ISE 3.1 Admin Log in Flow configureren via SAML SSO met Azure AD

Inleiding

In dit document wordt beschreven hoe Cisco ISE 3.1 SAML SSO Integration kan worden geconfigureerd met een externe identiteitsprovider zoals Azure Active Directory (AD).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

1. Cisco ISE 3.1
2. SAML SSO-implementaties
3. Azure AD

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

1. Cisco ISE 3.1
2. Azure AD

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Begrippen

Identity Provider (IdP): De autoriteit die een gebruikersidentiteit en toegangsrechten voor een aangevraagde bron (de Serviceverlener) verifieert en bevestigt.

Serviceverlener (SP): de gehoste bron of service waartoe de gebruiker toegang wil hebben (de ISE-toepassingsserver).

SAML

Security Assertion Markup Language (SAML) is een open standaard die IdP toestaat om autorisatiereferenties door te geven aan SP.

SAML-transacties maken gebruik van Extensible Markup Language (XML) voor gestandaardiseerde communicatie tussen de identiteitsprovider en serviceproviders.

SAML is de link tussen de authenticatie van een gebruikersidentiteit en de autorisatie om een dienst te gebruiken.

SAML-bewering

Een SAML-bevestiging is het XML-document dat de identiteitsprovider naar de serviceprovider stuurt die de gebruikersautorisatie bevat.

Er zijn drie verschillende soorten SAML-beweringen: authenticatie, attribuut en autorisatiebeslissing.

• Authenticatiebeweringen bewijzen de identificatie van de gebruiker en geven de tijd aan waarop de gebruiker zich heeft aangemeld en welke authenticatiemethode ze hebben gebruikt (Kerberos, twee-factor, als voorbeelden)
• De attributie-bewering geeft de SAML-attributen, specifieke stukjes gegevens die informatie over de gebruiker verstrekken, door aan de serviceprovider.
• In een autorisatiebesluit wordt aangegeven of de gebruiker gemachtigd is om de service te gebruiken of dat de identificatieprovider zijn verzoek heeft afgewezen vanwege een wachtwoordfout of gebrek aan rechten op de service.

stroomdiagram op hoog niveau

SAML werkt door informatie over gebruikers, aanmeldingen en kenmerken door te geven tussen de identiteitsprovider, Azure AD en de serviceprovider, ISE.

Elke gebruiker meldt zich eenmaal aan bij een Single Sign-On (SSO) bij de identiteitsprovider en vervolgens geeft de Azure AD-provider de SAML-kenmerken door aan ISE wanneer de gebruiker probeert toegang te krijgen tot die services.

ISE vraagt autorisatie en authenticatie aan bij Azure AD, zoals weergegeven in de afbeelding:

SAML SSO-integratie configureren met Azure AD

Stap 1. SAML Identity Provider configureren op ISE

1. Azure AD configureren als externe SAML-identiteitsbron:

Navigeer in ISE naar Beheer > Identiteitsbeheer > Externe identiteitsbronnen > SAML-id-providers en klik op de knop Toevoegen.

Voer de naam van de ID-provider in en klik op Indienen om deze op te slaan. De naam van de ID-provider is alleen van belang voor ISE, zoals wordt weergegeven in de afbeelding.

2. Configureer de ISE-verificatiemethode:

Navigeer naar Beheer > Systeem > Beheerderstoegang > Authenticatie > Authenticatiemethode en selecteer het keuzerondje Wachtwoord instellen.

Selecteer de vereiste ID Provider Name die eerder is gemaakt in de vervolgkeuzelijst Identity Source (Identiteitsbron), zoals weergegeven in de afbeelding.

3. Informatie over de uitvoerdienstverlener:

Navigeer naar Beheer > Identiteitsbeheer > Externe identiteitsbronnen > SAML-id-providers > [Uw SAML-provider].

Switch het tabblad naar Service Provider Info. en klik op de knop Exporteren zoals weergegeven in de afbeelding.

Download het .xml bestand en sla het op. Noteer de waarde van de locatie-URL en de entiteit-ID.

