Configure el portal del patrocinador ISE 2.3 con el ANUNCIO FS SAML SSO ms Contenido Introducción Prerequisites Requisitos Componentes usados Antecedentes Información general ADFS Configurar Requisitos previos del paso 0. Paso 1. Cree el nuevo proveedor de la identidad de SAML Paso 2. Configuraciones del portal del patrocinador Paso 3. Información del proveedor de servicio de la exportación Paso 4. Configure el ANUNCIO FS Paso 5. Configure las reglas de la demanda Paso 6. Configure las políticas de autenticación Paso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO) Paso 8. Meta datos FS del ANUNCIO de la importación Paso 9. Configure a los grupos Paso 10. Agregue los atributos Paso 11 Configuraciones avanzadas Paso 12. Seleccione a los miembros del grupo del patrocinador Verifique Troubleshooting Troubleshooting ADFS Troubleshooting ISE Depuraciones del flujo correcto El usuario tiene calidad de miembro incorrecta Referencias Introducción Este documento describe cómo configurar un servidor de SAML de los servicios de la federación del Microsoft Active Directory (ANUNCIO) (FS) con el Cisco Identity Services Engine (ISE) 2.3 para proporcionar a la sola muestra en las capacidades (SSO) de patrocinar a los usuarios. Prerequisites Requisitos
25
Embed
Configure el portal del patrocinador ISE 2.3 con el ... · Configure el portal del patrocinador ISE 2.3 con el ANUNCIO FS SAML SSO ms Contenido Introducción Prerequisites Requisitos
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Configure el portal del patrocinador ISE 2.3 conel ANUNCIO FS SAML SSO ms Contenido
IntroducciónPrerequisitesRequisitosComponentes usadosAntecedentesInformación general ADFSConfigurarRequisitos previos del paso 0.Paso 1. Cree el nuevo proveedor de la identidad de SAMLPaso 2. Configuraciones del portal del patrocinadorPaso 3. Información del proveedor de servicio de la exportaciónPaso 4. Configure el ANUNCIO FSPaso 5. Configure las reglas de la demandaPaso 6. Configure las políticas de autenticaciónPaso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)Paso 8. Meta datos FS del ANUNCIO de la importaciónPaso 9. Configure a los gruposPaso 10. Agregue los atributosPaso 11 Configuraciones avanzadasPaso 12. Seleccione a los miembros del grupo del patrocinadorVerifiqueTroubleshootingTroubleshooting ADFSTroubleshooting ISEDepuraciones del flujo correctoEl usuario tiene calidad de miembro incorrectaReferencias
Introducción
Este documento describe cómo configurar un servidor de SAML de los servicios de la federacióndel Microsoft Active Directory (ANUNCIO) (FS) con el Cisco Identity Services Engine (ISE) 2.3para proporcionar a la sola muestra en las capacidades (SSO) de patrocinar a los usuarios.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Cisco Identity Services Engine 2.31.Conocimiento básico sobre las implementaciones de SAML SSO2.ANUNCIO FS de Microsoft 3.
Componentes usados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Identity Services Engine 2.3.0.2981.Servidor Windows 2012 R22.3.0 ADFS3.
Antecedentes
Información general ADFS
EstructuraADFS Notas
ADFS 1.0 Release/versión con Windows 2003 R2. Incorporado al OS.ADFS 1.1 Release/versión con R2 de Windows 2008 y 2008. Incorporado al OS.ADFS 2.0 Release/versión después de Windows 2008/2008 R2.2.1 ADFS Windows 20123.0 ADFS Windows 2012 R2ADFS 4.0 Windows 2016
Note: Solamente ADFS 2.0 y sobre la ayuda SAML 2.0
Concepto Nombre deMicrosoft
Nombre de SAML2.0
Documento XML enviado del partido de lafederación que está manejando a los usuarios alpartido de la federación que está manejandouna aplicación durante una petición del accesoque describe a un usuario
Token deseguridad Aserción
Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones
Demandas Declaraciones dela aserción
Partner en una federación que crea los tokenesde seguridad para los usuarios
Proveedor de lasdemandas
Proveedor de laidentidad
Partner en una federación que consume lostokenes de seguridad para proporcionar alacceso a las aplicaciones
Partido deconfianza
Proveedor deservicios
Configurar
Requisitos previos del paso 0.
Instale a ms ADFS en su Servidor Windows. Este documento asume que nombre DNS ADFSpuede ser resuelto y es accesible de ISE.
Paso 1. Cree el nuevo proveedor de la identidad de SAML
En ISE navegue a la administración > a la Administración de la identidad > los proveedores lasfuentes de la identidad > identificación externas de SAML y haga clic el botón Add.
Ingrese el nombre del proveedor identificación y el tecleo somete para salvarlo. Nombre delproveedor identificación significativo solamente para ISE.
Paso 2. Configuraciones del portal del patrocinador
Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos portales del patrocinador y seleccione su portal del patrocinador.
En este ejemplo “portal del patrocinador (valor por defecto)” fue utilizado.
Amplíe el panel de las “configuraciones porta” y seleccione su nuevo SAML IdP en la secuenciade la fuente de la identidad
Confirme que el flujo cambió a la clave SSO - > AUP - > hogar del patrocinador y hace clic lasalvaguardia para salvar la configuración.
Paso 3. Información del proveedor de servicio de la exportación
Navegue a la administración > a la Administración de la identidad > los proveedores > [YourSAML Provider] las fuentes de la identidad > identificación externas de SAML
Cambie para tabular la “información del proveedor de servicio.” y botón de la exportación deltecleo.
