Configurar o portal do patrocinador ISE 2.3 com MS AD FS ... · Este original descreve como...

Configurar o portal do patrocinador ISE 2.3 comMS AD FS SAML SSO Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de fundoInformação geral ADFSConfigurarCondições prévias de etapa 0.Etapa 1. Crie o fornecedor novo da identidade de SAMLEtapa 2. Ajustes do portal do patrocinadorEtapa 3. Informação do provedor de serviços da exportaçãoEtapa 4. Configurar AD FSEtapa 5. Configurar regras da reivindicaçãoEtapa 6. Configurar políticas de autenticaçãoEtapa 7. Saída iniciada portal do patrocinador única (SLO)Etapa 8. Metadata da importação AD FSEtapa 9. Configurar gruposEtapa 10. Adicionar atributosEtapa 11. Ajustes avançadosEtapa 12. Selecione membros do grupo do patrocinadorVerificarTroubleshootingADFS pesquisam defeitosO ISE pesquisa defeitosDebuga do fluxo corretoO usuário tem a sociedade incorretaReferências

Introdução

Este original descreve como configurar um server de SAML dos serviços da federação domicrosoft ative directory (AD) (FS) com Cisco Identity Services Engine (ISE) 2.3 para fornecer oúnico sinal nas capacidades (SSO) de patrocinar usuários.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Cisco Identity Services Engine 2.31.Conhecimento básico sobre disposições de SAML SSO2.Microsoft AD FS 3.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Identity Services Engine 2.3.0.2981.Windows Server 2012 R22.3.0 ADFS3.

Informações de fundo

Informação geral ADFS

ConstruçãoADFS Notas

ADFS 1.0 Liberado com Windows 2003 R2. Construído no ósmio.ADFS 1.1 Liberado com o R2 de Windows 2008 e 2008. Construído no ósmio.ADFS 2.0 Liberado após Windows 2008/2008 R2.2.1 ADFS Windows 20123.0 ADFS Windows 2012 R2ADFS 4.0 Windows 2016

Note: Somente ADFS 2.0 e acima do apoio SAML 2.0

Conceito Microsoft nomeia Nome de SAML2.0

Original XML enviado do partido da federaçãoque está controlando usuários ao partido dafederação que está controlando um aplicativodurante um pedido do acesso que descreve umusuário

Token desegurança Afirmação

Partner em uma federação que consuma tokensde segurança para fornecer o acesso aosaplicativos

Reivindicações Indicações daafirmação

Partner em uma federação que crie tokens desegurança para usuários

Fornecedor dasreivindicações

Fornecedor daidentidade

Partner em uma federação que consuma tokensde segurança para fornecer o acesso aosaplicativos

Partido deconfiança

Provedor deserviços

Configurar

Condições prévias de etapa 0.

Instale MS ADFS em seu Windows Server. Este original supõe que nome ADFS DNS pode serresolved e é alcançável do ISE.

Etapa 1. Crie o fornecedor novo da identidade de SAML

No ISE navegue à administração > ao Gerenciamento de identidades > fontes externos daidentidade > identificação de SAML fornecedores e clique o botão Add.

Dê entrada com o nome do fornecedor identificação e o clique submete-se para salvar o. Nomedo fornecedor identificação significativo somente para o ISE.

Etapa 2. Ajustes do portal do patrocinador

Navegue aos centros de trabalho > ao acesso do convidado > aos portais & aos componentes >aos portais do patrocinador e selecione seu portal do patrocinador.

Neste exemplo do “portal patrocinador (padrão)” foi usado.

Expanda “o painel dos ajustes portais” e selecione seu SAML novo IdP na sequência da fonte daidentidade

Confirme que o fluxo mudou ao início de uma sessão SSO - > AUP - > HOME do patrocinador eclica a salvaguarda para salvar a configuração.

Etapa 3. Informação do provedor de serviços da exportação

Navegue à administração > ao Gerenciamento de identidades > fontes externos da identidade >identificação de SAML fornecedores > [Your SAML Provider]

Comute para catalogar do “a informação provedor de serviços.” e botão da exportação do clique.

