简介
本文档介绍如何配置思科身份服务引擎(ISE)2.3与Facebook凭证的集成,以用于经过身份验证的访客访问。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎(ISE)配置
- 基本Facebook应用配置
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科ISE版本2.3
- Facebook社交登录
- 思科无线局域网控制器(WLC)版本8.3.102.0
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
网络图
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-00.png)
配置
显示的Facebook应用配置是一个示例,而不是思科推荐的配置。
1.配置Facebook应用
转到https://developers.facebook.com,注册新应用。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-01.jpeg)
应用的控制面板显示应用ID和应用密钥,将在ISE上用于创建外部社交登录。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-02.jpeg)
将创建的应用公开。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-03.jpeg)
2.将ISE与Facebook应用集成
使用以下信息将Facebook应用与思科ISE集成。
导航至管理>身份管理>外部身份源>社交登录并添加新存储。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-04.jpeg)
将ISE访客门户配置为允许社交登录。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-05.jpeg)
在配置ISE访客门户以允许社交登录后,社交登录将填充URL,并需要添加到Facebook应用设置(有效OAuth重定向URL)。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-06.jpeg)
从产品添加Facebook登录并添加有效OAuth重定向URL。
成功将ISE门户与Facebook外部社交登录绑定后,URL将在ISE上自动生成。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-07.jpeg)
3.配置身份验证和授权策略
ISE配置遵循与访客CWA(中央网络身份验证)相同的配置步骤。
(有关ISE CWA的配置步骤,请参阅以下文档:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-08.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-09.jpeg)
确保Facebook IP地址范围(31.13.0.0/16)已从WLC重定向ACL中排除
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-10.jpeg)
验证
当访客用户被重定向后,系统会显示“使用Facebook登录”选项。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-11.jpeg)
此按钮利用新创建的应用并重定向到用户将在其中输入其facebook凭据的facebook登录页面。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-12.jpeg)
身份验证成功后,访客用户重定向回ISE门户。
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-13.jpeg)
ISE Radius实时日志:
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-14.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-15.jpeg)
故障排除
ISE上的调试
要在ISE上启用调试,请导航至Administration > System > Logging > Debug Log Configuration,选择PSN节点,并将以下组件的日志级别更改为DEBUG:
![](/c/dam/en/us/support/docs/security/identity-services-engine/212197-Configure-ISE-2-3-Facebook-social-media-16.jpeg)
要检查的日志 — ise-psc.log和guest.log。您可以直接从ISE的CLI跟踪它们:
ise23-1/admin# show logging application ise-psc.log tail
在连接到Facebook应用期间,ISE显示连接超时错误:
2017-08-21 08:28:18,003 DEBUG [admin-http-pool22][] com.cisco.cpm.oauth.OAuthClient -::::- Got error while checking OAuth settings for AppId: [123456789] and secret key: ****
2017-08-21 08:28:18,003 ERROR [admin-http-pool22][] admin.restui.features.social.SocialLoginUIApi -::::- ERROR
connect timed out
确保ISE节点具有直接互联网连接。
使用Bug CSCve87511上的代理地址
"代理服务器的社交登录支持"