Configurar o portal do patrocinador ISE 2.3 com MS AD FS ... · Este original descreve como...
Transcript of Configurar o portal do patrocinador ISE 2.3 com MS AD FS ... · Este original descreve como...
Configurar o portal do patrocinador ISE 2.3 comMS AD FS SAML SSO Índice
IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de fundoInformação geral ADFSConfigurarCondições prévias de etapa 0.Etapa 1. Crie o fornecedor novo da identidade de SAMLEtapa 2. Ajustes do portal do patrocinadorEtapa 3. Informação do provedor de serviços da exportaçãoEtapa 4. Configurar AD FSEtapa 5. Configurar regras da reivindicaçãoEtapa 6. Configurar políticas de autenticaçãoEtapa 7. Saída iniciada portal do patrocinador única (SLO)Etapa 8. Metadata da importação AD FSEtapa 9. Configurar gruposEtapa 10. Adicionar atributosEtapa 11. Ajustes avançadosEtapa 12. Selecione membros do grupo do patrocinadorVerificarTroubleshootingADFS pesquisam defeitosO ISE pesquisa defeitosDebuga do fluxo corretoO usuário tem a sociedade incorretaReferências
Introdução
Este original descreve como configurar um server de SAML dos serviços da federação domicrosoft ative directory (AD) (FS) com Cisco Identity Services Engine (ISE) 2.3 para fornecer oúnico sinal nas capacidades (SSO) de patrocinar usuários.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Cisco Identity Services Engine 2.31.Conhecimento básico sobre disposições de SAML SSO2.Microsoft AD FS 3.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Identity Services Engine 2.3.0.2981.Windows Server 2012 R22.3.0 ADFS3.
Informações de fundo
Informação geral ADFS
ConstruçãoADFS Notas
ADFS 1.0 Liberado com Windows 2003 R2. Construído no ósmio.ADFS 1.1 Liberado com o R2 de Windows 2008 e 2008. Construído no ósmio.ADFS 2.0 Liberado após Windows 2008/2008 R2.2.1 ADFS Windows 20123.0 ADFS Windows 2012 R2ADFS 4.0 Windows 2016
Note: Somente ADFS 2.0 e acima do apoio SAML 2.0
Conceito Microsoft nomeia Nome de SAML2.0
Original XML enviado do partido da federaçãoque está controlando usuários ao partido dafederação que está controlando um aplicativodurante um pedido do acesso que descreve umusuário
Token desegurança Afirmação
Partner em uma federação que consuma tokensde segurança para fornecer o acesso aosaplicativos
Reivindicações Indicações daafirmação
Partner em uma federação que crie tokens desegurança para usuários
Fornecedor dasreivindicações
Fornecedor daidentidade
Partner em uma federação que consuma tokensde segurança para fornecer o acesso aosaplicativos
Partido deconfiança
Provedor deserviços
Configurar
Condições prévias de etapa 0.
Instale MS ADFS em seu Windows Server. Este original supõe que nome ADFS DNS pode serresolved e é alcançável do ISE.
Etapa 1. Crie o fornecedor novo da identidade de SAML
No ISE navegue à administração > ao Gerenciamento de identidades > fontes externos daidentidade > identificação de SAML fornecedores e clique o botão Add.
Dê entrada com o nome do fornecedor identificação e o clique submete-se para salvar o. Nomedo fornecedor identificação significativo somente para o ISE.
Etapa 2. Ajustes do portal do patrocinador
Navegue aos centros de trabalho > ao acesso do convidado > aos portais & aos componentes >aos portais do patrocinador e selecione seu portal do patrocinador.
Neste exemplo do “portal patrocinador (padrão)” foi usado.
Expanda “o painel dos ajustes portais” e selecione seu SAML novo IdP na sequência da fonte daidentidade
Confirme que o fluxo mudou ao início de uma sessão SSO - > AUP - > HOME do patrocinador eclica a salvaguarda para salvar a configuração.
Etapa 3. Informação do provedor de serviços da exportação
Navegue à administração > ao Gerenciamento de identidades > fontes externos da identidade >identificação de SAML fornecedores > [Your SAML Provider]
Comute para catalogar do “a informação provedor de serviços.” e botão da exportação do clique.
Transfira o arquivo zip e salvar o. Nele você encontrará 2 arquivos. Você precisaria o arquivo doxml chamado como seu portal do patrocinador
Etapa 4. Configurar AD FS
1. Vá a Windows Server e abra a ferramenta de gerenciamento AD FS
2. Abra relações de confiança > confianças de confiança do partido e o clique “adiciona aconfiança de confiança do partido”. O assistente abrirá.
3. “Na opção” seleta da “de um arquivo da etapa seleta da origem de dados os dados importação”e selecionam seu arquivo do xml que foi transferido em etapa 3 deste original.
