Configure el portal del patrocinador ISE 2.3 conel ANUNCIO FS SAML SSO ms Contenido
IntroducciónPrerequisitesRequisitosComponentes usadosAntecedentesInformación general ADFSConfigurarRequisitos previos del paso 0.Paso 1. Cree el nuevo proveedor de la identidad de SAMLPaso 2. Configuraciones del portal del patrocinadorPaso 3. Información del proveedor de servicio de la exportaciónPaso 4. Configure el ANUNCIO FSPaso 5. Configure las reglas de la demandaPaso 6. Configure las políticas de autenticaciónPaso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)Paso 8. Meta datos FS del ANUNCIO de la importaciónPaso 9. Configure a los gruposPaso 10. Agregue los atributosPaso 11 Configuraciones avanzadasPaso 12. Seleccione a los miembros del grupo del patrocinadorVerifiqueTroubleshootingTroubleshooting ADFSTroubleshooting ISEDepuraciones del flujo correctoEl usuario tiene calidad de miembro incorrectaReferencias
Introducción
Este documento describe cómo configurar un servidor de SAML de los servicios de la federacióndel Microsoft Active Directory (ANUNCIO) (FS) con el Cisco Identity Services Engine (ISE) 2.3para proporcionar a la sola muestra en las capacidades (SSO) de patrocinar a los usuarios.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Cisco Identity Services Engine 2.31.Conocimiento básico sobre las implementaciones de SAML SSO2.ANUNCIO FS de Microsoft 3.
Componentes usados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Identity Services Engine 2.3.0.2981.Servidor Windows 2012 R22.3.0 ADFS3.
Antecedentes
Información general ADFS
EstructuraADFS Notas
ADFS 1.0 Release/versión con Windows 2003 R2. Incorporado al OS.ADFS 1.1 Release/versión con R2 de Windows 2008 y 2008. Incorporado al OS.ADFS 2.0 Release/versión después de Windows 2008/2008 R2.2.1 ADFS Windows 20123.0 ADFS Windows 2012 R2ADFS 4.0 Windows 2016
Note: Solamente ADFS 2.0 y sobre la ayuda SAML 2.0
Concepto Nombre deMicrosoft
Nombre de SAML2.0
Documento XML enviado del partido de lafederación que está manejando a los usuarios alpartido de la federación que está manejandouna aplicación durante una petición del accesoque describe a un usuario
Token deseguridad Aserción
Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones
Demandas Declaraciones dela aserción
Partner en una federación que crea los tokenesde seguridad para los usuarios
Proveedor de lasdemandas
Proveedor de laidentidad
Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones
Partido deconfianza
Proveedor deservicios
Configurar
Requisitos previos del paso 0.
Instale a ms ADFS en su Servidor Windows. Este documento asume que nombre DNS ADFSpuede ser resuelto y es accesible de ISE.
Paso 1. Cree el nuevo proveedor de la identidad de SAML
En ISE navegue a la administración > a la Administración de la identidad > los proveedores lasfuentes de la identidad > identificación externas de SAML y haga clic el botón Add.
Ingrese el nombre del proveedor identificación y el tecleo somete para salvarlo. Nombre delproveedor identificación significativo solamente para ISE.
Paso 2. Configuraciones del portal del patrocinador
Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos portales del patrocinador y seleccione su portal del patrocinador.
En este ejemplo “portal del patrocinador (valor por defecto)” fue utilizado.
Amplíe el panel de las “configuraciones porta” y seleccione su nuevo SAML IdP en la secuenciade la fuente de la identidad
Confirme que el flujo cambió a la clave SSO - > AUP - > hogar del patrocinador y hace clic lasalvaguardia para salvar la configuración.
Paso 3. Información del proveedor de servicio de la exportación
Navegue a la administración > a la Administración de la identidad > los proveedores > [YourSAML Provider] las fuentes de la identidad > identificación externas de SAML
Cambie para tabular la “información del proveedor de servicio.” y botón de la exportación deltecleo.
Descargue archivo zip y sálvelo. En él usted encontrará 2 ficheros. Usted necesitaría el fichero delxml llamado como su portal del patrocinador
Paso 4. Configure el ANUNCIO FS
1. Vaya al Servidor Windows y abra la herramienta de administración FS del ANUNCIO
2. Abra las relaciones de confianza > las confianzas de confianza del partido y el tecleo “agrega laconfianza de confianza del partido”. El Asisitente se abrirá.
3. En la opción” selecta los “de un fichero de la “del paso selecto fuente de datos datos de laimportación” y seleccionan su fichero del xml que fue descargado en el paso 3 de estedocumento.
4. En el paso de varios factores selecto “no quiero configurar la autenticación de varios factoresen este tiempo”
5. “Permiso selecto todos los usuarios de tener acceso” en el siguiente paso
6. En “listo puntos finales”” del control a la confianza de las “del anuncio las tabulaciones de la“firma” y
7. Selecto “abra las reglas de la demanda del corregir” en el paso pasado y cierre al Asisitente
Paso 5. Configure las reglas de la demanda
Note: Para probando nosotros enviaremos el UPN como NameID. En la producción ustedpuede ser que envíe la identificación de la dirección de correo electrónico o del empleadodel usuario.
