Problemen oplossen met ISE 3.1 GUI Inloggen met SAML SSO

Downloadopties

  • PDF     (495.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (251.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (303.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 augustus 2022
Document-id:218076

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de meeste problemen die zijn waargenomen in ISE 3.1 met SAML GUI-aanmelding. Door het gebruik van de SAML 2.0 standaard, SAML-gebaseerde admin log-in voegt Single sign-on (SSO) mogelijkheid om ISE. U kunt elke Identity Provider (IdP) gebruiken zoals Azure, Okta, PingOne, DUO Gateway of elke IdP die SAML 2.0 implementeert.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    1. Cisco ISE 3.1 of hoger
    2. Begrijp de basisprincipes van SAML SSO-opstellingen

    Raadpleeg de ISE 3.1-beheerdershandleiding voor SAML-configuratie en ISE Admin-aanmeldingsstroom via SAML met Azure AD voor meer informatie over de configuratie en stroom.

    Opmerking: U moet bekend zijn met uw Identity Provider-service en ervoor zorgen dat deze actief is.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • ISE versie 3.1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Debugs inschakelen

    Om problemen op te lossen, moet u eerst de foutopsporing inschakelen zoals hieronder beschreven.

    Navigeer naar Bewerkingen > Problemen oplossen > Wizard Foutopsporing > Logconfiguratie foutopsporing. Selecteer de Primaire beheerder knooppunt en klik op Bewerken zoals weergegeven in de volgende afbeelding.

    Select nodes

    • Stel de volgende componenten in op DEBUG-niveau.
    Naam component logniveau bestandsnaam van logboek
    portaal DEBUGGEN guest.log
    openhartig DEBUGGEN ISE-PSC.log
    saml DEBUGGEN ISE-PSC.log

    Opmerking: Wanneer u klaar bent met het oplossen van problemen, vergeet dan niet om de debugs te resetten door de node te selecteren en op "Reset to Default" te klikken.

    Download de logs

    Zodra het probleem is gereproduceerd, moet u de benodigde logbestanden verkrijgen.

    Stap 1. Ga naar Bewerkingen > Problemen oplossen > Logboeken downloaden. Selecteer de primaire admin node onder 'Toestelnode lijst' > Debug Logs

    Stap 2. Oudermappen van gast- en ise-psc zoeken en uitbreiden

    Stap 3. Download guest.log en ise-psc.log bestanden.

    Probleem 1a: Toegang geweigerd

    • Nadat u uw SAML-gebaseerde beheerdersaanmelding hebt geconfigureerd,
    • Selecteer Inloggen met SAML.
    • Omleiden naar IdP-inlogpagina werkt zoals verwacht
    • Verificatie is een succes volgens SAML/IdP-respons
    • IdP verzendt een groepskenmerk en u kunt dezelfde groep/object-ID zien die is geconfigureerd in ISE.
    • Vervolgens, terwijl ISE haar beleid probeert te analyseren, gooit het een uitzondering die een "Toegang geweigerd" -bericht veroorzaakt, zoals weergegeven in de schermafbeelding.

    Access_denied

    Logs in ise-psc.log

    2021-09-27 17:16:18,211 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:

                IdP ID: TSDLAB_DAG
                Subject: ise.test
                Group: null
                SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
                SAML Success:true
                SAML Status Message:null
                SAML email:
                SAML Exception:nullUserRole : NONE

2021-09-27 17:16:18,218 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call authenticateSAMLUser messageCode:null subject: ise.test
2021-09-27 17:16:18,225 DEBUG  [https-jsse-nio-10.200.50.44-8443-exec-2][] cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
2021-09-27 17:16:18,390 INFO   [admin-http-pool5][] ise.rbac.evaluator.impl.MenuPermissionEvaluatorImpl -::::-

