Inleiding
Dit document beschrijft de meeste problemen die zijn waargenomen in ISE 3.1 met SAML GUI-aanmelding. Door het gebruik van de SAML 2.0 standaard, SAML-gebaseerde admin log-in voegt Single sign-on (SSO) mogelijkheid om ISE. U kunt elke Identity Provider (IdP) gebruiken zoals Azure, Okta, PingOne, DUO Gateway of elke IdP die SAML 2.0 implementeert.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco ISE 3.1 of hoger
- Begrijp de basisprincipes van SAML SSO-opstellingen
Raadpleeg de ISE 3.1-beheerdershandleiding voor SAML-configuratie en ISE Admin-aanmeldingsstroom via SAML met Azure AD voor meer informatie over de configuratie en stroom.
Opmerking: U moet bekend zijn met uw Identity Provider-service en ervoor zorgen dat deze actief is.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Debugs inschakelen
Om problemen op te lossen, moet u eerst de foutopsporing inschakelen zoals hieronder beschreven.
Navigeer naar Bewerkingen > Problemen oplossen > Wizard Foutopsporing > Logconfiguratie foutopsporing. Selecteer de Primaire beheerder knooppunt en klik op Bewerken zoals weergegeven in de volgende afbeelding.

- Stel de volgende componenten in op DEBUG-niveau.
Naam component |
logniveau |
bestandsnaam van logboek |
portaal |
DEBUGGEN |
guest.log |
openhartig |
DEBUGGEN |
ISE-PSC.log |
saml |
DEBUGGEN |
ISE-PSC.log |
Opmerking: Wanneer u klaar bent met het oplossen van problemen, vergeet dan niet om de debugs te resetten door de node te selecteren en op "Reset to Default" te klikken.
Download de logs
Zodra het probleem is gereproduceerd, moet u de benodigde logbestanden verkrijgen.
Stap 1. Ga naar Bewerkingen > Problemen oplossen > Logboeken downloaden. Selecteer de primaire admin node onder 'Toestelnode lijst' > Debug Logs
Stap 2. Oudermappen van gast- en ise-psc zoeken en uitbreiden
Stap 3. Download guest.log en ise-psc.log bestanden.
Probleem 1a: Toegang geweigerd
- Nadat u uw SAML-gebaseerde beheerdersaanmelding hebt geconfigureerd,
- Selecteer Inloggen met SAML.
- Omleiden naar IdP-inlogpagina werkt zoals verwacht
- Verificatie is een succes volgens SAML/IdP-respons
- IdP verzendt een groepskenmerk en u kunt dezelfde groep/object-ID zien die is geconfigureerd in ISE.
- Vervolgens, terwijl ISE haar beleid probeert te analyseren, gooit het een uitzondering die een "Toegang geweigerd" -bericht veroorzaakt, zoals weergegeven in de schermafbeelding.

Logs in ise-psc.log
2021-09-27 17:16:18,211 DEBUG [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:
IdP ID: TSDLAB_DAG
Subject: ise.test
Group: null
SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
SAML Success:true
SAML Status Message:null
SAML email:
SAML Exception:nullUserRole : NONE
2021-09-27 17:16:18,218 DEBUG [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call authenticateSAMLUser messageCode:null subject: ise.test
2021-09-27 17:16:18,225 DEBUG [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
2021-09-27 17:16:18,390 INFO [admin-http-pool5][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-
*************************Rbac Log Summary for user samlUser*************************
2021-09-27 17:16:18,392 INFO [admin-http-pool5][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
2021-09-27 17:16:18,402 ERROR [admin-http-pool5][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action
java.lang.NullPointerException
2021-09-27 17:16:18,402 INFO [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
2021-09-27 17:16:18,402 INFO [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
2021-09-27 17:16:18,402 ERROR [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
2021-09-27 17:16:18,402 INFO [admin-http-pool5][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied
Oorzaak/oplossing
Zorg ervoor dat de naam van de groepsclaim in IdP-configuraties hetzelfde is als wat is geconfigureerd in ISE.
De volgende screenshot is gemaakt van Azure kant.

Screenshot van ISE Side.

Probleem 1b: Meerdere groepen in SAML-respons (toegang geweigerd)
Als de vorige oplossing het probleem niet oplost, moet u controleren of de gebruiker geen lid is van meer dan één groep. Als dit het geval is, moet u Cisco bug ID CSCwa17470 zijn tegengekomen waarbij ISE alleen overeenkomt met de eerste waarde (groepsnaam / ID) in de lijst van SAML-respons. Deze bug is opgelost in 3.1 P3
iseadmins
Sysadmins
domain admins
change-esc
Volgens de eerder gegeven IdP-respons moet ISE-toewijzing voor de iseadmins-groep worden geconfigureerd om de aanmelding succesvol te laten zijn.

Probleem 2: 404 Bronnen niet gevonden

U ziet een fout in guest.log
2021-10-21 13:38:49,308 ERROR [https-jsse-nio-10.200.50.44-8443-exec-3][] cpm.guestaccess.flowmanager.step.StepExecutor -::-
Can not find the matched transition step on Step=id: 51d3f147-5261-4eb7-a1c9-ce47ec8ec093, tranEnum=PROCEED_SSO.
Oorzaak/oplossing
Dit probleem wordt alleen waargenomen nadat het eerste ID-archief is gemaakt.
Probeer de volgende stap in dezelfde volgorde uit om dit probleem op te lossen:
Stap 1. Maak een nieuwe SAML IdP in uw ISE (verwijder de huidige nog niet.).
Stap 2. Ga naar de toegangspagina voor beheerders en wijs uw beheerderstoegang toe aan deze nieuwe IdP.
Stap 3. Verwijder de oude IdP in Externe Identiteitsproviders pagina.
Stap 4. Importeer de huidige IdP-metagegevens in de nieuwe IdP die in stap 1 is gemaakt en voer de nodige groepstoewijzingen uit.
Stap 5. Probeer nu SAML log in; het zal werken.
Probleem 3: Certificaatwaarschuwing
Wanneer u in een implementatie met meerdere knooppunten op "Inloggen met SAML" klikt, ziet u een waarschuwing voor een niet-vertrouwd certificaat in de browser

Oorzaak/oplossing
In sommige gevallen leidt pPAN u door naar de IP van Active PSN's, niet naar FQDN. Dit veroorzaakt een certificaatwaarschuwing bij sommige PKI-implementaties als er geen IP-adres in het SAN-veld is.
De oplossing is om IP toe te voegen in het SAN-veld van het certificaat.
Cisco bug ID CSCvz89415. Dit wordt opgelost in 3.1p1