Cree la regla de la demanda:
Paso 6. Configure las políticas de autenticación
La autenticación primaria en los usuarios de autenticidad de la ayuda incorporada FS delANUNCIO R2 del Servidor Windows 2012 contra el Active Directory usando los métodossiguientes:
Método deautenticación Clase URI del contexto de la autenticación
Nombre de usuario ycontraseña urn:oasis:names:tc:SAML:2.0:ac:classes:Password
Transporte protegidocontraseña
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
Autenticación decliente de TLS urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
Certificado X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509Autenticación deWindows integrada urna: federación: autenticación: ventanas
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
ISE está utilizando actualmente solamente el [Password Protected Transport] tan para poner aldía las configuraciones globales de la autenticación primaria a la autenticación de formularios.
Note: Petición CSCvb32728 de la mejora de agregar la ayuda para los métodos deautenticación adicionales con SAML.
Bajo “políticas de autenticación” seleccione la “autenticación de formularios” para la extranet y elIntranet.
Paso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)
Para que esto trabaje nos necesitamos fijar el algoritmo de troceo seguro al SHA1 en vez delSHA-256 del valor por defecto. Esto se fija en las propiedades de confianza de confianza delpartido ISE bajo avanzado.
Relaciones de confianza abiertas > confianzas de confianza del partido, clic derecho en suconfianza de confianza del partido y propiedades abiertas. En la ficha Avanzadas seleccione elSHA-1.
Paso 8. Meta datos FS del ANUNCIO de la importación
Meta datos FS del ANUNCIO de la transferencia directa de https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml
Y sálvelo en alguna parte.
En ISE en la configuración de SAML IdP cambie “a los Config del proveedor de la identidad.” latabulación, botón del fichero del tecleo “eligió” y selecciona el fichero con los meta datos FS delANUNCIO, confirma que cargó correctamente.
Paso 9. Configure a los grupos
Cambie a los “grupos” la tabulación en ISE, especifique el “atributo de la membresía del grupo” yagregue a los grupos
El “nombre en la aserción” es un nombre del grupo en el ANUNCIO y el “nombre en ISE” es cómose representa en ISE sí mismo.
El “atributo de la membresía del grupo” se puede tomar del ANUNCIO FS de las descripciones dela demanda.
Paso 10. Agregue los atributos
Cambie a los “atributos” la tabulación y agregue los atributos. El “nombre en la aserción” se puedetomar de las “descripciones de la demanda”. Por lo menos el correo electrónico debe seragregado.
Después de agregar:
Paso 11 Configuraciones avanzadas
En “avanzó el atributo y el control selectos “petición del correo electrónico de la tabulación de lasconfiguraciones” de la fin de comunicación de la muestra”
Salvaguardia del tecleo para salvar la configuración de SAML IdP.
Paso 12. Seleccione a los miembros del grupo del patrocinador
Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos grupos del patrocinador, seleccione a un grupo y configure los grupos FS del ANUNCIO bajocriterios de concordancia
Verifique
Ahora si usted abre el portal del patrocinador (de la prueba URL, por ejemplo) le reorientarán alANUNCIO FS para ingresar y entonces de nuevo al portal del patrocinador.
1. Lance el portal del patrocinador usando su FQDN en el link de la “prueba URL”. ISE debereorientarle a ADFS ingresa la página
2. Ingrese las credenciales del Active Directory y el golpe ingresa. La pantalla de inicio de IdPreorientará al usuario al AUP inicial en el portal del patrocinador ISE.
3. A este punto el usuario del patrocinador debe tener acceso total al portal.
Troubleshooting
Troubleshooting ADFS
Cómo activar el registro de debug para la federación del Active Directory mantiene 2.0 (elANUNCIO FS 2.0)
●
Diagnósticos en el ANUNCIO FS 2.0 – Blog Demanda-basado de la identidad●
(2014-02-05) ¡Activación del seguimiento de debug en la búsqueda ADFS v2.1 y v3.0 “Jorgepara el conocimiento!
