Configure el portal del patrocinador ISE 2.3 con el ... · Configure el portal del patrocinador ISE 2.3 con el ANUNCIO FS SAML SSO ms Contenido Introducción Prerequisites Requisitos

Configure el portal del patrocinador ISE 2.3 conel ANUNCIO FS SAML SSO ms Contenido

IntroducciónPrerequisitesRequisitosComponentes usadosAntecedentesInformación general ADFSConfigurarRequisitos previos del paso 0.Paso 1. Cree el nuevo proveedor de la identidad de SAMLPaso 2. Configuraciones del portal del patrocinadorPaso 3. Información del proveedor de servicio de la exportaciónPaso 4. Configure el ANUNCIO FSPaso 5. Configure las reglas de la demandaPaso 6. Configure las políticas de autenticaciónPaso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)Paso 8. Meta datos FS del ANUNCIO de la importaciónPaso 9. Configure a los gruposPaso 10. Agregue los atributosPaso 11 Configuraciones avanzadasPaso 12. Seleccione a los miembros del grupo del patrocinadorVerifiqueTroubleshootingTroubleshooting ADFSTroubleshooting ISEDepuraciones del flujo correctoEl usuario tiene calidad de miembro incorrectaReferencias

Introducción

Este documento describe cómo configurar un servidor de SAML de los servicios de la federacióndel Microsoft Active Directory (ANUNCIO) (FS) con el Cisco Identity Services Engine (ISE) 2.3para proporcionar a la sola muestra en las capacidades (SSO) de patrocinar a los usuarios.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Cisco Identity Services Engine 2.31.Conocimiento básico sobre las implementaciones de SAML SSO2.ANUNCIO FS de Microsoft 3.

Componentes usados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Identity Services Engine 2.3.0.2981.Servidor Windows 2012 R22.3.0 ADFS3.

Antecedentes

Información general ADFS

EstructuraADFS Notas

ADFS 1.0 Release/versión con Windows 2003 R2. Incorporado al OS.ADFS 1.1 Release/versión con R2 de Windows 2008 y 2008. Incorporado al OS.ADFS 2.0 Release/versión después de Windows 2008/2008 R2.2.1 ADFS Windows 20123.0 ADFS Windows 2012 R2ADFS 4.0 Windows 2016

Note: Solamente ADFS 2.0 y sobre la ayuda SAML 2.0

Concepto Nombre deMicrosoft

Nombre de SAML2.0

Documento XML enviado del partido de lafederación que está manejando a los usuarios alpartido de la federación que está manejandouna aplicación durante una petición del accesoque describe a un usuario

Token deseguridad Aserción

Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones

Demandas Declaraciones dela aserción

Partner en una federación que crea los tokenesde seguridad para los usuarios

Proveedor de lasdemandas

Proveedor de laidentidad

Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones

Partido deconfianza

Proveedor deservicios

Configurar

Requisitos previos del paso 0.

Instale a ms ADFS en su Servidor Windows. Este documento asume que nombre DNS ADFSpuede ser resuelto y es accesible de ISE.

Paso 1. Cree el nuevo proveedor de la identidad de SAML

En ISE navegue a la administración > a la Administración de la identidad > los proveedores lasfuentes de la identidad > identificación externas de SAML y haga clic el botón Add.

Ingrese el nombre del proveedor identificación y el tecleo somete para salvarlo. Nombre delproveedor identificación significativo solamente para ISE.

Paso 2. Configuraciones del portal del patrocinador

Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos portales del patrocinador y seleccione su portal del patrocinador.

En este ejemplo “portal del patrocinador (valor por defecto)” fue utilizado.

Amplíe el panel de las “configuraciones porta” y seleccione su nuevo SAML IdP en la secuenciade la fuente de la identidad

Confirme que el flujo cambió a la clave SSO - > AUP - > hogar del patrocinador y hace clic lasalvaguardia para salvar la configuración.

Paso 3. Información del proveedor de servicio de la exportación

Navegue a la administración > a la Administración de la identidad > los proveedores > [YourSAML Provider] las fuentes de la identidad > identificación externas de SAML

Cambie para tabular la “información del proveedor de servicio.” y botón de la exportación deltecleo.

