MS AD FS SAML SSO の設定 ISE 2.3 スポンサー …...MS AD FS SAML SSO の設定 ISE 2.3 スポンサーポータル目次はじめに前提条件要件使用するコンポーネント

MS AD FS SAML SSO の設定 ISE 2.3 スポンサーポータル目次

はじめに前提条件要件使用するコンポーネント背景説明ADFS 一般的な情報設定ステップ 0。前提条件ステップ 1.新しい SAML 識別プロバイダを作成して下さいステップ 2.スポンサーポータル設定ステップ 3.エクスポートサービスプロバイダー情報ステップ 4.設定 AD FSステップ 5.設定クレームルールステップ 6.設定認証ポリシーステップ 7.スポンサーポータルによって始められる単一ログアウト（SLO）ステップ 8.インポート AD FS メタデータステップ 9.設定グループステップ 10.属性を追加して下さいステップ 11.詳細設定ステップ 12：スポンサーグループメンバーを選択して下さい確認トラブルシューティングADFS は解決しますISE は解決します正しいフローのデバッグユーザは不正確なメンバシップがあります参考資料

概要

この資料に（SSO）機能で単一サインを提供するために Cisco Identity Services Engine（ISE）で Microsoft Active Directory （AD）フェデレーションサービス（FS） SAML サーバを2.3 設定する方法をユーザを後援する記述されています。

前提条件

要件

次の項目に関する知識が推奨されます。

Cisco Identity Services Engine 2.31.SAML SSO 配備についての基本的な知識2.Microsoft AD FS 3.

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Identity Services Engine 2.3.0.2981.Windows Server 2012 R22.ADFS 3.03.

背景説明

ADFS 一般的な情報

ADFS ビルド注意事項ADFS 1.0 Windows 2003 R2 によってリリースされる。 OS に構築される。

ADFS 1.1 Windows 2008 および 2008 R2 とリリースされる。 OS に構築される。

ADFS 2.0 Windows 2008/2008 R2 の後でリリースされる。ADFS 2.1 Windows 2012ADFS 3.0 Windows 2012 R2ADFS 4.0 Windows 2016

注: サポート SAML 2.0 の上の ADFS だけ 2.0 および

概念 Microsoft 名前 SAML 2.0 名前ユーザを記述するアクセス要求の間にアプリケーションを管理しているフェデレーションパーティへユーザーの管理であるフェデレーションパーティから送信される XML 資料

セキュリティトークンアサーション

アプリケーションへアクセスを提供するためのセキュリティトークンを消費するフェデレーションのパートナー

クレームアサートステートメント

ユーザ向けのセキュリティトークンを作成するフェデレーションのパートナー

クレームプロバイダ識別プロバイダ

アプリケーションへアクセスを提供するためのセキュリティトークンを消費するフェデレーションのパートナー

依存パーティサービスプロバイダー

設定

ステップ 0。前提条件

Windows サーバで MS ADFS をインストールして下さい。この資料は ADFS が DNS名解決されます、ISE から到達可能であることを仮定します。

ステップ 1.新しい SAML 識別プロバイダを作成して下さい

ISE で > 外部識別は Administration > アイデンティティ管理にソースをたどり、> SAML ID プロバイダ『Add』をクリックしますボタンをナビゲートします。

ID プロバイダー名を入力し、それを保存するために『SUBMIT』をクリックして下さい。 ISEのためにだけ重要な ID プロバイダー名。

ステップ 2.スポンサーポータル設定

作業センター > ゲストアクセス > ポータル及びコンポーネント > スポンサーポータルへのナビゲートはおよびスポンサーポータルを選択します。

この例「スポンサーポータル（デフォルト）で」使用されました。

「門脈設定」パネルを拡張し、識別出典順に新しい SAML IdP を選択して下さい

フローが SSO ログインに- > AUP - > スポンサーホーム変更し、設定を保存するために『SAVE』をクリックすることを確認して下さい。

ステップ 3.エクスポートサービスプロバイダー情報

Administration > アイデンティティ管理へのナビゲートは > 外部識別 > SAML ID プロバイダ > ソースをたどります[SAML プロバイダ]

切り替えて下さい「サービスプロバイダー情報記録するために」。をそしてボタンを『Export』をクリックして下さい。

ZIP ファイルをダウンロードし、保存して下さい。それで 2 つのファイルを見つけます。スポンサーポータルとして呼出された XML ファイルを必要とします

ステップ 4.設定 AD FS

1. Windows サーバに行き、AD FS マネジメントツールを開いて下さい

2. トラスト関係を > 依存当事者信頼開き、"Add Relying Party Trust"をクリックする。ウィザードは開きます。

3. 「データソース」ステップで選択し、「この資料のステップ 3 でダウンロードされたファイルからのデータのインポート」オプションを選択します XML ファイルを選択して下さい。

4. 複数のファクタステップで選択して下さい「現時点で複数のファクタ認証を」設定したいと思いません

5. 「アクセスする次のステップで」を割り当てすべてのユーザ選択して下さい

6. 「広告信頼」に準備ができたチェック「シグニチャ」および「エンドポイント」タブ

7. 「開き、最後のステップの編集クレームルール」を閉じますウィザードを選択して下さい

ステップ 5.設定クレームルール

注: テストしてのために NameID として UPN を送信します。本番でユーザの eメールアドレスか従業員 ID を送信するかもしれません。

クレームルールを作成して下さい:

そしてマッピング:

ステップ 6.設定認証ポリシー

次のメソッドを使用して Active Directory に対する Windows サーバ 2012 R2 AD FS ビルトインサポート認証ユーザのプライマリ認証:

認証方式認証コンテキストクラス URIユーザ名およびパスワード urn:oasis:names:tc:SAML:2.0:ac:classes:Password

パスワードによって保護される転送する

urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

TLS クライアント認証 urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient

X.509 証明書 urn:oasis:names:tc:SAML:2.0:ac:classes:X509統合された Windows認証壷: フェデレーション: 認証: ウィンドウ

Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

ISE は現在[パスワードによって保護される転送する]そうフォーム認証にプライマリ認証のグローバルな設定をアップデートするためにただサポートしています。

注: SAML の追加認証方式のためのサポートを追加する機能拡張要求 CSCvb32728。

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb32728/?reffering_site=dumpcr

「認証ポリシーの下でフォーム認証選択して下さい」をエクストラネットおよびイントラネット両方」に「。

ステップ 7.スポンサーポータルによって始められる単一ログアウト（SLO）

はたらかせるこれのためにデフォルト SHA-256 の代りに SHA1 にセキュアハッシュアルゴリズムを設定する必要があります。これは ISE 高度の下の依存パーティ信頼できるプロパティで設定されます。

開いたトラスト関係 > 依存パーティ信頼の依存パーティ信頼、右クリックおよび開いたProperties。 Advanced タブで SHA-1 を選択して下さい。

ステップ 8.インポート AD FS メタデータ

https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml からのダウンロードAD FS メタデータ

そしてそれをどこかに保存して下さい。

「識別プロバイダ構成への SAML IdP 構成スイッチの ISE」。タブは、正しくロードしたことをボタンを"Chose File"をクリックする、AD FS メタデータのファイルを、確認します選択します。

ステップ 9.設定グループ

「グループに」ISE のタブを切り替え、「団体会員アトリビュート」を規定し、グループを追加して下さい

「アサーションの名前」は AD のグループ名であり、「ISE の名前」は ISE 自体でどのように表されるかです。

「団体会員アトリビュート」はクレーム説明からの AD FS から奪取することができます。

ステップ 10.属性を追加して下さい

「属性」タブに切り替え、属性を追加して下さい。「アサーションの名前クレーム説明」」はから「奪取することができます。少なくともメールは追加する必要があります。

追加の後:

ステップ 11.詳細設定

「進めました設定」タブで選択し、メールアトリビュートをチェックします「サイン Logout 要求」を

SAML IdP 設定を保存するために『SAVE』をクリックして下さい。

ステップ 12：スポンサーグループメンバーを選択して下さい

作業センター > ゲストアクセス > ポータル及びコンポーネント > スポンサーグループにナビゲートし、グループを選択し、一致条件の下で AD FS グループを設定して下さい

確認

次にこの場合スポンサーポータルを開けば（テスト URL から、たとえば） AD FS にスポンサーポータルに戻っておよび署名するためにリダイレクトされます。

1. 「テスト URL」リンクの FQDN を使用してスポンサーポータルを起動させて下さい。 ISE はADFS に署名しますページにリダイレクトする必要があります

2. Active Directory 資格情報を入力すればヒットは署名します。 IdP のログオン画面により ISEのスポンサーポータルで最初の AUP にリダイレクトされます。

3.この時点でスポンサーユーザはポータルにフルアクセスがあるはずです。

トラブルシューティング

ADFS は解決します

Active Directory フェデレーションのためのデバッグロギングを有効にする方法 2.0 を保守します（2.0） AD FS

●

AD FS 2.0 の診断–クレームベースの識別ブログ●

（2014-02-05）ナレッジのための ADFS v2.1 および v3.0 「ホルヘ探求のデバッグトレースを有効にすること!

●

Fedpassive のトラブルシューティング AD FS 2.0 の失敗を要求して下さい●

ADFS Configuration ウィザードはエラーと失敗します「CNG プライベートキーが付いている証明書によってサポートされなかった」が–首位フィールド技術ではない

●

ISE は解決します

ログは次のコンポーネントので変更する必要があります ISE > Administration > システム > ロギング > デバッグログ設定水平になります

コンポーネント名ログレベルguestaccess デバッグ門脈 Web 処理デバッグsaml トレース

ise-psc.log および guest.log で保存されるログ

正しいフローのデバッグ

ise-psc.log から:

2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT

configured for: MS_ADFS


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

http://social.technet.microsoft.com/wiki/contents/articles/1407.how-to-enable-debug-logging-for-active-directory-federation-services-2-0-ad-fs-2-0.aspx

https://blogs.msdn.microsoft.com/card/2010/01/21/diagnostics-in-ad-fs-2-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://jorgequestforknowledge.wordpress.com/2014/02/05/enabling-debug-tracing-in-adfs-v2-1-and-v3-0/

https://technet.microsoft.com/en-us/library/adfs2-troubleshooting-fedpassive-request-failures(v=ws.10).aspx

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

https://blogs.technet.microsoft.com/mspfe/2013/11/29/adfs-configuration-wizard-fails-with-error-the-certificates-with-the-cng-private-key-are-not-supported/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in

IdP configuration):http://CiscoISE/f1087

1e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-

7159-11e7-a355-005056aba474_DELIMITERpo

rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-

9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -

spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac

tion


cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:


cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-

16"?><samlp:AuthnRequest AssertionConsumerServi

ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"

ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessio

nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"

IssueInstant="2017-10-13T10:03:24.752Z"

ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0

" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-

7159-11e7-a355-005056aba474</samlp:Issuer>

<saml2p:NameIDPolicy AllowCreate="false"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>

<saml2p:RequestedAuthnContext Comparison="exact"

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">

<saml:AuthnContextClassRef

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo

rdProtectedTransport</saml:AuthnContextClassRef>

</saml2p:RequestedAuthnContext>

</samlp:AuthnRequest>

2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]

api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB

'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND

ARY, ReplicationStatus obj status: SYNC_COMPLETED

2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]

api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig

Type: MNT

2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-

In setMNTStatus setting thisPrimaryMNT to true


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-

a355-005056aba474_DELIMITERportalId=f1087

1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-

158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session

info:portalId=f10871e0-7159-11e7-a355-005056aba474;port

alSessionId=55013d03-375b-4985-9cef-158e16a935a7;





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54

This node's host name:ise23-3 LB: request

Server Name:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node

host name is:10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:


cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response

Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht

tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-

1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050

56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"

xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<samlp:Status>

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>

</samlp:Status>

<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"

Version="2.0">

<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

<ds:SignedInfo>

<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">

<ds:Transforms>

<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-

signature"/>

<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

</ds:Transforms>

<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>

</ds:Reference>

</ds:SignedInfo>

<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N

Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny

Z+y/dSVW

ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY

U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>

<KeyInfo>

<ds:X509Data>

<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD

EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr

MC

kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg

EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z

PYrf2MNzOtShDy1bL

Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4

FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV

HIi0riy0iGTFbHLY0

7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ

xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu

GSTtyYMrjqpIbZy1R

YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj

dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<

/ds:X509Certifica

te>

</ds:X509Data>

</KeyInfo>

</ds:Signature>

<Subject>

<NameID>[email protected]</NameID>

<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-

005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-

005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93

5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"

Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>

</SubjectConfirmation>

</Subject>

<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">

<AudienceRestriction>

<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>

</AudienceRestriction>

</Conditions>

<AttributeStatement>

<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">

<AttributeValue>Domain Users</AttributeValue>

<AttributeValue>Group-A</AttributeValue>

<AttributeValue>Geo#Geo#Head</AttributeValue>

</Attribute>

</AttributeStatement>

<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-

9b68-72955f132866">

<AuthnContext>

<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo

ntextClassRef>

</AuthnContext>

</AuthnStatement>

</Assertion>

</samlp:Response>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -

[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a

ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:

statusCode:urn:oasis:names:tc:SAML:2.0:status:Success


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :

http://schemas.microsoft.com/ws/2008/06/id

entity/claims/role


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,

Attribute=<http://schemas.microsoft.com

/ws/2008/06/identity/claims/role> add value=<Domain Users>




/ws/2008/06/identity/claims/role> add value=<Group-A>




/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object

- attribute<http://schemas.microsoft.c

om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:

IdentityAttribute is set to Subject Name


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username

value from Subject is=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set

to=[[email protected]]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'

attribute assertion: [email protected]


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]


cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<http://schemas.xmlsoap.org/ws

/2005/05/identity/claims/emailaddress>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict

attribute=<ExternalGroups>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache

ExternalGroup values=<Group-A>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]

attributeName=<MS_ADFS.Email>, not recieved in response, caching

with default value=<>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]

idStore=<MS_ADFS> [email protected]>


cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email

attribute=<http://schemas.xmlsoap.org/ws/

2005/05/identity/claims/emailaddress> not on asserion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:





158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-

a355-005056aba474





158e16a935a7;_DELIMITER10.48.26.54









158e16a935a7;_DELIMITER10.48.26.54


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54





cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL

indicates that its OAM. IDP URL: https:/

/enterpriseregistration.vkumov.local/adfs/ls/


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:

http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474


cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:

IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust

SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474

Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action

Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-

11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-

158e16a935a7_SEMI_DELIMITER10.48.26.54

Client Address: 10.229.24.65

Load Balancer:


cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion


cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard

with cert:CN=ADFS Signing - MainDC.vkum

ov.local serial:124077717026674185676949309678668523209


cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing

certificate


cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated

succesfully


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response


cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion


cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully

validated


cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated


cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for

[email protected]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]

as signing certificates


cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:

[email protected], format=null, sessionInde

x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:

IdP ID: MS_ADFS

Subject: [email protected]

SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success

SAML Success:true

SAML Status Message:null

SAML email:

SAML Exception:nullUserRole : SPONSOR


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call

authenticateSAMLUser messageCode:null subject:alic

[email protected]

2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]

api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-

8bff-11e6-996c-525400b48521


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]

idStore=<MS_ADFS> userName=<alice@vkumov

.local>


cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>

userName=<[email protected]> attributeN

ame=<MS_ADFS.ExternalGroups>


cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from

SAML response to AuthenticationResult, al

l retrieved groups:[Group-A]


cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED

ユーザは不正確なメンバシップがあります

guest.log から:


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,

processFailedReason=DisabledUser =false


cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED

2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any

Sponsor Group memberships.


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After

executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with

TranEnum=ON_SHOW_ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>

tranEnum=LOGIN_PASS, toStep=AUP



tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME



tranEnum=ON_SHOW_ERROR, toStep=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR


cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!


cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR

2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]

cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in

dry-run mode


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-

nextStepExecutor.executePreStepAction returning [TransitionResult] StepN

ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,

isContactSettingEnabled=false, errKeys=ui_login_failed_error,,

dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t

itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err

or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel

p_link,ui_contact

_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa

ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er

ror_optional_cont

ent_1,session_contact_enabled,


cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:

PortalSession (66281efe-4ad2-4880-b63e-f022117be

9ea) current state is INITIATED and current step is ERROR


cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR

参考資料

AD FS コンテンツマップ●

AD FS 2.0 ステップバイステップでおよびどのようにガイドに●

グループを平らにし、完全な DN を戻す ADFS クレーム●

AD FS 2.0: クレームのドメインローカルグループ●

Windows サーバ 2012 R2 の AD FS のためのラボ環境を設定して下さい●

PingFederate SAML SSO の ISE 2.1 スポンサーポータルを設定する●

http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-content-map.aspx

https://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides(v=ws.10).aspx

https://social.technet.microsoft.com/Forums/windowsserver/en-US/ca566e15-4b3b-4830-ae65-e25d83251c07/adfs-claim-to-flatten-groups-and-return-full-dn?forum=winserverDS

https://social.technet.microsoft.com/wiki/contents/articles/13829.ad-fs-2-0-domain-local-groups-in-a-claim.aspx

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/set-up-the-lab-environment-for-ad-fs-in-windows-server-2012-r2

https://www.cisco.com/c/ja_jp/support/docs/security/identity-services-engine-21/200545-Configure-ISE-2-1-Sponsor-Portal-with-Pi.html

Documents

MS AD FS SAML SSO の設定 ISE 2.3 スポンサー …...MS AD FS SAML SSO の設定 ISE 2.3 スポンサ ー ポータル 目次 はじめに 前提条件 要件 使用するコンポーネント

MS AD FS SAML SSO の設定 ISE 2.3 スポンサー …...MS AD FS SAML SSO の設定 ISE 2.3 スポンサーポータル目次はじめに前提条件要件使用するコンポーネント