De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de OAuth 2.0-configuratie in ISE om e-mailcommunicatie via Microsoft Exchange Online Mail SMTP-servers mogelijk te maken.
Cisco raadt u aan een basiskennis van de Cisco Identity Services Engine (ISE) en Simple Mail Transfer Protocol (SMTP) Server functionaliteit en OAuth Authorization.
ISE versie 3.5 P1 (3.2 Patch 8, 3.3 Patch 8, 3.4 Patch 4 ondersteunt ook deze functionaliteit)
Toegang tot Microsoft EntraID en Microsoft 365-beheercentrum
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In dit gedeelte wordt de configuratie beschreven van Microsoft Entra ID en ISE om e-mailmeldingen te ondersteunen die worden gebruikt om:
ISE-knooppunten die e-mails verzenden
| Doel van e-mail | Knooppunt dat e-mail verzendt |
| Vervaldatum gasttoegang | Primair beleidsbeheerknooppunt (PAN) |
| Alarmen | Active Monitoring and Troubleshooting-node (PMnT) |
| Sponsor- en gastmeldingen van gast- en sponsorportals | Beleidsserviceknooppunt (PSN) |
| Wachtwoordvervaldatum | Primaire PAN |
Om OAuth met ISE te gebruiken, zijn 3 stappen nodig:
1. ISE-toepassing registreren bij Microsoft Entra ID
2. Krijg een toegangstoken van de tokenserver (IDP)
3. Verbindingsverzoeken naar SMTP-server verifiëren met een toegangstoken.

STAP 1: Maak een e-mailaccount aan
Maak een e-mailaccount aan in uw geregistreerde domein vanuit Microsoft 365-beheercentrum. Voorbeeldaccount wordt hier gemaakt met de gebruikersnaam "geen antwoord" om verbinding te maken met de EntraID-toepassing en e-mails van ISE te verzenden.
Een gebruiker toevoegen

4. Wijs onder Optionele instellingen de gebruiker rol toe (geen toegang tot het beheercentrum)
5. Bekijken en klikken op Voltooien toevoegen.
6. Kies de apps waar deze gebruikersaccount toegang heeft tot Microsoft 365-e-mail: Ga in het Microsoft 365-beheercentrum naar Gebruikers > Actieve gebruikers > selecteer de gebruikersaccount en klik op Mail. Onder E-mail apps > E-mail apps beheren. Zorg ervoor dat Authenticated SMTP ook is geselecteerd samen met andere apps.
E-mailtoepassingen beheren

STAP 2: ISE-toepassing registreren in Microsoft Entra ID
Een aanvraag registreren
4. De pagina Overzicht van de toepassing wordt weergegeven. Noteer de Application (client) ID, die uw toepassing uniek identificeert. Ook uw Directory (tenant) ID, te gebruiken in ISE SMTP-configuratie.
App-registratiegegevens
5. Voeg nu de inloggegevens van de toepassing toe aan deze MS Entra-toepassing om zichzelf veilig te verifiëren en toegang te krijgen tot web-API zonder gebruikersinteractie.
Configuratie Application Client Secret
6. Toepassingen mogen API's aanroepen wanneer zij toestemming krijgen van gebruikers/beheerders. Voeg nu SMTP-machtigingen toe aan de MS Entra-toepassing.
Toestemming voor API toewijzen aan toepassing
Note: User.Read Permission for Microsoft Graph is added by default (No Admin consent for the tenant)
7. Serviceprincipes in Exchange worden gebruikt om toepassingen in staat te stellen toegang te krijgen tot Exchange-postvakken via clientreferenties die worden doorgegeven met de SMTP-, POP- en IMAP-protocollen.
Zodra een tenant-beheerder uw Microsoft Entra-toepassing heeft goedgekeurd, moet de beheerder uw Entra-toepassingsservicehoofd registreren in Exchange via Exchange Online PowerShell. Deze registratie wordt ingeschakeld door de cmdlet New-ServicePrincipal.
abc@abc-M-506L ~ % brew install --cask powershell
abc@abc-M-506L ~ % sh
sh-3.2$ brew update
sh-3.2$ brew upgrade powershell
PowerShell installeren
II. Als u de cmdlet New-ServicePrincipal wilt gebruiken, installeert u ExchangeOnlineManagement en maakt u verbinding met uw tenant, zoals wordt weergegeven in het fragment:
sh-3.2$ pwsh
PowerShell 7.5.4
PS/Users/abc> Install-Module -Name ExchangeOnlineManagement
PS/Users/abc> Import-module ExchangeOnlineManagement
PS/Users/abc> Connect-ExchangeOnline -Organization xxxxxxxx-xxxx-xxxx-xxxx-xxxxx999be76 ---->Directory (tenant) ID
Verbinding maken met Exchange Online-huurder
III. Registratie van een Microsoft Entra-applicatieservicehoofd in Exchange. Gebruik de AppID en ObjectID [De OBJECT_ID is de Object ID van de overzichtspagina van de Enterprise Application node (Azure Portal) voor de registratie van de toepassing. Het is NIET de object-ID van de overzichtspagina van het knooppunt App-registraties. Het gebruik van de onjuiste Object ID resulteert in een verificatiefout].
PS/Users/abc> New-ServicePrincipal -AppId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx6a953e -ObjectId b10axxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Registratie van hoofdservicetoepassing van Entra in Exchange
IV. Verifieer uw geregistreerde service principal identifier met de Get-ServicePrincipal cmdlet
PS/Users/abc> Get-ServicePrincipal | fl
Identificatiecode voor geregistreerde service verifiëren
V. Huurder-beheerder kan nu de specifieke postvakken in de huurder toevoegen die toegankelijk zijn voor uw toepassing. Deze configuratie wordt gedaan met de Add-MailboxPermission cmdlet.
PS/Users/abc> Add-MailboxPermission -Identity "no-reply@abcdef.onmicrosoft.com" -User b10aa0dx-xxxx-xxxx-xxxx-xxxxxxe189bb -AccessRights FullAccess
Mailboxrechten toevoegen voor toegang tot toepassing
Uw Microsoft Entra-toepassing heeft nu toegang tot de toegestane postvakken via de SMTP-, POP- of IMAP-protocollen met behulp van de toekenningsstroom voor OAuth 2.0-clientreferenties.
STAP 3: ISE SMTP-gebruikersverificatie configureren via MS Exchange Online OAuth
Als u een SMTP-server (Simple Mail Transfer Protocol) wilt configureren, klikt u op het pictogram Menu (
) en kies Beheer > Systeem > Instellingen > SMTP-server. De velden configureren.
Kies MS Exchange Online OAuth: Voer deze waarden in om Microsoft Exchange Online OAuth te configureren.
Op basis van deze configuratie worden vervalwaarschuwingen voor clientgeheimen geactiveerd.
De configuratie kan alleen worden opgeslagen nadat de testverbinding succesvol is uitgevoerd.