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"><md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAssertionsSigned="true" AuthnRequestsSigned="false">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIFTjCCAzagAwIBAgINAg2amSlL6NAE8FY+tzANBgkqhkiG9w0BAQwFADAlMSMwIQYDVQQDExpT 
QU1MX2lzZTMtMS0xOS5ja3VtYXIyLmNvbTAeFw0yMTA3MTkwMzI4MDBaFw0yNjA3MTgwMzI4MDBa 
MCUxIzAhBgNVBAMTGlNBTUxfaXNlMy0xLTE5LmNrdW1hcjIuY29tMIICIjANBgkqhkiG9w0BAQEF 
AAOCAg8AMIICCgKCAgEAvila4+SOuP3j037yCOXnHAzADupfqcgwcplJQnFxhVfnDdOixGRT8iaQ 
1zdKhpwf/BsJeSznXyaPVxFcmMFHbmyt46gQ/jQQEyt7YhyohGOt1op01qDGwtOnWZGQ+ccvqXSL 
Ge1HYdlDtE1LMEcGg1mCd56GfrDcJdX0cZJmiDzizyjGKDdPf+1VM5JHCo6UNLFlIFyPmGvcCXnt 
NVqsYvxSzF038ciQqlm0sqrVrrYZuIUAXDWUNUg9pSGzHOFkSsZRPxrQh+3N5DEFFlMzybvm1FYu 
9h83gL4WJWMizETO6Vs/D0p6BSf2MPxKe790R5TfxFqJD9DnYgCnHmGooVmnSSnDsAgWebvF1uhZ 
nGGkH5ROgT7v3CDrdFtRoNYAT+YvO941KzFCSE0sshykGSjgVn31XQ5vgDH1PvqNaYs/PWiCvmI/ 
wYKSTn9/hn7JM1DqOR1PGEkVjg5WbxcViejMrrIzNrIciFNzlFuggaE8tC7uyuQZa2rcmTrXGWCl 
sDU4uOvFpFvrcC/lavr9Fnx7LPwXaOasvJd19SPbD+qYgshz9AI/nIXaZdioHzEQwa8pkoNRBwjZ 
ef+WFC9dWIy+ctbBT0+EM06Xj1aTI1bV80mN/6LhiS8g7KpFz4RN+ag1iu6pgZ5O58Zot9gqkpFw 
kVS9vT4EOzwNGo7pQI8CAwEAAaN9MHswIAYDVR0RBBkwF4IVaXNlMy0xLTE5LmNrdW1hcjIuY29t 
MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgLsMB0GA1UdDgQWBBRIkY2z/9H9PpwSnOPGARCj5iaZ 
oDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEMBQADggIBAIE6mnBL 
206Dkb6fHdgKd9goN8N2bj+34ybwxqvDSwGtn4NA6Hy1q7N6iJzAD/7soZfHgOT2UTgZpRF9FsHn 
CGchSHqDt3bQ7g+GWlvcgreC7R46qenaonXVrltRw11vVIdCf8JQFFMxya/rIC4mxVeooOj1Fl9d 
rvDBH+XVEt67DnQWkuLp8zPJUuqfa4H0vdm6oF3uBteO/pdUtEi6fObqrOwCyWd9Tjq7KXfd2ITW 
hMxaFsv8wWcVuOMDPkP9xUwwt6gfH0bE5luT4EYVuuHiwMNGbZqgqb+a4uSkX/EfiDVoLSL6KI31 
nf/341cuRTJUmDh9g2mppbBwOcxzoUxDm+HReSe+OJhRCyIJcOvUpdNmYC8cfAZuiV/e3wk0BLZM 
lgV8FTVQSnra9LwHP/PgeNAPUcRPXSwaKE4rvjvMc0aS/iYdwZhZiJ8zBdIBanMv5mGu1nvTEt9K 
EEwj9yslIHmdqoH3Em0F0gnzR0RvsMPbJxAoTFjfoITTMdQXNHhg+wlPOKXS2GCZ29vAM52d8ZCq 
UrzOVxNHKWKwER/q1GgaWvh3X/G+z1shUQDrJcBdLcZI1WKUMa6XVDj18byhBM7pFGwg4z9YJZGF 
/ncHcoxFY759LA+m7Brp7FFPiGCrPW8E0v7bUMSDmmg/53NoktfJ1CckaWE87myhimj0
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
<md:AssertionConsumerService index="0" Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<md:AssertionConsumerService index="1" Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>

