2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- SSOLoginTransitionResult: SSOLoginTransitionResult:

        Portal Name: OKTA_SSO
        Portal ID: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
        Portal URL: https://isespan.bikawi.lab:8443/portal/SSOLoginResponse.action
        Identity Provider: com.cisco.cpm.acs.im.identitystore.saml.IdentityProvider@56c50ab6
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- portalSessionInfo: portalId=9c969a72-b9cd-11e8-a542-d2e41bbdc546;portalSessionId=6770f0a4-bc86-4565-940a-b0f83cbe9372;radiusSessi
onId=0a3e949b000002c55bb023b3;
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- no Load balancer is configured; no redirect should be made
2018-09-30 01:32:35,624 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- No redirect manipulation is required - start the SAML flow with 'GET'...
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.configmanager.SSOLoginConfigHandler -::- Redirect to IDP: https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.utils.Combiner -::- combined map: {redirect_required=TRUE, sso_login_action_url=https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml
?SAMLRequest=nZRdb9owFIb%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv
1CPwo1hGtcFepS3HZF3pzSH04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIP
tot64oM%2BVyWK391X5TI%2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e4
1bbdc546_DELIMITERportalId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab}
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- targetUrl: pages/ssoLoginRequest.jsp
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalId: 9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- webappPath: /portal
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalStepController -::- portalPath: /portal/portals/9c969a72-b9cd-11e8-a542-d2e41bbdc546
2018-09-30 01:32:35,626 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalPreResultListener -::- No page transition config. Bypassing transition.
2018-09-30 01:32:35,627 DEBUG  [https-jsse-nio-10.48.17.71-8443-exec-2][] cisco.ise.portalwebaction.controller.PortalFlowInterceptor -::- result: success

El ISE ha reorientado con éxito al usuario a IDP. Sin embargo, ninguna respuesta de nuevo al ISE y a la petición del malo SAML aparece. Identifique que OKTA no valida nuestra petición de SAML abajo es la petición.

https://cisco-yalbikaw.okta.com/app/ciscoorg808433_iseokta_2/exk1rq81oEmedZSf4356/sso/saml?SAMLRequest=nZRdb9owF
Ib%2FSuT7EJMPIBahYpRqkWBlJOxiN5XtHFprwc5sQ%2Bm%2Fn0NKi%2FZRoeUyPu95j9%2FzJOOb4672DqCNUDJD%2FR5GHkiuKiEfM7Qp7%2FwRupmMDd3VDZnu7ZNcw889GOs5nTTkdJChvZZEUSMMkXQHhlhOiulyQcIeJo1WVnFVI29qDGjrjGZKmv0OdAH6IDhs1osMPVnbGBIEwoBpqOwx8YM%2Bi15NGRnFcRQ0SltaB0Vxv1CPwo1hGtcFepS3HZF3pzS
H04QZ2tLaAPLy2ww9pDwdpHQY%2Bizlld%2Fvw8inSRz6VQhxn7GKJ%2FHg4Xa%2ByJd5OV93Lnn1MP%2B6mS6Kq8TFfJl3ugJMm%2BObfDAc4i2msc%2F4aODHySDx0xhTn%2BHtKOIM0mgYnuSaVmJvfpdjGkEapwy3T8iThDEcRiw6Sd5n%2FjMxd3Wzoq7ZAd7DMGYPuTSWSpuhEPdHPk79CJe4T6KQRElvECbfkbd6XdcnITsIPtot64oM%2BVyWK391X5TI%
2B3aGyRWgMzond309NPSMCpq0YDguZsJwlRfz4JqdjINL226IsCFfnE9%2Bu1K14C8Xs4TXE1zX6nmmgdq3YIO37q9fBlQnCh3jFo72v2xmatdQLUybIhwd4a85ksvOs9qFtIbthcPVmX5YxglvW7vXLUPPSlctE8DdzUpNpWlZ7wL%2B6zyT7uxfgUzOu7n8m0x%2BAQ%3D%3D&RelayState=_9c969a72-b9cd-11e8-a542-d2e41bbdc546_DELIMITERport
alId_EQUALS9c969a72-b9cd-11e8-a542-d2e41bbdc546_SEMIportalSessionId_EQUALS6770f0a4-bc86-4565-940a-b0f83cbe9372_SEMIradiusSessionId_EQUALS0a3e949b000002c55bb023b3_SEMI_DELIMITERisespan.bikawi.lab

Ahora marque la aplicación quizás allí son otra vez cambios realizados.

El SSO URL está utilizando la dirección IP, sin embargo, el invitado está enviando el FQDN como podemos ver en la petición sobre la línea más reciente contenemos SEMI_DELIMITER<FQDN> para reparar este cambio del problema la dirección IP al FQDN en las configuraciones OKTA.

El escenario 2." allí era un problema que accedía el sitio. Entre en contacto por favor al servicio de ayuda para la ayuda”.

Guest.log 

2018-09-30 02:25:00,595 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- SSO Authentication failed or unknown user, authentication result=FAILED, isFailedLogin=true, reason=24823 Assertion does not contain ma
tching service provider identifier in the audience restriction conditions
2018-09-30 02:25:00,609 ERROR  [https-jsse-nio-10.48.17.71-8443-exec-1][] guestaccess.flowmanager.step.guest.SSOLoginStepExecutor -::- Login error with idp

De los registros, el ISE señala que la aserción no está correcta. La audiencia URI del control OKTA se asegura de que haga juego el SP para resolverlo.

El escenario 3. reorientado a la página en blanco, o la opción del login no muestra.

Depende del entorno y de la configuración porta. En esta clase de problema usted necesita marcar la aplicación OKTA y qué URL requiere autenticar. Haga clic en la prueba porta después examine el elemento para marcar qué Web site deben ser accesibles.

En este escenario solamente dos URL: aplicación y login.okta.com - ésos se deben permitir en el WLC.

Información Relacionada 

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200551-Configure-ISE-2-1-Guest-Portal-with-Pin.html
  
• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213352-configure-ise-2-3-sponsor-portal-with-ms.html
  
• https://www.safaribooksonline.com/library/view/ccna-cyber-ops/9780134609003/ch05.html
  
• https://www.safaribooksonline.com/library/view/spring-security-essentials/9781785282621/ch02.html
  
• https://developer.okta.com