Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
MS AD FS SAML SSO の設定 ISE 2.3 スポンサー ポータル 目次
はじめに前提条件要件使用するコンポーネント背景説明ADFS 一般的な情報設定ステップ 0。前提条件ステップ 1.新しい SAML 識別プロバイダを作成して下さいステップ 2.スポンサー ポータル設定ステップ 3.エクスポート サービス プロバイダー 情報ステップ 4.設定 AD FSステップ 5.設定クレーム ルールステップ 6.設定 認証 ポリシーステップ 7.スポンサー ポータルによって始められる単一ログアウト(SLO)ステップ 8.インポート AD FS メタデータステップ 9.設定グループステップ 10.属性を追加して下さいステップ 11.詳細設定ステップ 12: スポンサー グループ メンバーを選択して下さい確認トラブルシューティングADFS は解決しますISE は解決します正しいフローのデバッグユーザは不正確なメンバシップがあります参考資料
概要
この資料に(SSO)機能で単一 サインを提供するために Cisco Identity Services Engine(ISE)で Microsoft Active Directory (AD)フェデレーション サービス(FS) SAML サーバを2.3 設定する方法をユーザを後援する記述されています。
前提条件
要件
次の項目に関する知識が推奨されます。
Cisco Identity Services Engine 2.31.SAML SSO 配備についての基本的な知識2.Microsoft AD FS 3.
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Identity Services Engine 2.3.0.2981.Windows Server 2012 R22.ADFS 3.03.
背景説明
ADFS 一般的な情報
ADFS ビルド 注意事項ADFS 1.0 Windows 2003 R2 によってリリースされる。 OS に構築される。
ADFS 1.1 Windows 2008 および 2008 R2 とリリースされる。 OS に構築される。
ADFS 2.0 Windows 2008/2008 R2 の後でリリースされる。ADFS 2.1 Windows 2012ADFS 3.0 Windows 2012 R2ADFS 4.0 Windows 2016
注: サポート SAML 2.0 の上の ADFS だけ 2.0 および
概念 Microsoft 名前 SAML 2.0 名前ユーザを記述するアクセス 要求の間にアプリケーションを管理しているフェデレーション パーティへユーザーの管理であるフェデレーションパーティから送信 される XML 資料
セキュリティ トークン アサーション
アプリケーションへアクセスを提供するためのセキュリティ トークンを消費するフェデレーションのパートナー
クレーム アサート ステートメント
ユーザ向けのセキュリティ トークンを作成するフェデレーションのパートナー
クレーム プロバイダ 識別プロバイダ
アプリケーションへアクセスを提供するためのセキュリティ トークンを消費するフェデレーションのパートナー
依存パーティ サービス プロバイダー
設定
ステップ 0。前提条件
Windows サーバで MS ADFS をインストールして下さい。 この資料は ADFS が DNS名解決されます、ISE から到達可能であることを仮定します。
ステップ 1.新しい SAML 識別プロバイダを作成して下さい
ISE で > 外部識別は Administration > アイデンティティ管理にソースをたどり、> SAML ID プロバイダ 『Add』 をクリック します ボタンをナビゲート します。
ID プロバイダー名を入力し、それを保存するために『SUBMIT』 をクリック して下さい。 ISEのためにだけ重要な ID プロバイダー名。
ステップ 2.スポンサー ポータル設定
作業センター > ゲスト アクセス > ポータル及びコンポーネント > スポンサー ポータルへのナビゲートはおよびスポンサー ポータルを選択します。
この例「スポンサー ポータル(デフォルト)で」使用されました。
「門脈設定」パネルを拡張し、識別出典順に新しい SAML IdP を選択して下さい
フローが SSO ログインに- > AUP - > スポンサー ホーム変更し、設定を保存するために『SAVE』 をクリック することを確認して下さい。
ステップ 3.エクスポート サービス プロバイダー 情報
Administration > アイデンティティ管理へのナビゲートは > 外部識別 > SAML ID プロバイダ > ソースをたどります[SAML プロバイダ]
切り替えて下さい「サービス プロバイダー 情報記録するために」。を そしてボタンを『Export』 をクリック して下さい。
ZIP ファイルをダウンロードし、保存して下さい。 それで 2 つのファイルを見つけます。 スポンサー ポータルとして呼出された XML ファイルを必要とします
ステップ 4.設定 AD FS
1. Windows サーバに行き、AD FS マネジメントツールを開いて下さい
2. トラスト 関係を > 依存当事者信頼開き、"Add Relying Party Trust"を クリックする。 ウィザードは開きます。