Transfira o arquivo zip e salvar o. Nele você encontrará 2 arquivos. Você precisaria o arquivo doxml chamado como seu portal do patrocinador

Etapa 4. Configurar AD FS

1. Vá a Windows Server e abra a ferramenta de gerenciamento AD FS

2. Abra relações de confiança > confianças de confiança do partido e o clique “adiciona aconfiança de confiança do partido”. O assistente abrirá.

3. “Na opção” seleta da “de um arquivo da etapa seleta da origem de dados os dados importação”e selecionam seu arquivo do xml que foi transferido em etapa 3 deste original.

4. Na etapa do Multi-fator seleta “eu não quero configurar neste tempo a autenticação do multi-fator”

5. “Licença seleta todos os usuários para alcançar” na próxima etapa

6. “Pronto valores-limite”” da verificação à confiança dos “do anúncio em abas da “assinatura” e

7. Seleto “abra as regras da reivindicação da edição” na última etapa e feche o assistente

Etapa 5. Configurar regras da reivindicação

Note: Para testando nós enviaremos o UPN como NameID. Na produção você pôde enviaro endereço email do usuário ou a identificação do empregado.

Crie a regra da reivindicação:

E os mapeamentos:

Etapa 6. Configurar políticas de autenticação

A autenticação preliminar em Windows Server 2012 usuários de autenticação do suporteembutido R2 AD FS contra o diretório ativo usando os seguintes métodos:

Método deautenticação Classe URI do contexto da autenticação

Nome de usuário esenha urn:oasis:names:tc:SAML:2.0:ac:classes:Password

Transporte protegidosenha

urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Authenticação docliente TLS urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient

Certificado X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509Autenticação doWindows integrada urna: federação: autenticação: indicadores

Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

O ISE está apoiando atualmente somente o [Password Protected Transport] assim para atualizaras configurações globais da autenticação preliminar à autenticação dos formulários.

Note: Requisição de aprimoramento CSCvb32728 adicionar o apoio para métodos de

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb32728/?reffering_site=dumpcr

autenticação adicionais com SAML.

Sob “políticas de autenticação” selecione dos “a autenticação formulários” para o extranet e ointranet.

Etapa 7. Saída iniciada portal do patrocinador única (SLO)

Para que isto trabalhe nós precisamos de ajustar o algoritmo de mistura segura ao SHA1 em vezdo SHA-256 do padrão. Isto é ajustado em propriedades de confiança de confiança do partidoISE sob avançado.

Relações de confiança abertas > confianças de confiança do partido, direito - clique sobre suaconfiança de confiança do partido e abra propriedades. No guia avançada selecione o SHA-1.

Etapa 8. Metadata da importação AD FS

Metadata da transferência AD FS de https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml

E salvar o em algum lugar.

No ISE no switch de configuração de SAML IdP da “à configuração do fornecedor identidade.” aaba, botão do arquivo do clique “escolheu” e seleciona o arquivo com metadata AD FS, confirmaque carregou corretamente.

Etapa 9. Configurar grupos

Comute aos “grupos” a aba no ISE, especifique da “o atributo membrasia do clube” e adicionargrupos

O “nome na afirmação” é um nome do grupo no AD e o “nome no ISE” é como é representado emISE próprio.

Da “o atributo membrasia do clube” pode ser tomado de AD FS das descrições da reivindicação.

Etapa 10. Adicionar atributos

Comute aos “atributos” a aba e adicionar os atributos. O “nome na afirmação” pode ser tomado da“das descrições reivindicação”. Pelo menos o email deve ser adicionado.

Após adicionar:

Etapa 11. Ajustes avançados

Em “avançou o atributo do email da aba dos ajustes” e a verificação seletos do “pedido da saídasinal”

Salvaguarda do clique para salvar a configuração de SAML IdP.

Etapa 12. Selecione membros do grupo do patrocinador

Navegue aos centros de trabalho > ao acesso do convidado > aos portais & aos componentes >aos grupos do patrocinador, selecione um grupo e configurar grupos AD FS sob critérios deverificação de repetição de dados

Verificar

Agora se você abre o portal do patrocinador (do teste URL, por exemplo) você será reorientado aAD FS para assinar dentro e então de volta ao portal do patrocinador.

1. Lance o portal do patrocinador usando seu FQDN do “na relação teste URL”. O ISE devereorientá-lo a ADFS assina dentro a página

2. Incorpore credenciais do diretório ativo e a batida assina dentro. A tela de logon de IdPreorientará o usuário ao AUP inicial no portal do patrocinador do ISE.