4. Na etapa do Multi-fator seleta “eu não quero configurar neste tempo a autenticação do multi-fator”
5. “Licença seleta todos os usuários para alcançar” na próxima etapa
6. “Pronto valores-limite”” da verificação à confiança dos “do anúncio em abas da “assinatura” e
7. Seleto “abra as regras da reivindicação da edição” na última etapa e feche o assistente
Etapa 5. Configurar regras da reivindicação
Note: Para testando nós enviaremos o UPN como NameID. Na produção você pôde enviaro endereço email do usuário ou a identificação do empregado.
Crie a regra da reivindicação:
E os mapeamentos:
Etapa 6. Configurar políticas de autenticação
A autenticação preliminar em Windows Server 2012 usuários de autenticação do suporteembutido R2 AD FS contra o diretório ativo usando os seguintes métodos:
Método deautenticação Classe URI do contexto da autenticação
Nome de usuário esenha urn:oasis:names:tc:SAML:2.0:ac:classes:Password
Transporte protegidosenha
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
Authenticação docliente TLS urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
Certificado X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509Autenticação doWindows integrada urna: federação: autenticação: indicadores
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
O ISE está apoiando atualmente somente o [Password Protected Transport] assim para atualizaras configurações globais da autenticação preliminar à autenticação dos formulários.
Note: Requisição de aprimoramento CSCvb32728 adicionar o apoio para métodos de
autenticação adicionais com SAML.
Sob “políticas de autenticação” selecione dos “a autenticação formulários” para o extranet e ointranet.
Etapa 7. Saída iniciada portal do patrocinador única (SLO)
Para que isto trabalhe nós precisamos de ajustar o algoritmo de mistura segura ao SHA1 em vezdo SHA-256 do padrão. Isto é ajustado em propriedades de confiança de confiança do partidoISE sob avançado.
Relações de confiança abertas > confianças de confiança do partido, direito - clique sobre suaconfiança de confiança do partido e abra propriedades. No guia avançada selecione o SHA-1.
Etapa 8. Metadata da importação AD FS
Metadata da transferência AD FS de https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml
E salvar o em algum lugar.
No ISE no switch de configuração de SAML IdP da “à configuração do fornecedor identidade.” aaba, botão do arquivo do clique “escolheu” e seleciona o arquivo com metadata AD FS, confirmaque carregou corretamente.
Etapa 9. Configurar grupos
Comute aos “grupos” a aba no ISE, especifique da “o atributo membrasia do clube” e adicionargrupos
O “nome na afirmação” é um nome do grupo no AD e o “nome no ISE” é como é representado emISE próprio.
Da “o atributo membrasia do clube” pode ser tomado de AD FS das descrições da reivindicação.
Etapa 10. Adicionar atributos
Comute aos “atributos” a aba e adicionar os atributos. O “nome na afirmação” pode ser tomado da“das descrições reivindicação”. Pelo menos o email deve ser adicionado.
Após adicionar:
Etapa 11. Ajustes avançados
Em “avançou o atributo do email da aba dos ajustes” e a verificação seletos do “pedido da saídasinal”
Salvaguarda do clique para salvar a configuração de SAML IdP.
Etapa 12. Selecione membros do grupo do patrocinador
Navegue aos centros de trabalho > ao acesso do convidado > aos portais & aos componentes >aos grupos do patrocinador, selecione um grupo e configurar grupos AD FS sob critérios deverificação de repetição de dados
Verificar
Agora se você abre o portal do patrocinador (do teste URL, por exemplo) você será reorientado aAD FS para assinar dentro e então de volta ao portal do patrocinador.
1. Lance o portal do patrocinador usando seu FQDN do “na relação teste URL”. O ISE devereorientá-lo a ADFS assina dentro a página
2. Incorpore credenciais do diretório ativo e a batida assina dentro. A tela de logon de IdPreorientará o usuário ao AUP inicial no portal do patrocinador do ISE.
3. Neste momento o usuário do patrocinador deve ter o acesso direto ao portal.
Troubleshooting
ADFS pesquisam defeitos
Como permitir o debug logging para a federação do diretório ativo presta serviços demanutenção a 2.0 (AD FS 2.0)
●
Diagnósticos em AD FS 2.0 – Blogue Reivindicação-baseado da identidade●
(2014-02-05) Permitindo o debug tracing na procura ADFS v2.1 e v3.0 “Jorge para oconhecimento!