Descargue archivo zip y sálvelo. En él usted encontrará 2 ficheros. Usted necesitaría el fichero delxml llamado como su portal del patrocinador

Paso 4. Configure el ANUNCIO FS

1. Vaya al Servidor Windows y abra la herramienta de administración FS del ANUNCIO

2. Abra las relaciones de confianza > las confianzas de confianza del partido y el tecleo “agrega laconfianza de confianza del partido”. El Asisitente se abrirá.

3. En la opción” selecta los “de un fichero de la “del paso selecto fuente de datos datos de laimportación” y seleccionan su fichero del xml que fue descargado en el paso 3 de estedocumento.

4. En el paso de varios factores selecto “no quiero configurar la autenticación de varios factoresen este tiempo”

5. “Permiso selecto todos los usuarios de tener acceso” en el siguiente paso

6. En “listo puntos finales”” del control a la confianza de las “del anuncio las tabulaciones de la“firma” y

7. Selecto “abra las reglas de la demanda del corregir” en el paso pasado y cierre al Asisitente

Paso 5. Configure las reglas de la demanda

Note: Para probando nosotros enviaremos el UPN como NameID. En la producción ustedpuede ser que envíe la identificación de la dirección de correo electrónico o del empleadodel usuario.

Cree la regla de la demanda:

Y las asignaciones:

Paso 6. Configure las políticas de autenticación

La autenticación primaria en los usuarios de autenticidad de la ayuda incorporada FS delANUNCIO R2 del Servidor Windows 2012 contra el Active Directory usando los métodossiguientes:

Método deautenticación Clase URI del contexto de la autenticación

Nombre de usuario ycontraseña urn:oasis:names:tc:SAML:2.0:ac:classes:Password

Transporte protegidocontraseña

urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Autenticación decliente de TLS urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient

Certificado X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509Autenticación deWindows integrada urna: federación: autenticación: ventanas

Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

ISE está utilizando actualmente solamente el [Password Protected Transport] tan para poner aldía las configuraciones globales de la autenticación primaria a la autenticación de formularios.

Note: Petición CSCvb32728 de la mejora de agregar la ayuda para los métodos deautenticación adicionales con SAML.

Bajo “políticas de autenticación” seleccione la “autenticación de formularios” para la extranet y elIntranet.

Paso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)

Para que esto trabaje nos necesitamos fijar el algoritmo de troceo seguro al SHA1 en vez delSHA-256 del valor por defecto. Esto se fija en las propiedades de confianza de confianza delpartido ISE bajo avanzado.

Relaciones de confianza abiertas > confianzas de confianza del partido, clic derecho en suconfianza de confianza del partido y propiedades abiertas. En la ficha Avanzadas seleccione elSHA-1.

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb32728/?reffering_site=dumpcr

Paso 8. Meta datos FS del ANUNCIO de la importación

Meta datos FS del ANUNCIO de la transferencia directa de https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml

Y sálvelo en alguna parte.

En ISE en la configuración de SAML IdP cambie “a los Config del proveedor de la identidad.” latabulación, botón del fichero del tecleo “eligió” y selecciona el fichero con los meta datos FS delANUNCIO, confirma que cargó correctamente.

Paso 9. Configure a los grupos

Cambie a los “grupos” la tabulación en ISE, especifique el “atributo de la membresía del grupo” yagregue a los grupos

El “nombre en la aserción” es un nombre del grupo en el ANUNCIO y el “nombre en ISE” es cómose representa en ISE sí mismo.

El “atributo de la membresía del grupo” se puede tomar del ANUNCIO FS de las descripciones dela demanda.

Paso 10. Agregue los atributos

Cambie a los “atributos” la tabulación y agregue los atributos. El “nombre en la aserción” se puedetomar de las “descripciones de la demanda”. Por lo menos el correo electrónico debe seragregado.

Después de agregar:

Paso 11 Configuraciones avanzadas

En “avanzó el atributo y el control selectos “petición del correo electrónico de la tabulación de lasconfiguraciones” de la fin de comunicación de la muestra”

Salvaguardia del tecleo para salvar la configuración de SAML IdP.

Paso 12. Seleccione a los miembros del grupo del patrocinador

Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos grupos del patrocinador, seleccione a un grupo y configure los grupos FS del ANUNCIO bajocriterios de concordancia

Verifique

Ahora si usted abre el portal del patrocinador (de la prueba URL, por ejemplo) le reorientarán alANUNCIO FS para ingresar y entonces de nuevo al portal del patrocinador.