</md:SPSSODescriptor>
</md:EntityDescriptor>

Interessante kenmerken van het XML-bestand:

• entityID="http://CiscoISE/100d02da-9457-41e8-87d7-0965b0714db2"
• AssertionConsumerService Location="https://10.201.232.19:8443/portal/SSOLoginResponse.action"
• AssertionConsumerService Location="https://ise3-1-19.onmicrosoft.com:8443/portal/SSOLoginResponse.action"
  
  

Stap 2. Instellingen voor Azure AD IdP configureren

1. Een Azure AD-gebruiker maken:

Meld u aan bij het beheerderscentrum van Azure Active Directory en selecteer uw AD zoals weergegeven in de afbeelding.

Selecteer Gebruikers, klik op Nieuwe gebruiker, configureer Gebruikersnaam, Naam en Beginwachtwoord zoals vereist. Klik op Aanmaken zoals weergegeven in de afbeelding.

2. Een Azure AD-groep maken:

Selecteer groepen. Klik op Nieuwe groep.

Houd groepstype als beveiliging. Configureer de groepsnaam zoals weergegeven in de afbeelding.

3. Azure AD-gebruiker toewijzen aan de groep:

Klik op Geen leden geselecteerd. Kies de gebruiker en klik op Selecteren. Klik op Maken om de groep te maken waaraan een gebruiker is toegewezen.

Maak een notitie van Group Object id, in dit scherm is het 576c60ec-c0b6-4044-a8ec-d395b1475d6e voor ISE Admin Group zoals weergegeven in de afbeelding.

4. Een Azure AD Enterprise-toepassing maken:

Selecteer onder AD Enterprise Applications en klik op New application.

Selecteer de optie Uw eigen toepassing maken.

Voer de naam van uw toepassing in en selecteer de knop Integreren met andere toepassingen die u niet vindt in de galerij (Niet-galerij) en klik op de knop Maken zoals weergegeven in de afbeelding.

5. Groep aan de toepassing toevoegen:

Selecteer Gebruikers en groepen toewijzen.

Klik op Gebruiker/groep toevoegen.

Klik op Gebruikers en groepen.

Kies de groep die eerder is geconfigureerd en klik op Selecteren.

Opmerking: Selecteer de juiste set van gebruikers of groepen die toegang krijgen zoals bedoeld, omdat de hier genoemde gebruikers en groepen toegang krijgen tot de ISE zodra de installatie is voltooid.

Zodra de groep is geselecteerd, klikt u op Toewijzen.

Als gevolg hiervan wordt het menu Gebruikers en groepen voor de geconfigureerde toepassing gevuld met de geselecteerde groep.

6. Een Azure AD Enterprise-toepassing configureren:

Navigeer terug naar uw toepassing en klik op Eenmalige aanmelding instellen.

Selecteer SAML op het volgende scherm.

Klik op Bewerken naast Basisconfiguratie SAML.

Identificatiecode (Entiteit-ID) invullen met de waarde van entityID uit het XML-bestand uit stap Gegevens van exportserviceprovider. Vul de URL voor antwoorden (Assertion Consumer Service URL) in met de waarde van Locaties van AssertionConsumerService. Klik op Save (Opslaan).

Opmerking: Reply URL fungeert als een paslijst, waardoor bepaalde URL's als bron kunnen fungeren wanneer ze worden doorgestuurd naar de IdP-pagina.

7. Active Directory Group-kenmerk configureren:

Als u de waarde van het groepskenmerk wilt retourneren die eerder is geconfigureerd, klikt u op Bewerken naast de Gebruikerskenmerken en claims.