Succesvolle testverbinding met SMTP-server
Note: To protect sensitive customer data, these configurations are excluded from Backup and Restore operations
Configureer de instellingen voor gaste-mail om dit te controleren. Navigeer naar Workcenters > Gasttoegang > E-mailinstellingen voor gasten. Selecteer de optie E-mailmeldingen inschakelen voor gasten en configureer het standaard 'Van'-e-mailadres van een account zonder antwoord dat is geconfigureerd tijdens stap 1 van de configuratie en opslaan.
E-mailinstellingen voor gasten wijzigen
Stuur een teste-mail door te navigeren naar Workcenters > Gasttoegang > Portal en onderdelen > Gastportalen > Zelfgeregistreerd gastportaal (standaard) > Aanpassing van portalpagina > Meldingen > E.
Klik onder het voorbeeldvenster aan de rechterkant op Instellingen > Teste-mail verzenden, Voeg uw e-mailadres toe en klik op Verzenden.
E-mail testen via zelfregistratieportaal
Uw Outlook moet een e-mail ontvangen van een account zonder antwoord dat is geconfigureerd in stap 1 van verificatie. Voorbeeld van e-mail in de screenshot.
Voorbeeld van e-mail ontvangen in Outlook
Guest.log at debug level:
2026-02-02 05:17:34,608 INFO [admin-http-pool139][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::admin:::- sendMailMessage: Submitting Mail Job............
2026-02-02 05:17:34,608 INFO [admin-http-pool139][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::admin:::- submitMailMsgJob: SMTP server FQDN ==> smtp.office365.com
2026-02-02 05:17:34,609 INFO [admin-http-pool139][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::admin:::- sendMailMessage: Time taken for Submitting mail job is 1 Milli seconds.
2026-02-02 05:17:34,609 INFO [admin-http-pool139][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::admin:::- sendMailMessage: Calling Future.get....
2026-02-02 05:17:34,609 INFO [GUEST_ACCESS_SMTP_RETRY_THREAD][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -:::::- submitMailMsgJob: Creating transport object...
2026-02-02 05:17:39,365 INFO [GUEST_ACCESS_SMTP_RETRY_THREAD][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -:::::- submitMailMsgJob: Time taken for transport.sendMessage() call is 4756 Milli Seconds.
2026-02-02 05:17:39,365 INFO [admin-http-pool139][[]] cpm.guestaccess.apiservices.util.SmtpMsgRetryThreadUtil -::admin:::- sendMailMessage: Future.get status: success Time taken for Future.get method call is 4756 Milliseconds.
Test ook vanuit het sponsorportaal door de gebruikersreferenties opnieuw aan de gastgebruiker te sturen door de sponsorbeheerder.
Test van het sponsorportaal
Credentials verzenden naar gastgebruikerVoorbeeld van e-mail ontvangen door gastgebruiker:
Melding per e-mail aan gastgebruiker
Begin met het controleren van alarmen voor de vervaldatum van het clientgeheim. Nieuwe alarmen gerelateerd aan SMTP OAuth Client Secret worden toegevoegd in ISE.