3. Neste momento o usuário do patrocinador deve ter o acesso direto ao portal.

Troubleshooting

ADFS pesquisam defeitos

Como permitir o debug logging para a federação do diretório ativo presta serviços demanutenção a 2.0 (AD FS 2.0)

●

Diagnósticos em AD FS 2.0 – Blogue Reivindicação-baseado da identidade●

(2014-02-05) Permitindo o debug tracing na procura ADFS v2.1 e v3.0 “Jorge para oconhecimento!

●

Pesquisar defeitos Fedpassive pedem falhas com AD FS 2.0●

O wizard de configuração ADFS falha com erro “que os Certificados com a chave privadaCNG não são” – primeiro engenharia de campo apoiada

●

O ISE pesquisa defeitos

O log em nível dos seguintes componentes deve ser mudado em ISE > administração > sistema >registrando > debuga a configuração do log

Nome do componente Log em nívelguestaccess DEBUGARportal-Web-ação DEBUGARsaml TRAÇO

Logs armazenados em ise-psc.log e em guest.log

Debuga do fluxo correto

De ise-psc.log:

2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT

configured for: MS_ADFS


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

https://blogs.msdn.microsoft.com/card/2010/01/21/diagnostics-in-ad-fs-2-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://technet.microsoft.com/en-us/library/adfs2-troubleshooting-fedpassive-request-failures(v=ws.10).aspx

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in

IdP configuration):http://CiscoISE/f1087

1e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-

7159-11e7-a355-005056aba474_DELIMITERpo

rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-

9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -

spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac

tion


cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:


cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-

16"?><samlp:AuthnRequest AssertionConsumerServi

ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"

ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessio

nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"

IssueInstant="2017-10-13T10:03:24.752Z"

ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0

" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-

7159-11e7-a355-005056aba474</samlp:Issuer>

<saml2p:NameIDPolicy AllowCreate="false"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>

<saml2p:RequestedAuthnContext Comparison="exact"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">

<saml:AuthnContextClassRef

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo

rdProtectedTransport</saml:AuthnContextClassRef>

</saml2p:RequestedAuthnContext>

</samlp:AuthnRequest>

2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]

api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB

'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND

ARY, ReplicationStatus obj status: SYNC_COMPLETED

2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]

api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig

Type: MNT

2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-

In setMNTStatus setting thisPrimaryMNT to true


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-

a355-005056aba474_DELIMITERportalId=f1087

1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-

158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session

info:portalId=f10871e0-7159-11e7-a355-005056aba474;port

alSessionId=55013d03-375b-4985-9cef-158e16a935a7;





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54

This node's host name:ise23-3 LB: request

Server Name:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node

host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:


cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response

Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht

tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-

1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050

56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"

xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<samlp:Status>

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>

</samlp:Status>

<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"

Version="2.0">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

<ds:SignedInfo>

<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">

<ds:Transforms>

<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-

signature"/>

<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

</ds:Transforms>

<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>

</ds:Reference>

</ds:SignedInfo>

<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N

Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny

Z+y/dSVW

ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY

U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>

<KeyInfo>

<ds:X509Data>

<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD

EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr

MC

kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg

EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z

PYrf2MNzOtShDy1bL

Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4

FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV

HIi0riy0iGTFbHLY0

7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ

xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu

GSTtyYMrjqpIbZy1R

YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj

dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<

/ds:X509Certifica

te>

</ds:X509Data>

</KeyInfo>

</ds:Signature>

<Subject>

<NameID>[email protected]</NameID>

<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93

5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"

Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>

</SubjectConfirmation>

</Subject>

<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">

<AudienceRestriction>

<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>

</AudienceRestriction>

</Conditions>

<AttributeStatement>

<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">

<AttributeValue>Domain Users</AttributeValue>

<AttributeValue>Group-A</AttributeValue>

<AttributeValue>Geo#Geo#Head</AttributeValue>

</Attribute>

</AttributeStatement>

<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-

9b68-72955f132866">

<AuthnContext>

<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo

ntextClassRef>

</AuthnContext>

</AuthnStatement>

</Assertion>

</samlp:Response>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -

[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a

ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:

statusCode:urn:oasis:names:tc:SAML:2.0:status:Success


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :

http://schemas.microsoft.com/ws/2008/06/id

entity/claims/role


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,

Attribute=<http://schemas.microsoft.com

/ws/2008/06/identity/claims/role> add value=<Domain Users>




/ws/2008/06/identity/claims/role> add value=<Group-A>




/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object

- attribute<http://schemas.microsoft.c

om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:

IdentityAttribute is set to Subject Name


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username

value from Subject is=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set

to=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'

attribute assertion: [email protected]


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]


cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<http://schemas.xmlsoap.org/ws

/2005/05/identity/claims/emailaddress>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<ExternalGroups>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache

ExternalGroup values=<Group-A>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]

attributeName=<MS_ADFS.Email>, not recieved in response, caching

with default value=<>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]

idStore=<MS_ADFS> [email protected]>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email

attribute=<http://schemas.xmlsoap.org/ws/

2005/05/identity/claims/emailaddress> not on asserion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:





158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-

a355-005056aba474





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:

IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust

SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474

Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action

Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-

11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54

Client Address: 10.229.24.65

Load Balancer:


cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion


cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard

with cert:CN=ADFS Signing - MainDC.vkum

ov.local serial:124077717026674185676949309678668523209


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing

certificate


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated

succesfully


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion


cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully

validated


cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for

[email protected]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]

as signing certificates


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:

[email protected], format=null, sessionInde

x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:

IdP ID: MS_ADFS

Subject: [email protected]

SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success

SAML Success:true

SAML Status Message:null

SAML email:

SAML Exception:nullUserRole : SPONSOR


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call

authenticateSAMLUser messageCode:null subject:alic

[email protected]

2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]

api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-

8bff-11e6-996c-525400b48521


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]

idStore=<MS_ADFS> userName=<alice@vkumov

.local>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>

userName=<[email protected]> attributeN

ame=<MS_ADFS.ExternalGroups>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from

SAML response to AuthenticationResult, al

l retrieved groups:[Group-A]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED

O usuário tem a sociedade incorreta

De guest.log:


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,

processFailedReason=DisabledUser =false


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED

2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any

Sponsor Group memberships.


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After

executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with

TranEnum=ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>

tranEnum=LOGIN_PASS, toStep=AUP



tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME



tranEnum=ON_SHOW_ERROR, toStep=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!


cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR

2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in

dry-run mode


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-

nextStepExecutor.executePreStepAction returning [TransitionResult] StepN

ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,

isContactSettingEnabled=false, errKeys=ui_login_failed_error,,

dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t

itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err

or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel

p_link,ui_contact

_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa

ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er

ror_optional_cont

ent_1,session_contact_enabled,


cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:

PortalSession (66281efe-4ad2-4880-b63e-f022117be

9ea) current state is INITIATED and current step is ERROR


cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR

Referências

Mapa do índice AD FS●

AD FS 2.0 ponto por ponto e como aos guias●

Reivindicação ADFS para aplainar grupos e retornar o DN completo●

AD FS 2.0: Grupos locais do domínio em uma reivindicação●

Estabelecer o ambiente de laboratório para AD FS em Windows Server 2012 R2●

Configurar o portal do patrocinador do 2.1 ISE com PingFederate SAML SSO●

http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-content-map.aspx

https://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides(v=ws.10).aspx

https://social.technet.microsoft.com/Forums/windowsserver/en-US/ca566e15-4b3b-4830-ae65-e25d83251c07/adfs-claim-to-flatten-groups-and-return-full-dn?forum=winserverDS

https://social.technet.microsoft.com/wiki/contents/articles/13829.ad-fs-2-0-domain-local-groups-in-a-claim.aspx

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/set-up-the-lab-environment-for-ad-fs-in-windows-server-2012-r2

https://www.cisco.com/c/pt_br/support/docs/security/identity-services-engine-21/200545-Configure-ISE-2-1-Sponsor-Portal-with-Pi.html

Configurar o portal do patrocinador ISE 2.3 com MS AD FS ... · Este original descreve como...

Documents

Transcript of Configurar o portal do patrocinador ISE 2.3 com MS AD FS ... · Este original descreve como...