3. 「データ ソース」ステップで選択し、「この資料のステップ 3 でダウンロードされたファイルからのデータのインポート」オプションを選択します XML ファイルを選択して下さい。
4. 複数のファクタ ステップで選択して下さい「現時点で複数のファクタ認証を」設定したいと思いません
5. 「アクセスする次のステップで」を割り当てすべてのユーザ選択して下さい
6. 「広告信頼」に準備ができたチェック「シグニチャ」および「エンドポイント」タブ
7. 「開き、最後のステップの編集クレーム ルール」を閉じますウィザードを選択して下さい
ステップ 5.設定クレーム ルール
注: テストしてのために NameID として UPN を送信 します。 本番でユーザの eメールアドレスか従業員 ID を送信 するかもしれません。
クレーム ルールを作成して下さい:
ステップ 6.設定 認証 ポリシー
次のメソッドを使用して Active Directory に対する Windows サーバ 2012 R2 AD FS ビルトインサポート認証ユーザのプライマリ 認証:
認証方式 認証コンテキスト クラス URIユーザ名 および パスワード urn:oasis:names:tc:SAML:2.0:ac:classes:Password
パスワードによって保護される転送する
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
TLS クライアント認証 urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
X.509 証明書 urn:oasis:names:tc:SAML:2.0:ac:classes:X509統合された Windows認証 壷: フェデレーション: 認証: ウィンドウ
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
ISE は現在[パスワードによって保護される転送する]そうフォーム認証にプライマリ 認証のグローバルな設定をアップデートするためにただサポートしています。
注: SAML の追加認証方式のためのサポートを追加する機能拡張要求 CSCvb32728。
「認証 ポリシーの下でフォーム認証選択して下さい」をエクストラネットおよびイントラネット両方」に「。
ステップ 7.スポンサー ポータルによって始められる単一ログアウト(SLO)
はたらかせるこれのためにデフォルト SHA-256 の代りに SHA1 にセキュアハッシュアルゴリズムを設定 する必要があります。 これは ISE 高度の下の依存パーティ信頼できるプロパティで設定 されます。
開いたトラスト 関係 > 依存パーティ信頼の依存パーティ信頼、右クリックおよび開いたProperties。 Advanced タブで SHA-1 を選択して下さい。
ステップ 8.インポート AD FS メタデータ
https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml からのダウンロードAD FS メタデータ
そしてそれをどこかに保存して下さい。
「識別プロバイダ構成への SAML IdP 構成スイッチの ISE」。 タブは、正しくロードしたことをボタンを"Chose File"を クリックする、AD FS メタデータのファイルを、確認します選択します。
ステップ 9.設定グループ
「グループに」ISE のタブを切り替え、「団体会員 アトリビュート」を規定 し、グループを追加して下さい
「アサーションの名前」は AD のグループ名であり、「ISE の名前」は ISE 自体でどのように表されるかです。
「団体会員 アトリビュート」はクレーム説明からの AD FS から奪取 することができます。
ステップ 10.属性を追加して下さい
「属性」タブに切り替え、属性を追加して下さい。 「アサーションの名前クレーム説明」」はから「奪取 することができます。 少なくともメールは追加する必要があります。
追加の後:
SAML IdP 設定を保存するために『SAVE』 をクリック して下さい。
ステップ 12: スポンサー グループ メンバーを選択して下さい
作業センター > ゲスト アクセス > ポータル及びコンポーネント > スポンサー グループにナビゲート し、グループを選択し、一致条件の下で AD FS グループを設定して下さい
確認
次にこの場合スポンサー ポータルを開けば(テスト URL から、たとえば) AD FS にスポンサーポータルに戻っておよび署名するためにリダイレクトされます。
1. 「テスト URL」リンクの FQDN を使用してスポンサー ポータルを起動させて下さい。 ISE はADFS に署名しますページにリダイレクトする必要があります
2. Active Directory 資格情報を入力すればヒットは署名します。 IdP のログオン画面により ISEのスポンサー ポータルで最初の AUP にリダイレクトされます。
3.この時点でスポンサー ユーザはポータルにフルアクセスがあるはずです。
トラブルシューティング
ADFS は解決します
Active Directory フェデレーションのためのデバッグロギングを有効に する方法 2.0 を保守します(2.0) AD FS
●
AD FS 2.0 の診断–クレーム ベースの識別ブログ●
(2014-02-05)ナレッジのための ADFS v2.1 および v3.0 「ホルヘ探求のデバッグ トレースを有効に すること!