Schakel voor verdere probleemoplossing de foutopsporingslogboeken in PAN-, PSN- of PMnT-knooppunten in volgens het probleem dat u probeert op te lossen.
Verbindingsbewerking testen
2026-02-02 05:58:21,501 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- SMTP settings : Username : null Port : 587 timeout : 60 isSSLEnabled: false isAuthEnabled false Server: smtp.office365.com
2026-02-02 05:58:21,501 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- Setting MailSessionProperties
2026-02-02 05:58:21,501 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- Set the FQDN : sa-ise35-1.poongarg.local
2026-02-02 05:58:21,513 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- SMTP settings : Username : null Port : 587 timeout : 60 isSSLEnabled: false isAuthEnabled false Server: smtp.office365.com
2026-02-02 05:58:21,513 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- Setting MailSessionProperties
2026-02-02 05:58:21,513 DEBUG [MnT-AlarmWorkerMail-Threadpool-0][[]] cpm.guestaccess.apiservices.util.SmtpSession -:::::- Set the FQDN : sa-ise35-1.poongarg.local
2026-02-02 05:59:14,872 DEBUG [admin-http-pool136][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- inside smtpServerSettings testConnection
2026-02-02 05:59:14,872 DEBUG [admin-http-pool136][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- smtpServerSecureSettings testConnection
2026-02-02 05:59:15,630 DEBUG [admin-http-pool136][[]] cpm.guestaccess.apiservices.oauth.OauthTokenCache -::admin:::- Putting value in OAuth Cache (accessToken, expiry) ..
2026-02-02 05:59:15,630 DEBUG [admin-http-pool136][[]] cpm.guestaccess.apiservices.oauth.ExchangeOnlineProvider -::admin:::- Access token acquired (no caching in this method)
2026-02-02 05:59:15,630 DEBUG [admin-http-pool136][[]] cpm.guestaccess.apiservices.oauth.OauthTokenCache -::admin:::- Putting value in OAuth Cache (accessToken, expiry) ..
2026-02-02 05:59:20,146 DEBUG [admin-http-pool136][[]] cpm.guestaccess.apiservices.util.SmtpSession -::admin:::- Successfully created mail session and connected to mail server.
2026-02-02 05:59:20,146 DEBUG [admin-http-pool136][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Successfully connected to smtp.office365.com.
Opslagbewerking
2026-02-02 05:54:07,337 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- inside smtpServerSettings editSubmit
2026-02-02 05:54:07,337 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- smtpServerSettings in editSubmit
2026-02-02 05:54:07,339 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Set SMTP Server is :smtp.office365.com
2026-02-02 05:54:07,339 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Set SMTP port is :587
2026-02-02 05:54:07,339 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Set Connection Timout is :60
2026-02-02 05:54:07,339 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Set TLS/SSL config is :false
2026-02-02 05:54:07,339 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- Set Authentication config is :false
2026-02-02 05:54:07,357 DEBUG [admin-http-pool129][[]] cpm.admin.guestaccess.action.SmtpServerSettingsAction -::admin:::- SMTP server settings successfully saved
1. GUI Fout: Verbinding met smtp.office365.con is mislukt.
Time-outfout voor verbinding
2026-02-09 03:24:58,658 ERROR [admin-http-pool11][[]] cpm.guestaccess.apiservices.util.SmtpSession -::admin:::- MessagingException : com.sun.mail.util.MailConnectException: Couldn't connect to host, port: smtp.office365.com, 587; timeout 60000;
nested exception is:
java.net.SocketTimeoutException: connect timed out
Guest.log toont de time-out van de verbinding. Proxyconfiguratie moet worden opgelost om dit probleem op te lossen.
2. GUI-fout: ongeldig OAuth-eindpunt of tenant-id - Verklarend voor zichzelf. Moet de huurder ID controleren.
3. Ongeldig clientgeheim - zelfde, moet de waarde van het clientgeheim verifiëren
Ongeldige fout clientgeheim
4. Ongeldig e-mailadres - Controleer of de configuratie van het Serviceprincipe correct is.
Fout in ongeldig e-mailadres

5. Er kan geen geldig certificeringspad naar het aangevraagde doel worden gevonden: zorg ervoor dat de certificaten van de certificaatketen Entra ID (Microsoft Azure RSA TLS Issuing CA en DigiCert Root CA, enz. volgens de pcap) aanwezig zijn in het vertrouwde certificaatarchief van ISE en vertrouwd zijn voor de rol "Trust for authentication within ISE and Client-Server communication (Infrastructure)".
Controleer alle certificaten die door EntraID zijn verzonden door een pcap te nemen.
Certificate Validation Failure
2026-02-10 14:32:47,528 ERROR [admin-http-pool9][[]] cpm.guestaccess.apiservices.util.SmtpSession -::admin:::- Exception : javax.mail.AuthenticationFailedException: failed to connect
2026-02-10 14:34:06,549 ERROR [admin-http-pool9][[]] cpm.guestaccess.apiservices.oauth.ExchangeOnlineProvider -::admin:::- Error acquiring token: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
2026-02-10 14:34:28,655 ERROR [admin-http-pool27][[]] cpm.guestaccess.apiservices.oauth.ExchangeOnlineProvider -::admin:::- Error acquiring token: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
23-Feb-2026
|
Eerste vrijgave |
Feedback