Klik op Groepsclaim toevoegen.

Selecteer Beveiligingsgroepen en klik op Opslaan. Selecteer Groep-ID onder het vervolgkeuzemenu Bronkenmerk. Schakel het selectievakje in om de naam van de groepsclaim aan te passen en voer de naam Groepen in.

Noteer de naam van de claim voor de groep. In dit geval zijn het groepen.

8. Download het Azure Federation Metadata XML-bestand:

Klik op Downloaden tegen Federation Metadata XML in SAML Signing Certificate.

Stap 3. Metagegevens uploaden van Azure Active Directory naar ISE

Navigeer naar Beheer > Identiteitsbeheer > Externe identiteitsbronnen > SAML-id-providers > [Uw SAML-provider].

Switch het tabblad naar Identity Provider Config. en klik op Bladeren. Selecteer Federation Metadata XML-bestand uit stap Download Azure Federation Metadata XML en klik op Opslaan.

Stap 4. SAML-groepen configureren op ISE

Switch naar tabblad Groepen en plak de waarde van de claimnaam van het Active Directory Group-kenmerk configureren in het groepslidmaatschapattribuut.

Klik op Add (Toevoegen). Vul naam in in Bewering met de waarde van Group Object id van ISE Admin Group vastgelegd in Azure Active Directory User toewijzen aan de groep.

Configureer Naam in ISE met de vervolgkeuzelijst en selecteer de juiste groep in ISE. In dit voorbeeld is de gebruikte groep Super Admin. Klik op OK. Klik op Save (Opslaan). 

Hierdoor wordt een koppeling gemaakt tussen Group in Azure en Group name op ISE.

(Optioneel) Stap 5. RBAC-beleid configureren

Vanaf de vorige stap zijn er veel verschillende soorten toegangsniveaus voor gebruikers die op ISE kunnen worden geconfigureerd.

Om Role Based Access Control Policies (RBAC) te bewerken, navigeert u naar Beheer > Systeem > Admin Access > Autorisatie > Rechten > RBAC Policies en configureert u deze indien nodig.

Deze afbeelding is een verwijzing naar de voorbeeldconfiguratie.

Verifiëren

Controleer of de configuratie goed werkt.

Opmerking: SAML SSO-aanmeldtest van de Azure-testfunctionaliteit werkt niet. De SAML-aanvraag moet door ISE worden gestart om ervoor te zorgen dat de Azure SAML SSO naar behoren werkt.

Open het scherm ISE GUI Login prompt. U krijgt een nieuwe optie te zien om in te loggen met SAML.

1. Open uw ISE GUI-aanmeldingspagina en klik op Aanmelden met SAML.

2. U wordt doorgestuurd naar het aanmeldingsscherm van Microsoft. Voer uw gebruikersnaam referenties van een account in een groep toegewezen aan ISE zoals hier weergegeven en klik op Volgende zoals weergegeven in de afbeelding.

3. Voer uw wachtwoord voor de gebruiker in en klik op Inloggen.

4. U wordt nu doorgestuurd naar het ISE-toepassingsdashboard met de juiste machtigingen die zijn geconfigureerd op basis van de ISE-groep die eerder is geconfigureerd zoals weergegeven in de afbeelding.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Veelvoorkomende problemen

Het is van vitaal belang om te begrijpen dat SAML-verificatie wordt afgehandeld tussen de browser en de Azure Active Directory. Daarom kunt u verificatiefouten rechtstreeks krijgen van de Identity Provider (Azure) waar de ISE-service nog niet is gestart.

Probleem 1. De fout "Uw account of wachtwoord is onjuist" wordt weergegeven nadat u de referenties hebt ingevoerd. Hier worden gebruikersgegevens nog niet ontvangen door ISE en blijft het proces op dit moment nog steeds bij IdP (Azure).

De meest waarschijnlijke reden is dat de accountgegevens onjuist zijn of dat het wachtwoord niet juist is. Om te repareren: reset het wachtwoord of geef het juiste wachtwoord op voor die account zoals weergegeven in de afbeelding.