*************************Rbac Log Summary for user samlUser*************************

2021-09-27 17:16:18,392 INFO   [admin-http-pool5][] com.cisco.ise.util.RBACUtil -::::- Populating cache for external to internal group linkage.
2021-09-27 17:16:18,402 ERROR  [admin-http-pool5][] cpm.admin.infra.utils.PermissionEvaluationUtil -::::- Exception in login action

java.lang.NullPointerException

2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login Action user has Menu Permission: false
2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- In Login action, user has no menu permission
2021-09-27 17:16:18,402 ERROR  [admin-http-pool5][] cpm.admin.infra.action.LoginAction -::::- Can't save locale. loginSuccess: false
2021-09-27 17:16:18,402 INFO   [admin-http-pool5][] cpm.admin.infra.action.LoginActionResultHandler -::::- Redirected to: /admin/login.jsp?mid=access_denied

    Oorzaak/oplossing

    Zorg ervoor dat de naam van de groepsclaim in IdP-configuraties hetzelfde is als wat is geconfigureerd in ISE.

    De volgende screenshot is gemaakt van Azure kant.

    Problem_1a_Azure group

    Screenshot van ISE Side.

    ISE_Group_Attribute

    Probleem 1b: Meerdere groepen in SAML-respons (toegang geweigerd)

    Als de vorige oplossing het probleem niet oplost, moet u controleren of de gebruiker geen lid is van meer dan één groep. Als dit het geval is, moet u Cisco bug ID CSCwa17470 zijn tegengekomen waarbij ISE alleen overeenkomt met de eerste waarde (groepsnaam / ID) in de lijst van SAML-respons. Deze bug is opgelost in 3.1 P3

    
       iseadmins 
      Sysadmins
      domain admins
       change-esc

    Volgens de eerder gegeven IdP-respons moet ISE-toewijzing voor de iseadmins-groep worden geconfigureerd om de aanmelding succesvol te laten zijn.

    ISE_Group_names2


    Probleem 2: 404 Bronnen niet gevonden

    404_error

    U ziet een fout in guest.log

    2021-10-21 13:38:49,308 ERROR  [https-jsse-nio-10.200.50.44-8443-exec-3][] cpm.guestaccess.flowmanager.step.StepExecutor -::- 
    Can not find the matched transition step on Step=id: 51d3f147-5261-4eb7-a1c9-ce47ec8ec093, tranEnum=PROCEED_SSO.

    Oorzaak/oplossing

    Dit probleem wordt alleen waargenomen nadat het eerste ID-archief is gemaakt.

    Probeer de volgende stap in dezelfde volgorde uit om dit probleem op te lossen:

    Stap 1. Maak een nieuwe SAML IdP in uw ISE (verwijder de huidige nog niet.).

    Stap 2. Ga naar de toegangspagina voor beheerders en wijs uw beheerderstoegang toe aan deze nieuwe IdP.

    Stap 3. Verwijder de oude IdP in Externe Identiteitsproviders pagina.

    Stap 4. Importeer de huidige IdP-metagegevens in de nieuwe IdP die in stap 1 is gemaakt en voer de nodige groepstoewijzingen uit.

    Stap 5. Probeer nu SAML log in; het zal werken.

    Probleem 3: Certificaatwaarschuwing

    Wanneer u in een implementatie met meerdere knooppunten op "Inloggen met SAML" klikt, ziet u een waarschuwing voor een niet-vertrouwd certificaat in de browser

    rmigisha_0-1660089791436

    Oorzaak/oplossing

    In sommige gevallen leidt pPAN u door naar de IP van Active PSN's, niet naar FQDN. Dit veroorzaakt een certificaatwaarschuwing bij sommige PKI-implementaties als er geen IP-adres in het SAN-veld is.

    De oplossing is om IP toe te voegen in het SAN-veld van het certificaat.

    Cisco bug ID CSCvz89415. Dit wordt opgelost in 3.1p1

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-Aug-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Romeo Migisha
      Technisch consultant van Cisco
    • Berenice Guerra
      Technisch consultant van Cisco

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco