SAML SSOでのISE 3.1 GUIログインのトラブルシューティング

はじめに

このドキュメントでは、SAML GUIログインを使用するISE 3.1で確認されたほとんどの問題について説明します。 SAML 2.0標準の使用により、SAMLベースの管理者ログインにより、シングルサインオン(SSO)機能がISEに追加されます。Azure、Okta、PingOne、DUO Gateway、またはSAML 2.0を実装する任意のIdPなどのIdentity Provider(IdP)を使用できます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

1. Cisco ISE 3.1以降
2. SAML SSOセットアップの基本を理解する

設定とフローの詳細については、『SAML設定のISE 3.1管理ガイド』および『Azure ADを使用したSAMLによるISE管理ログインフロー』を参照してください。

注:IDプロバイダーのサービスについて十分に理解し、サービスが稼働していることを確認する必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• ISE バージョン 3.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

デバッグをイネーブルにする

トラブルシューティングを開始するには、まず次に説明するようにデバッグを有効にする必要があります。

Operations > Troubleshoot > Debug Wizard > Debug Log Configurationの順に移動します。プライマリ管理ノードを選択し、次の図に示すようにEditをクリックします。

• 次のコンポーネントをDEBUGレベルに設定します。

注：トラブルシューティングが終了したら、ノードを選択してデバッグをリセットし、「デフォルトにリセット」をクリックしてください。

ログのダウンロード

問題が再現されたら、必要なログファイルを取得する必要があります。

ステップ 1： Operations > Troubleshoot > Download logsの順に移動します。「アプライアンス・ノード・リスト」>「デバッグ・ログ」でプライマリ管理ノードを選択します。

ステップ 2： guestおよびise-pscの親フォルダを検索して展開します。

ステップ 3： guest.logファイルとise-psc.logファイルをダウンロードします。

問題1a：アクセス拒否

• SAMLベースの管理者ログインを設定した後、
• Log in With SAMLを選択します。
• IdPログインページへのリダイレクトが正常に機能する
• SAML/IdP応答ごとの認証の成功
• IdPの送信グループ属性と同じグループ/オブジェクトIDがISEで設定されていることを確認できます。
• 次に、ISEはポリシーを分析しようとするときに、スクリーンショットに示すように「Access Denied」メッセージを引き起こす例外をスローします。

ise-psc.logのログ

2021-09-27 17:16:18,211 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:

                IdP ID: TSDLAB_DAG
                Subject: ise.test
                Group: null
                SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
                SAML Success:true
                SAML Status Message:null
                SAML email:
                SAML Exception:nullUserRole : NONE

2021-09-27 17:16:18,218 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call authenticateSAMLUser messageCode:null subject: ise.test
2021-09-27 17:16:18,225 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
2021-09-27 17:16:18,390 INFO   [admin-http-pool5][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

*************************Rbac Log Summary for user samlUser*************************

2021-09-27 17:16:18,392 INFO   [admin-http-pool5][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
2021-09-27 17:16:18,402 ERROR  [admin-http-pool5][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action

java.lang.NullPointerException

2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
2021-09-27 17:16:18,402 ERROR  [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied

原因/解決策

IdP設定のグループ要求名がISEで設定されているものと同じであることを確認します。

次のスクリーンショットはAzure側から撮影したものです。

ISE側からのスクリーンショット。

問題1b:SAML応答に複数のグループがある（アクセス拒否）

前の修正で問題が解決しない場合は、ユーザが複数のグループのメンバーでないことを確認します。この場合、Cisco Bug ID CSCwa17470(ISEがSAML応答のリストの最初の値（グループ名/ID）にのみ一致する)が発生している必要があります。この不具合は、3.1 P3で解決されています

       iseadmins 
      Sysadmins
      domain admins
       change-esc
      
    
  

前述のIdP応答ごとに、ログインを成功させるためにiseadminsグループのISEマッピングを設定する必要があります。

問題2: 404リソースが見つかりません

guest.logにエラーが表示されます

2021-10-21 13:38:49,308 ERROR  [https-jsse-nio-10.200.50.44-8443-exec-3][] cpm.guestaccess.flowmanager.step.StepExecutor -::- 
Can not find the matched transition step on Step=id: 51d3f147-5261-4eb7-a1c9-ce47ec8ec093, tranEnum=PROCEED_SSO.

原因/解決策

この問題は、が最初のIDストアを作成した後にのみ発生します。

これを解決するには、同じ順序で次のコマンドを実行します。

ステップ 1： ISEで新しいSAML IdPを作成します（現在のSAML IdPはまだ削除しないでください）。

ステップ 2： 管理者アクセスページに移動し、この新しいIdPへの管理者アクセスを割り当てます。

ステップ 3： 「外部アイデンティティプロバイダー」ページで古いIdPを削除します。

ステップ 4：現在のIdPメタデータをステップ1で作成した新しいIdPにインポートし、必要なグループマッピングを実行します。

ステップ 5：次に、SAMLログインを試行します。これで動作します。

問題3：証明書の警告

マルチノード展開では、「Log In with SAML」をクリックすると、ブラウザに「Un-trusted certificate warning」が表示されます

原因/解決策

場合によっては、pPANによってFQDNではなくアクティブPSNのIPにリダイレクトされることがあります。これにより、SANフィールドにIPアドレスがない場合、一部のPKI展開で証明書の警告が発生します。

回避策は、証明書のSANフィールドにIPを追加することです。

Cisco Bug ID CSCvz89415。これは3.1p1で解決されています