Aflevering 2. De gebruiker maakt geen deel uit van de groep die toegang zou moeten hebben tot SAML SSO. Net als in het vorige geval worden gebruikersgegevens nog niet ontvangen door ISE en blijft het proces op dit moment nog steeds bij IdP (Azure).

Oplossing: controleer of de groep toevoegen aan de configuratiestap van de toepassing correct is uitgevoerd, zoals in de afbeelding wordt weergegeven.

Aflevering 3. ISE Application Server kan geen SAML-aanmeldingsverzoeken verwerken. Dit probleem treedt op wanneer het SAML-verzoek wordt gestart bij de Identity Provider, Azure, in plaats van de Service Provider, ISE. Het testen van de SSO Login van Azure AD werkt niet omdat ISE geen ondersteuning biedt voor door Identity Provider geïnitieerde SAML-verzoeken.

Aflevering 4. ISE geeft de fout "Toegang geweigerd" weer na een aanmeldingspoging. Deze fout treedt op wanneer de claimnaam van de groep die eerder in de Azure Enterprise-toepassing is gemaakt, niet overeenkomt in ISE.

Oplossing: zorg ervoor dat de naam van de groepsclaim in Azure en ISE onder het tabblad SAML Identity Provider Groups hetzelfde zijn. Raadpleeg de stappen 2.7 en 4 in de sectie SAML SSO configureren met Azure AD van dit document voor meer informatie.

Problemen oplossen met ISE

Logniveau van de componenten hier moet worden gewijzigd op ISE. Navigeer naar Bewerkingen > Problemen oplossen > Wizard Foutopsporing > Logconfiguratie foutopsporing.

Logs met SAML-aanmelding en niet-overeenkomende claimnamen voor groepen

Set van debugs die het scenario van de mismatch van de claimnaam weergeven op het moment dat de stroom wordt uitgevoerd (ise-psc.log).

Opmerking: houd objecten in vet in de gaten. Logboeken zijn ingekort voor duidelijkheidsdoeleinden.

1. De gebruiker wordt omgeleid naar de IdP-URL vanaf de ISE-beheerpagina.

2021-07-29 13:48:20,709 INFO   [admin-http-pool46][] api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig Type: PDP
2021-07-29 13:48:20,712 INFO   [admin-http-pool46][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as found in IdP configuration):http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
2021-07-29 13:48:20,839 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - spUrlToReturnTo:https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:20,844 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Request:
2021-07-29 13:48:20,851 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-7][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- <?xml version="1.0" encoding="UTF-16"?><samlp:AuthnRequest AssertionConsumerServiceURL="https://10.201.232.19:8443/portal/SSOLoginResponse.action" ForceAuthn="false"

2. SAML-antwoord wordt ontvangen van de browser.

2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.201.232.19 This node's host name:ise3-1-19 LB:null request Server Name:10.201.232.19
2021-07-29 13:48:27,172 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.201.232.19) this node host name is:10.201.232.19

-::::- Decoded SAML relay state of: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19

2021-07-29 13:48:27,177 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Parsing message stream into DOM document

-::::- Decoded SAML message

2021-07-29 13:48:27,182 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder -::::- Extracting ID, issuer and issue instant from status response
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- No security policy resolver attached to this message context, no security policy evaluation attempted
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.ws.message.decoder.BaseMessageDecoder -::::- Successfully decoded message.
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Checking SAML message intended destination endpoint against receiver endpoint
opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Intended message destination endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- Actual message receiver endpoint: https://10.201.232.19:8443/portal/SSOLoginResponse.action
2021-07-29 13:48:27,183 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator - [https://10.201.232.19:8443/portal/SSOLoginResponse.action] vs. [https://10.201.232.19:8443/portal/SSOLoginResponse.action]
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] opensaml.common.binding.decoding.BaseSAMLMessageDecoder -::::- SAML message intended destination endpoint matched recipient endpoint
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: statusCode:urn:oasis:names:tc:SAML:2.0:status:Success