●
Fedpassive のトラブルシューティング AD FS 2.0 の失敗を要求して下さい●
ADFS Configuration ウィザードはエラーと失敗します「CNG プライベートキーが付いている証明書によってサポートされなかった」が–首位フィールド技術ではない
●
ISE は解決します
ログは次のコンポーネントので変更する必要があります ISE > Administration > システム > ロギング > デバッグ ログ 設定水平になります
コンポーネント名 ログ レベルguestaccess デバッグ門脈 Web 処理 デバッグsaml トレース
ise-psc.log および guest.log で保存されるログ
正しいフローのデバッグ
ise-psc.log から:
2017-10-13 12:03:24,749 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - providerId (as should be found in
IdP configuration):http://CiscoISE/f1087
1e0-7159-11e7-a355-005056aba474
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request - returnToId (relay state):_f10871e0-
7159-11e7-a355-005056aba474_DELIMITERpo
rtalId_EQUALSf10871e0-7159-11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-
9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54
2017-10-13 12:03:24,751 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML request -
spUrlToReturnTo:https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.ac
tion
2017-10-13 12:03:24,753 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- SAML Object:
2017-10-13 12:03:24,757 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.saml.framework.impl.RedirectMessageEncoder -::::- <?xml version="1.0" encoding="UTF-
16"?><samlp:AuthnRequest AssertionConsumerServi
ceURL="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ForceAuthn="false"
ID="_f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessio
nId_EQUALS55013d03-375b-4985-9cef-158e16a935a7_SEMI_DELIMITER10.48.26.54" IsPassive="false"
IssueInstant="2017-10-13T10:03:24.752Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0
" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">http://CiscoISE/f10871e0-
7159-11e7-a355-005056aba474</samlp:Issuer>
<saml2p:NameIDPolicy AllowCreate="false"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"/>
<saml2p:RequestedAuthnContext Comparison="exact"
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:AuthnContextClassRef
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Passwo
rdProtectedTransport</saml:AuthnContextClassRef>
</saml2p:RequestedAuthnContext>
</samlp:AuthnRequest>
2017-10-13 12:03:34,547 INFO [ise-NodeStateMonitor-1][]
api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise23, DB
'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECOND
ARY, ReplicationStatus obj status: SYNC_COMPLETED
2017-10-13 12:04:00,000 INFO [pool-100-thread-2][]
api.services.persistance.dao.DistributionDAO -::::- In DAO getRepository method for HostConfig
Type: MNT
2017-10-13 12:04:00,005 INFO [pool-100-thread-2][] cisco.mnt.common.alarms.AlarmWorker -::::-
In setMNTStatus setting thisPrimaryMNT to true
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,509 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,510 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Is redirect requiered: InitiatorPSN:10.48.26.54
This node's host name:ise23-3 LB: request
Server Name:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- This node is the initiator (10.48.26.54) this node
host name is:10.48.26.54
2017-10-13 12:04:00,511 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
2017-10-13 12:04:00,516 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- <samlp:Response
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" Destination="ht
tps://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action" ID="_9e732c16-ad87-4a0c-be01-
1e7a257758e1" InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-0050
56aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54" IssueInstant="2017-10-13T10:03:59.881Z" Version="2.0"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<Assertion ID="_9a5575ea-5869-4fa9-9b68-72955f132866" IssueInstant="2017-10-13T10:03:59.881Z"
Version="2.0">
<Issuer>http://enterpriseregistration.vkumov.local/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_9a5575ea-5869-4fa9-9b68-72955f132866">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-
signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>9a3J3xwvbdK2I61SCztq6sJ/GN8=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>G3w585GsyKwmdy3GYDrzRpDC0rFhTmCoW3u3y+dWc519gb8Eh5sAs6NYGHkHUtEFCjphyys4KQ31N
Lm4Qh7qzU4bf6I7hppcdqBHXe36yuAvaPAAHhloSGJbI8LSpyblJrSd7ko3tbfoanahEtTk4KdT+NiQyf+0Bc4CS2JKZhSny
Z+y/dSVW
ZQc2tjsn0+JyDo0ax21uHp6t7pjHKpb2Mnzt6y9IQwiYuxrjH2kX/o9lZBtj0p+3IMgefz5wFkTJNcAdXz6o12mKIDOP6FBY
U5uMwS3UrKaGAUNiuD8qE4PK1oKWmio7fJfZm//TbehalVerUgqT6dlzhRkCFFJsA==</ds:SignatureValue>
<KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIC4jCCAcqgAwIBAgIQXVh/wr4hladDOf0sGpCmyTANBgkqhkiG9w0BAQsFADAtMSswKQYDVQQD
EyJBREZTIFNpZ25pbmcgLSBNYWluREMudmt1bW92LmxvY2FsMB4XDTE3MDkyNzEyNTQxOVoXDTE4MDkyNzEyNTQxOVowLTEr
MC
kGA1UEAxMiQURGUyBTaWduaW5nIC0gTWFpbkRDLnZrdW1vdi5sb2NhbDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCgg
EBALtwNze6anZ8mnMra8FKK3DE54YzFipsPmfdTeYikAF5NM7tFk5a57xVX//QfhsZz05CrEvI9PTpsjxRw4nzO7Pd6uaw3z
PYrf2MNzOtShDy1bL
Hzd+kmWvc6wjWok6iv7jcSTp90RXXbNNDXonDpWyZJaA9zekt+JbtThYV1tKLFe5nlbUPESkcO5yX925Ff4NilkSV//ALIJ4
FRzx2oLaYjwJNQOZmZUyRcy0OhN2G9hWU2COdIyveObWjLv+ipCmSXud+EZjUow2+rKNPA1QSDbHS4WQyn3ZJCSI2lJ6XIFV
HIi0riy0iGTFbHLY0
7NHlfCt7AmqnCsxJWhzBI8MCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcQhvt7675G6Q1SwA9lnOJQVAgwCV7yJJi8TGa4uJ
xcbtfvrTjIIk5hfsfC0F1srZiniSkDf6gizYSZkG6NW0YVY9w9zYTkXkcuExnhHC1xs8WNl5NJtO3f+TJ+D01g6nEy9vVylu
GSTtyYMrjqpIbZy1R
YazvwRmCmOW/UgGxTbVQ/LCWBssKGtpBMjxBe60h1aZZi6RYm/eBTpomhwm3BUC++Roe6mSIkYd4Ndlh330+crwfPoczkJhj
dmggI3iQuHCgwpjLPDoziTX2cEBrrTCGQl7rEZgjEj7u39RbwWWeflRBtBS1d9BU7U2xS9pOeGCL7YdfnLFcDYQl8PFJQ==<
/ds:X509Certifica
te>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID>[email protected]</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="_f10871e0-7159-11e7-a355-
005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-11e7-a355-
005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-158e16a93
5a7_SEMI_DELIMITER10.48.26.54" NotOnOrAfter="2017-10-13T10:08:59.881Z"
Recipient="https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2017-10-13T10:03:59.877Z" NotOnOrAfter="2017-10-13T11:03:59.877Z">
<AudienceRestriction>
<Audience>http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role">
<AttributeValue>Domain Users</AttributeValue>
<AttributeValue>Group-A</AttributeValue>
<AttributeValue>Geo#Geo#Head</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2017-10-13T10:03:59.743Z" SessionIndex="_9a5575ea-5869-4fa9-
9b68-72955f132866">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnCo
ntextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML decoder's URIComparator -
[https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.a
ction] vs. [https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response:
statusCode:urn:oasis:names:tc:SAML:2.0:status:Success
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Found attribute name :
http://schemas.microsoft.com/ws/2008/06/id
entity/claims/role
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Domain Users>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Delimeter not configured,
Attribute=<http://schemas.microsoft.com
/ws/2008/06/identity/claims/role> add value=<Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes] Set on IdpResponse object
- attribute<http://schemas.microsoft.c
om/ws/2008/06/identity/claims/role> value=<Domain Users,Group-A,Geo#Geo#Head>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion:
IdentityAttribute is set to Subject Name
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username
value from Subject is=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::getUserNameFromAssertion: username set
to=[[email protected]]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: Found value for 'username'
attribute assertion: [email protected]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.cfg.IdentityProviderMgr -::::- getDict: MS_ADFS
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<http://schemas.xmlsoap.org/ws
/2005/05/identity/claims/emailaddress>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:readDict]: read Dict