1. Lance el portal del patrocinador usando su FQDN en el link de la “prueba URL”. ISE debereorientarle a ADFS ingresa la página

2. Ingrese las credenciales del Active Directory y el golpe ingresa. La pantalla de inicio de IdPreorientará al usuario al AUP inicial en el portal del patrocinador ISE.

3. A este punto el usuario del patrocinador debe tener acceso total al portal.

Troubleshooting

Troubleshooting ADFS

Cómo activar el registro de debug para la federación del Active Directory mantiene 2.0 (elANUNCIO FS 2.0)

●

Diagnósticos en el ANUNCIO FS 2.0 – Blog Demanda-basado de la identidad●

(2014-02-05) ¡Activación del seguimiento de debug en la búsqueda ADFS v2.1 y v3.0 “Jorgepara el conocimiento!

●

Resolviendo problemas a Fedpassive pida los errores con el ANUNCIO FS 2.0●

El asistente de configuración ADFS falla con el error “que los Certificados con la clave privadaCNG no son” – centro de servicio primero utilizado

●

Troubleshooting ISE

El registro llano de los componentes siguientes se debe cambiar en ISE > la administración >sistema > configuración del registro del registro > de la depuración

Nombre del componente Registro llanoguestaccess DEPURACIÓNporta-red-acción DEPURACIÓNsaml RASTRO

Registros salvados en ise-psc.log y guest.log

Depuraciones del flujo correcto

De ise-psc.log:

2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT

configured for: MS_ADFS


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

https://blogs.msdn.microsoft.com/card/2010/01/21/diagnostics-in-ad-fs-2-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://technet.microsoft.com/en-us/library/adfs2-troubleshooting-fedpassive-request-failures(v=ws.10).aspx

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in

IdP configuration):http://CiscoISE/f1087

1e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-

7159-11e7-a355-005056aba474_DELIMITERpo

rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-

9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -

spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac

tion


cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:


cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-

16"?><samlp:AuthnRequest AssertionConsumerServi

ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"

ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessio

nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"

IssueInstant="2017-10-13T10:03:24.752Z"

ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0

" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-

7159-11e7-a355-005056aba474</samlp:Issuer>

<saml2p:NameIDPolicy AllowCreate="false"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>

<saml2p:RequestedAuthnContext Comparison="exact"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">

<saml:AuthnContextClassRef

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo

rdProtectedTransport</saml:AuthnContextClassRef>

</saml2p:RequestedAuthnContext>

</samlp:AuthnRequest>

2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]

api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB

'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND

ARY, ReplicationStatus obj status: SYNC_COMPLETED

2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]

api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig

Type: MNT

2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-

In setMNTStatus setting thisPrimaryMNT to true


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-

a355-005056aba474_DELIMITERportalId=f1087

1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-

158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session

info:portalId=f10871e0-7159-11e7-a355-005056aba474;port

alSessionId=55013d03-375b-4985-9cef-158e16a935a7;





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54

This node's host name:ise23-3 LB: request

Server Name:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node

host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:


cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response

Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht

tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-

1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050

56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"

xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<samlp:Status>

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>

</samlp:Status>

<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"

Version="2.0">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

<ds:SignedInfo>

<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">

<ds:Transforms>

<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-

signature"/>

<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

</ds:Transforms>

<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>

</ds:Reference>

</ds:SignedInfo>

<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N

Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny

Z+y/dSVW

ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY

U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>

<KeyInfo>

<ds:X509Data>

<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD

EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr

MC

kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg

EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z

PYrf2MNzOtShDy1bL

Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4

FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV

HIi0riy0iGTFbHLY0

7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ

xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu

GSTtyYMrjqpIbZy1R

YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj

dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<

/ds:X509Certifica

te>

</ds:X509Data>

</KeyInfo>

</ds:Signature>

<Subject>

<NameID>[email protected]</NameID>

<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93

5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"

Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>

</SubjectConfirmation>

</Subject>

<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">

<AudienceRestriction>

<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>

</AudienceRestriction>

</Conditions>

<AttributeStatement>

<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">

<AttributeValue>Domain Users</AttributeValue>

<AttributeValue>Group-A</AttributeValue>

<AttributeValue>Geo#Geo#Head</AttributeValue>

</Attribute>

</AttributeStatement>

<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-

9b68-72955f132866">

<AuthnContext>

<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo

ntextClassRef>

</AuthnContext>

</AuthnStatement>

</Assertion>

</samlp:Response>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -

[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a

ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:

statusCode:urn:oasis:names:tc:SAML:2.0:status:Success


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :

http://schemas.microsoft.com/ws/2008/06/id

entity/claims/role


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,

Attribute=<http://schemas.microsoft.com

/ws/2008/06/identity/claims/role> add value=<Domain Users>




/ws/2008/06/identity/claims/role> add value=<Group-A>




/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object

- attribute<http://schemas.microsoft.c

om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:

IdentityAttribute is set to Subject Name


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username

value from Subject is=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set

to=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'

attribute assertion: [email protected]


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]


cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<http://schemas.xmlsoap.org/ws

/2005/05/identity/claims/emailaddress>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<ExternalGroups>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache

ExternalGroup values=<Group-A>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]

attributeName=<MS_ADFS.Email>, not recieved in response, caching

with default value=<>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]

idStore=<MS_ADFS> [email protected]>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email

attribute=<http://schemas.xmlsoap.org/ws/

2005/05/identity/claims/emailaddress> not on asserion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:





158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-

a355-005056aba474





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:

IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust

SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474

Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action

Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-

11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54

Client Address: 10.229.24.65

Load Balancer:


cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion


cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard

with cert:CN=ADFS Signing - MainDC.vkum

ov.local serial:124077717026674185676949309678668523209


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing

certificate


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated

succesfully


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion


cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully

validated


cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for

[email protected]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]

as signing certificates


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:

[email protected], format=null, sessionInde

x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:

IdP ID: MS_ADFS

Subject: [email protected]

SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success

SAML Success:true

SAML Status Message:null

SAML email:

SAML Exception:nullUserRole : SPONSOR


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call

authenticateSAMLUser messageCode:null subject:alic

[email protected]

2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]

api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-

8bff-11e6-996c-525400b48521


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]

idStore=<MS_ADFS> userName=<alice@vkumov

.local>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>

userName=<[email protected]> attributeN

ame=<MS_ADFS.ExternalGroups>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from

SAML response to AuthenticationResult, al

l retrieved groups:[Group-A]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED

El usuario tiene calidad de miembro incorrecta

De guest.log:


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,

processFailedReason=DisabledUser =false


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED

2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any

Sponsor Group memberships.


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After

executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with

TranEnum=ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>

tranEnum=LOGIN_PASS, toStep=AUP



tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME



tranEnum=ON_SHOW_ERROR, toStep=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!


cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR

2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in

dry-run mode


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-

nextStepExecutor.executePreStepAction returning [TransitionResult] StepN

ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,

isContactSettingEnabled=false, errKeys=ui_login_failed_error,,

dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t

itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err

or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel

p_link,ui_contact

_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa

ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er

ror_optional_cont

ent_1,session_contact_enabled,


cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:

PortalSession (66281efe-4ad2-4880-b63e-f022117be

9ea) current state is INITIATED and current step is ERROR


cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR

Referencias

Correspondencia del contenido FS del ANUNCIO●

ANUNCIO FS 2.0 paso a paso y cómo a las guías●

Demanda ADFS para aplanar a los grupos y para volver el DN lleno●

ANUNCIO FS 2.0: Grupos de local de dominio en una demanda●

Ponga el entorno del laboratorio para el ANUNCIO FS en el Servidor Windows 2012 R2●

Configure el portal del patrocinador del 2.1 ISE con PingFederate SAML SSO●

http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-content-map.aspx

https://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides(v=ws.10).aspx

https://social.technet.microsoft.com/Forums/windowsserver/en-US/ca566e15-4b3b-4830-ae65-e25d83251c07/adfs-claim-to-flatten-groups-and-return-full-dn?forum=winserverDS

https://social.technet.microsoft.com/wiki/contents/articles/13829.ad-fs-2-0-domain-local-groups-in-a-claim.aspx

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/set-up-the-lab-environment-for-ad-fs-in-windows-server-2012-r2

https://www.cisco.com/c/es_mx/support/docs/security/identity-services-engine-21/200545-Configure-ISE-2-1-Sponsor-Portal-with-Pi.html

Documents

Configure el portal del patrocinador ISE 2.3 con el ... · Configure el portal del patrocinador ISE 2.3 con el ANUNCIO FS SAML SSO ms Contenido Introducción Prerequisites Requisitos