Descargue archivo zip y sálvelo. En él usted encontrará 2 ficheros. Usted necesitaría el fichero delxml llamado como su portal del patrocinador
Paso 4. Configure el ANUNCIO FS
1. Vaya al Servidor Windows y abra la herramienta de administración FS del ANUNCIO
2. Abra las relaciones de confianza > las confianzas de confianza del partido y el tecleo “agrega laconfianza de confianza del partido”. El Asisitente se abrirá.
3. En la opción” selecta los “de un fichero de la “del paso selecto fuente de datos datos de laimportación” y seleccionan su fichero del xml que fue descargado en el paso 3 de estedocumento.
4. En el paso de varios factores selecto “no quiero configurar la autenticación de varios factoresen este tiempo”
5. “Permiso selecto todos los usuarios de tener acceso” en el siguiente paso
6. En “listo puntos finales”” del control a la confianza de las “del anuncio las tabulaciones de la“firma” y
7. Selecto “abra las reglas de la demanda del corregir” en el paso pasado y cierre al Asisitente
Paso 5. Configure las reglas de la demanda
Note: Para probando nosotros enviaremos el UPN como NameID. En la producción ustedpuede ser que envíe la identificación de la dirección de correo electrónico o del empleadodel usuario.
Cree la regla de la demanda:
Y las asignaciones:
Paso 6. Configure las políticas de autenticación
La autenticación primaria en los usuarios de autenticidad de la ayuda incorporada FS delANUNCIO R2 del Servidor Windows 2012 contra el Active Directory usando los métodossiguientes:
Método deautenticación Clase URI del contexto de la autenticación
Nombre de usuario ycontraseña urn:oasis:names:tc:SAML:2.0:ac:classes:Password
ISE está utilizando actualmente solamente el [Password Protected Transport] tan para poner aldía las configuraciones globales de la autenticación primaria a la autenticación de formularios.
Note: Petición CSCvb32728 de la mejora de agregar la ayuda para los métodos deautenticación adicionales con SAML.
Bajo “políticas de autenticación” seleccione la “autenticación de formularios” para la extranet y elIntranet.
Paso 7. Fin de comunicación iniciada portal del patrocinador sola (SLO)
Para que esto trabaje nos necesitamos fijar el algoritmo de troceo seguro al SHA1 en vez delSHA-256 del valor por defecto. Esto se fija en las propiedades de confianza de confianza delpartido ISE bajo avanzado.
Relaciones de confianza abiertas > confianzas de confianza del partido, clic derecho en suconfianza de confianza del partido y propiedades abiertas. En la ficha Avanzadas seleccione elSHA-1.
Paso 8. Meta datos FS del ANUNCIO de la importación
Meta datos FS del ANUNCIO de la transferencia directa de https://<ADFS-SPN>/federationmetadata/2007-06/federationmetadata.xml
Y sálvelo en alguna parte.
En ISE en la configuración de SAML IdP cambie “a los Config del proveedor de la identidad.” latabulación, botón del fichero del tecleo “eligió” y selecciona el fichero con los meta datos FS delANUNCIO, confirma que cargó correctamente.
Paso 9. Configure a los grupos
Cambie a los “grupos” la tabulación en ISE, especifique el “atributo de la membresía del grupo” yagregue a los grupos
El “nombre en la aserción” es un nombre del grupo en el ANUNCIO y el “nombre en ISE” es cómose representa en ISE sí mismo.
El “atributo de la membresía del grupo” se puede tomar del ANUNCIO FS de las descripciones dela demanda.
Paso 10. Agregue los atributos
Cambie a los “atributos” la tabulación y agregue los atributos. El “nombre en la aserción” se puedetomar de las “descripciones de la demanda”. Por lo menos el correo electrónico debe seragregado.
Después de agregar:
Paso 11 Configuraciones avanzadas
En “avanzó el atributo y el control selectos “petición del correo electrónico de la tabulación de lasconfiguraciones” de la fin de comunicación de la muestra”
Salvaguardia del tecleo para salvar la configuración de SAML IdP.
Paso 12. Seleccione a los miembros del grupo del patrocinador
Navegue a los centros de trabajo > al acceso de invitado > a los portales y a los componentes > alos grupos del patrocinador, seleccione a un grupo y configure los grupos FS del ANUNCIO bajocriterios de concordancia
Verifique
Ahora si usted abre el portal del patrocinador (de la prueba URL, por ejemplo) le reorientarán alANUNCIO FS para ingresar y entonces de nuevo al portal del patrocinador.
1. Lance el portal del patrocinador usando su FQDN en el link de la “prueba URL”. ISE debereorientarle a ADFS ingresa la página
2. Ingrese las credenciales del Active Directory y el golpe ingresa. La pantalla de inicio de IdPreorientará al usuario al AUP inicial en el portal del patrocinador ISE.
3. A este punto el usuario del patrocinador debe tener acceso total al portal.
Troubleshooting
Troubleshooting ADFS
Cómo activar el registro de debug para la federación del Active Directory mantiene 2.0 (elANUNCIO FS 2.0)
●
Diagnósticos en el ANUNCIO FS 2.0 – Blog Demanda-basado de la identidad●
(2014-02-05) ¡Activación del seguimiento de debug en la búsqueda ADFS v2.1 y v3.0 “Jorgepara el conocimiento!
●
Resolviendo problemas a Fedpassive pida los errores con el ANUNCIO FS 2.0●
El asistente de configuración ADFS falla con el error “que los Certificados con la clave privadaCNG no son” – centro de servicio primero utilizado
●
Troubleshooting ISE
El registro llano de los componentes siguientes se debe cambiar en ISE > la administración >sistema > configuración del registro del registro > de la depuración
Nombre del componente Registro llanoguestaccess DEPURACIÓNporta-red-acción DEPURACIÓNsaml RASTRO