●
Pesquisar defeitos Fedpassive pedem falhas com AD FS 2.0●
O wizard de configuração ADFS falha com erro “que os Certificados com a chave privadaCNG não são” – primeiro engenharia de campo apoiada
●
O ISE pesquisa defeitos
O log em nível dos seguintes componentes deve ser mudado em ISE > administração > sistema >registrando > debuga a configuração do log
Nome do componente Log em nívelguestaccess DEBUGARportal-Web-ação DEBUGARsaml TRAÇO
Logs armazenados em ise-psc.log e em guest.log
Debuga do fluxo correto
De ise-psc.log:
2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in
IdP configuration):http://CiscoISE/f1087
1e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-
7159-11e7-a355-005056aba474_DELIMITERpo
rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-
9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -
spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac
tion
2017-10-13 12:03:24,753 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:
2017-10-13 12:03:24,757 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-
16"?><samlp:AuthnRequest AssertionConsumerServi
ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"
ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessio
nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"
IssueInstant="2017-10-13T10:03:24.752Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0
" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-
7159-11e7-a355-005056aba474</samlp:Issuer>
<saml2p:NameIDPolicy AllowCreate="false"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>
<saml2p:RequestedAuthnContext Comparison="exact"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:AuthnContextClassRef
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo
rdProtectedTransport</saml:AuthnContextClassRef>
</saml2p:RequestedAuthnContext>
</samlp:AuthnRequest>
2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]
api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB
'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND
ARY, ReplicationStatus obj status: SYNC_COMPLETED
2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]
api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig
Type: MNT
2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-
In setMNTStatus setting thisPrimaryMNT to true
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54
This node's host name:ise23-3 LB: request
Server Name:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node
host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
2017-10-13 12:04:00,516 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht
tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-
1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050
56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"
Version="2.0">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-
signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N
Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny
Z+y/dSVW
ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY
U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>
<KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD
EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr
MC
kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg
EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z
PYrf2MNzOtShDy1bL
Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4
FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV
HIi0riy0iGTFbHLY0
7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ
xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu
GSTtyYMrjqpIbZy1R
YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj
dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<
/ds:X509Certifica
te>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID>[email protected]</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93
5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"
Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">
<AudienceRestriction>
<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">
<AttributeValue>Domain Users</AttributeValue>
<AttributeValue>Group-A</AttributeValue>
<AttributeValue>Geo#Geo#Head</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-
9b68-72955f132866">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo
ntextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -
[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a
ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
statusCode:urn:oasis:names:tc:SAML:2.0:status:Success
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :
http://schemas.microsoft.com/ws/2008/06/id
entity/claims/role
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Domain Users>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object
- attribute<http://schemas.microsoft.c
om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:
IdentityAttribute is set to Subject Name
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username
value from Subject is=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set
to=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'
attribute assertion: [email protected]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<http://schemas.xmlsoap.org/ws
/2005/05/identity/claims/emailaddress>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<ExternalGroups>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache
ExternalGroup values=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]
attributeName=<MS_ADFS.Email>, not recieved in response, caching
with default value=<>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]
idStore=<MS_ADFS> [email protected]>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email
attribute=<http://schemas.xmlsoap.org/ws/
2005/05/identity/claims/emailaddress> not on asserion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-
a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust
SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action
Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-
11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54
Client Address: 10.229.24.65
Load Balancer:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard
with cert:CN=ADFS Signing - MainDC.vkum
ov.local serial:124077717026674185676949309678668523209
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing
certificate
2017-10-13 12:04:00,524 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated
succesfully
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully
validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]
as signing certificates
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:
[email protected], format=null, sessionInde
x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644
2017-10-13 12:04:00,577 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:
IdP ID: MS_ADFS
Subject: [email protected]
SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
SAML Success:true
SAML Status Message:null
SAML email:
SAML Exception:nullUserRole : SPONSOR
2017-10-13 12:04:00,582 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call
authenticateSAMLUser messageCode:null subject:alic
2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]
api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-
8bff-11e6-996c-525400b48521
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]
idStore=<MS_ADFS> userName=<alice@vkumov
.local>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>
userName=<[email protected]> attributeN
ame=<MS_ADFS.ExternalGroups>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from
SAML response to AuthenticationResult, al
l retrieved groups:[Group-A]
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
O usuário tem a sociedade incorreta
De guest.log:
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,
processFailedReason=DisabledUser =false
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED
2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any
Sponsor Group memberships.
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After
executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with
TranEnum=ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=LOGIN_PASS, toStep=AUP
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ON_SHOW_ERROR, toStep=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR
2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in
dry-run mode
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-
nextStepExecutor.executePreStepAction returning [TransitionResult] StepN
ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,
isContactSettingEnabled=false, errKeys=ui_login_failed_error,,
dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t
itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err
or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel
p_link,ui_contact
_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa
ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er
ror_optional_cont
ent_1,session_contact_enabled,
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:
PortalSession (66281efe-4ad2-4880-b63e-f022117be
9ea) current state is INITIATED and current step is ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR
Referências
Mapa do índice AD FS●
AD FS 2.0 ponto por ponto e como aos guias●
Reivindicação ADFS para aplainar grupos e retornar o DN completo●
AD FS 2.0: Grupos locais do domínio em uma reivindicação●
Estabelecer o ambiente de laboratório para AD FS em Windows Server 2012 R2●
Configurar o portal do patrocinador do 2.1 ISE com PingFederate SAML SSO●