3. Het parseren van attributen (assertie) wordt gestart.

2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/tenantid
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/displayname
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/displayname> add value=<mck>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/displayname> value=<mck>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> add value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/ws/2008/06/identity/claims/groups> value=<576c60ec-c0b6-4044-a8ec-d395b1475d6e>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/identity/claims/identityprovider
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/identity/claims/identityprovider> add value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/identity/claims/identityprovider> value=<https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.microsoft.com/claims/authnmethodsreferences
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.microsoft.com/claims/authnmethodsreferences> add value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.microsoft.com/claims/authnmethodsreferences> value=<http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured, Attribute=<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> add value=<email>
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object  - attribute<http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name> value=(email)
2021-07-29 13:48:27,184 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: IdentityAttribute is set to Subject Name

4. Het attribuut van de groep wordt ontvangen met de waarde van 576c60ec-c0b6-4044-a8ec-d395b1475d6e, ondertekeningsvalidatie.

2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId=0049a2fd-7047-4d1d-8907-5a05a94ff5fd;portalSessionId=8d41c437-1fe8-44e3-a954-e3a9a66af0a6;token=LEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT;_DELIMITER10.201.232.19
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.201.232.19
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT configured for: Azure
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL indicates that its OAM. IDP URL: https://login.microsoftonline.com/182900ec-e960-4340-bd20-e4522197ecf8/saml2
2021-07-29 13:48:27,185 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for Azure is: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
        IdP URI: https://sts.windows.net/182900ec-e960-4340-bd20-e4522197ecf8/
        SP URI: http://CiscoISE/0049a2fd-7047-4d1d-8907-5a05a94ff5fd
        Assertion Consumer URL: https://10.201.232.19:8443/portal/SSOLoginResponse.action
        Request Id: _0049a2fd-7047-4d1d-8907-5a05a94ff5fd_DELIMITERportalId_EQUALS0049a2fd-7047-4d1d-8907-5a05a94ff5fd_SEMIportalSessionId_EQUALS8d41c437-1fe8-44e3-a954-e3a9a66af0a6_SEMItoken_EQUALSLEXIXO5CDPQVDV8OZWOLLEVYJK9FYPOT_SEMI_DELIMITER10.201.232.19
        Client Address: 10.24.226.171
        Load Balancer: null
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard with cert:CN=Microsoft Azure Federated SSO Certificate serial:49393248893701952091070196674789114797
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Enveloped signature transform
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.security.SAMLSignatureProfileValidator -::::- Saw Exclusive C14N signature transform
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing certificate
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Attempting to validate signature using key from supplied credential
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Creating XMLSignature object
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validating signature with signature algorithm URI: https://www.w3.org/2001/04/xmldsig-more#rsa-sha256
2021-07-29 13:48:27,186 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] org.opensaml.xml.signature.SignatureValidator -::::- Signature validated with key from supplied credential
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated succesfully
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for (email)
2021-07-29 13:48:27,188 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=Microsoft Azure Federated SSO Certificate] as signing certificates
2021-07-29 13:48:27,189 DEBUG  [https-jsse-nio-10.201.232.19-8443-exec-10][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo: (email), format=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, sessionIndex=_7969c2df-f4c8-4734-aab4-e69cf25b9600, time diff=17475, attributeValues=null
2021-07-29 13:48:27,358 INFO   [admin-http-pool50][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

5. Validatie van de RBAC-autorisatie.

*************************Rbac Log Summary for user samlUser*************************
2021-07-29 13:48:27,360 INFO   [admin-http-pool50][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
2021-07-29 13:48:27,368 ERROR  [admin-http-pool50][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
java.lang.NullPointerException
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
2021-07-29 13:48:27,369 ERROR  [admin-http-pool50][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
2021-07-29 13:48:27,369 INFO   [admin-http-pool50][] cpm.admin.infra.spring.ISEAdminControllerUtils -::::- Empty or null forwardStr for: https://10.201.232.19/admin/LoginAction.do