●
Resolviendo problemas a Fedpassive pida los errores con el ANUNCIO FS 2.0●
El asistente de configuración ADFS falla con el error “que los Certificados con la clave privadaCNG no son” – centro de servicio primero utilizado
●
Troubleshooting ISE
El registro llano de los componentes siguientes se debe cambiar en ISE > la administración >sistema > configuración del registro del registro > de la depuración
Nombre del componente Registro llanoguestaccess DEPURACIÓNporta-red-acción DEPURACIÓNsaml RASTRO
Registros salvados en ise-psc.log y guest.log
Depuraciones del flujo correcto
De ise-psc.log:
2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in
IdP configuration):http://CiscoISE/f1087
1e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-
7159-11e7-a355-005056aba474_DELIMITERpo
rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-
9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -
spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac
tion
2017-10-13 12:03:24,753 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:
2017-10-13 12:03:24,757 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-
16"?><samlp:AuthnRequest AssertionConsumerServi
ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"
ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessio
nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"
IssueInstant="2017-10-13T10:03:24.752Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0
" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-
7159-11e7-a355-005056aba474</samlp:Issuer>
<saml2p:NameIDPolicy AllowCreate="false"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>
<saml2p:RequestedAuthnContext Comparison="exact"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:AuthnContextClassRef
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo
rdProtectedTransport</saml:AuthnContextClassRef>
</saml2p:RequestedAuthnContext>
</samlp:AuthnRequest>
2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]
api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB
'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND
ARY, ReplicationStatus obj status: SYNC_COMPLETED
2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]
api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig
Type: MNT
2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-
In setMNTStatus setting thisPrimaryMNT to true
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54
This node's host name:ise23-3 LB: request
Server Name:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node
host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
2017-10-13 12:04:00,516 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht
tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-
1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050
56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"
Version="2.0">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-
signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N
Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny
Z+y/dSVW
ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY
U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>
<KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD
EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr
MC
kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg
EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z
PYrf2MNzOtShDy1bL
Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4
FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV
HIi0riy0iGTFbHLY0
7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ
xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu
GSTtyYMrjqpIbZy1R
YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj
dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<
/ds:X509Certifica
te>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID>[email protected]</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93
5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"
Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">
<AudienceRestriction>
<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">
<AttributeValue>Domain Users</AttributeValue>
<AttributeValue>Group-A</AttributeValue>
<AttributeValue>Geo#Geo#Head</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-
9b68-72955f132866">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo
ntextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -
[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a
ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
statusCode:urn:oasis:names:tc:SAML:2.0:status:Success
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :
http://schemas.microsoft.com/ws/2008/06/id
entity/claims/role
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Domain Users>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object
- attribute<http://schemas.microsoft.c
om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:
IdentityAttribute is set to Subject Name
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username
value from Subject is=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set
to=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'
attribute assertion: [email protected]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<http://schemas.xmlsoap.org/ws
/2005/05/identity/claims/emailaddress>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<ExternalGroups>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache
ExternalGroup values=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]
attributeName=<MS_ADFS.Email>, not recieved in response, caching
with default value=<>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]
idStore=<MS_ADFS> [email protected]>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email
attribute=<http://schemas.xmlsoap.org/ws/
2005/05/identity/claims/emailaddress> not on asserion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-
a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust
SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action
Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-
11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54
Client Address: 10.229.24.65
Load Balancer:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard
with cert:CN=ADFS Signing - MainDC.vkum
ov.local serial:124077717026674185676949309678668523209
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing
certificate
2017-10-13 12:04:00,524 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated
succesfully
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully
validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]
as signing certificates
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:
[email protected], format=null, sessionInde
x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644
2017-10-13 12:04:00,577 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:
IdP ID: MS_ADFS
Subject: [email protected]
SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
SAML Success:true
SAML Status Message:null
SAML email:
SAML Exception:nullUserRole : SPONSOR
2017-10-13 12:04:00,582 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call
authenticateSAMLUser messageCode:null subject:alic
2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]
api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-
8bff-11e6-996c-525400b48521
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]
idStore=<MS_ADFS> userName=<alice@vkumov
.local>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>
userName=<[email protected]> attributeN
ame=<MS_ADFS.ExternalGroups>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from
SAML response to AuthenticationResult, al
l retrieved groups:[Group-A]
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
El usuario tiene calidad de miembro incorrecta
De guest.log:
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,
processFailedReason=DisabledUser =false
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED
2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any
Sponsor Group memberships.
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After
executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with
TranEnum=ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=LOGIN_PASS, toStep=AUP
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ON_SHOW_ERROR, toStep=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR
2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in
dry-run mode
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-
nextStepExecutor.executePreStepAction returning [TransitionResult] StepN
ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,
isContactSettingEnabled=false, errKeys=ui_login_failed_error,,
dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t
itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err
or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel
p_link,ui_contact
_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa
ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er
ror_optional_cont
ent_1,session_contact_enabled,
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:
PortalSession (66281efe-4ad2-4880-b63e-f022117be
9ea) current state is INITIATED and current step is ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR
Referencias
Correspondencia del contenido FS del ANUNCIO●
ANUNCIO FS 2.0 paso a paso y cómo a las guías●
Demanda ADFS para aplanar a los grupos y para volver el DN lleno●
ANUNCIO FS 2.0: Grupos de local de dominio en una demanda●
Ponga el entorno del laboratorio para el ANUNCIO FS en el Servidor Windows 2012 R2●
Configure el portal del patrocinador del 2.1 ISE con PingFederate SAML SSO●