attribute=<ExternalGroups>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [cacheGroupAttr] Adding to cache
ExternalGroup values=<Group-A>
2017-10-13 12:04:00,522 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [parseAttributes]
attributeName=<MS_ADFS.Email>, not recieved in response, caching
with default value=<>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [storeAttributesSessionData]
idStore=<MS_ADFS> [email protected]>
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLAttributesParser -::::- [SAMLAttributesParser:getEmail] The email
attribute=<http://schemas.xmlsoap.org/ws/
2005/05/identity/claims/emailaddress> not on asserion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: email attribute value:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal ID:f10871e0-7159-11e7-
a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML HTTPRequest - Portal Session
info:portalId=f10871e0-7159-11e7-a355-005056aba474;port
alSessionId=55013d03-375b-4985-9cef-158e16a935a7;
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML response - Relay State:_f10871e0-7159-11e7-
a355-005056aba474_DELIMITERportalId=f1087
1e0-7159-11e7-a355-005056aba474;portalSessionId=55013d03-375b-4985-9cef-
158e16a935a7;_DELIMITER10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML flow initiator PSN's Host name is:10.48.26.54
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isLoadBalancerConfigured() - LB NOT
configured for: MS_ADFS
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAMLUtils::isOracle() - checking whether IDP URL
indicates that its OAM. IDP URL: https:/
/enterpriseregistration.vkumov.local/adfs/ls/
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SPProviderId for MS_ADFS is:
http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- ResponseValidationContext:
IdP URI: http://enterpriseregistration.vkumov.local/adfs/services/trust
SP URI: http://CiscoISE/f10871e0-7159-11e7-a355-005056aba474
Assertion Consumer URL: https://10.48.26.54:8445/sponsorportal/SSOLoginResponse.action
Request Id: _f10871e0-7159-11e7-a355-005056aba474_DELIMITERportalId_EQUALSf10871e0-7159-
11e7-a355-005056aba474_SEMIportalSessionId_EQUALS55013d03-375b-4985-9cef-
158e16a935a7_SEMI_DELIMITER10.48.26.54
Client Address: 10.229.24.65
Load Balancer:
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- no signature in response
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Validating signature of assertion
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Determine the signing certificate
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature to SAML standard
with cert:CN=ADFS Signing - MainDC.vkum
ov.local serial:124077717026674185676949309678668523209
2017-10-13 12:04:00,523 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.BaseSignatureValidator -::::- Validate signature againsta signing
certificate
2017-10-13 12:04:00,524 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.SAMLSignatureValidator -::::- Assertion signature validated
succesfully
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating response
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.WebSSOResponseValidator -::::- Validating assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Assertion issuer succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Authentication statements succesfully
validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Subject succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.validators.AssertionValidator -::::- Conditions succesfully validated
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: validation succeeded for
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: found signature on the assertion
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Retrieve [CN=ADFS Signing - MainDC.vkumov.local]
as signing certificates
2017-10-13 12:04:00,525 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- SAML Response: loginInfo:SAMLLoginInfo:
[email protected], format=null, sessionInde
x=_9a5575ea-5869-4fa9-9b68-72955f132866, time diff=-644
2017-10-13 12:04:00,577 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - Session:null IDPResponse:
IdP ID: MS_ADFS
Subject: [email protected]
SAML Status Code:urn:oasis:names:tc:SAML:2.0:status:Success
SAML Success:true
SAML Status Message:null
SAML email:
SAML Exception:nullUserRole : SPONSOR
2017-10-13 12:04:00,582 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - about to call
authenticateSAMLUser messageCode:null subject:alic
2017-10-13 12:04:00,592 INFO [RMI TCP Connection(867)-127.0.0.1][]
api.services.server.role.RoleImpl -::::- Fetched Role Information based on RoleID: 6dd3b090-
8bff-11e6-996c-525400b48521
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [SAMLSessionDataCache:getGroupsOnSession]
idStore=<MS_ADFS> userName=<alice@vkumov
.local>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cisco.cpm.saml.framework.SAMLSessionDataCache -::::- [getAttributeOnSession] idStore=<MS_ADFS>
userName=<[email protected]> attributeN
ame=<MS_ADFS.ExternalGroups>
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- AuthenticatePortalUser - added user groups from
SAML response to AuthenticationResult, al
l retrieved groups:[Group-A]
2017-10-13 12:04:00,606 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-5][]
cpm.saml.framework.impl.SAMLFacadeImpl -::::- Authenticate SAML User - result:PASSED
ユーザは不正確なメンバシップがあります
guest.log から:
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED,
processFailedReason=DisabledUser =false
2017-10-13 12:06:18,163 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.NAAuthResultProcessor -::- authResult.result=PASSED
2017-10-13 12:06:18,163 ERROR [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.auth.authentication.SponsorLogin -::- [email protected] does not have any
Sponsor Group memberships.
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After
executeStepAction(SSO_LOGIN), returned Enum: ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Getting next flow step for SSO_LOGIN with
TranEnum=ON_SHOW_ERROR
2017-10-13 12:06:18,164 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=LOGIN_PASS, toStep=AUP
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ADMIN_LOGIN, toStep=SPONSOR_HOME
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- StepTran for Step=SSO_LOGIN=>
tranEnum=ON_SHOW_ERROR, toStep=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : ERROR will be visible!
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =ERROR
2017-10-13 12:06:18,165 INFO [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in
dry-run mode
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::-
nextStepExecutor.executePreStepAction returning [TransitionResult] StepN
ame=ERROR, hasError=true, retryEnabled=false, targetUrl=pages/error.jsp, isMobile=false,
isContactSettingEnabled=false, errKeys=ui_login_failed_error,,
dictionaryKeys=ui_tweak_banner_text_color,ui_error_page_t
itle,ui_tweak_page_text_color,ui_page_icon,ui_javascript_disabled_message,ui_footer_label,ui_err
or_instruction_message,ui_tweak_banner_color,ui_banner_label,session_portal,ui_apple_icon,ui_hel
p_link,ui_contact
_link,ui_error_content_label,ui_desktop_logo,ui_mobile_logo,ui_full_background_image,ui_tweak_pa
ge_color,ui_background_image,ui_theme_css,ui_error_optional_content_2,session_idle_timeout,ui_er
ror_optional_cont
ent_1,session_contact_enabled,
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- ++++ updatePortalState:
PortalSession (66281efe-4ad2-4880-b63e-f022117be
9ea) current state is INITIATED and current step is ERROR
2017-10-13 12:06:18,165 DEBUG [https-jsse-nio-10.48.26.54-8445-exec-4][]
cisco.ise.portalwebaction.controller.PortalStepController -::- nextStep: ERROR
参考資料
AD FS コンテンツ マップ●
AD FS 2.0 ステップバイステップでおよびどのようにガイドに●
グループを平らにし、完全な DN を戻す ADFS クレーム●
AD FS 2.0: クレームのドメイン ローカル グループ●
Windows サーバ 2012 R2 の AD FS のためのラボ 環境を設定して下さい●
PingFederate SAML SSO の ISE 2.1 スポンサー ポータルを設定する●