Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer et vérifier l'authentification unique SAML (Security Assertion Markup Language) pour Cisco Unified Communications Manager (CUCM).
Pour que SAML SSO fonctionne, vous devez installer la configuration NTP correcte et vous assurer que la différence de temps entre le fournisseur d'identité (IdP) et les applications de communications unifiées ne dépasse pas trois secondes.
En cas d'incompatibilité temporelle entre CUCM et IdP, vous recevez cette erreur : « Réponse SAML non valide. » Cette erreur peut être provoquée lorsque le temps n'est pas synchronisé entre les serveurs CUCM et IdP. Pour que SAML SSO fonctionne, vous devez installer la configuration NTP correcte et vous assurer que la différence de temps entre l'IDP et les applications Unified Communications ne dépasse pas trois secondes.
Pour plus d'informations sur la synchronisation des horloges, reportez-vous à la section NTP Settings du Guide d'administration du système d'exploitation Cisco Unified Communications.
Les applications de communications unifiées peuvent utiliser DNS afin de résoudre les noms de domaine complets (FQDN) en adresses IP. Les fournisseurs de services et l'IDP doivent pouvoir être résolus par le navigateur.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Attention : Ce document est basé sur un CUCM nouvellement installé. Si vous configurez SAML SSO sur un serveur déjà en production, vous devrez peut-être ignorer certaines des étapes en conséquence. Vous devez également comprendre l'impact du service si vous effectuez les étapes sur le serveur de production. Il est recommandé d'effectuer cette procédure pendant les heures creuses.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
SAML est un format de données XML, ouvert et normalisé qui permet aux administrateurs d'accéder à un ensemble défini d'applications de collaboration Cisco en toute transparence après leur connexion à l'une de ces applications. SAML SSO crée un Cercle de Confiance (CoT) lorsqu'il échange des métadonnées dans le cadre du processus d'approvisionnement entre l'IdP et le fournisseur de services. Le fournisseur de services fait confiance aux informations utilisateur de l'IdP pour fournir l'accès aux différents services ou applications.
Note: Les fournisseurs de services ne sont plus impliqués dans l'authentification. La version 2.0 de SAML délègue l'authentification aux fournisseurs de services et aux IdPs. Le client s'authentifie auprès de l'IdP et l'IdP accorde une assertion au client. Le client présente l'assertion au fournisseur de services. Comme un CoT est établi, le fournisseur de services fait confiance à l'assertion et accorde l'accès au client.
Astuce : Si vous souhaitez configurer LDAP sur SSL, téléchargez le certificat d'annuaire LDAP sur CUCM. Reportez-vous au contenu de l'annuaire LDAP dans Cisco Unified Communications Manager SRND pour plus d'informations sur le mécanisme de synchronisation des comptes pour des produits LDAP spécifiques et les meilleures pratiques générales pour la synchronisation LDAP.
Note: Assurez-vous que Cisco DirSync est activé dans la page Web de maintenance avant de cliquer sur Enregistrer.
Note: Cet exemple de configuration est basé sur des certificats autosignés CUCM et AD FS. Si vous utilisez des certificats d'autorité de certification, les certificats appropriés doivent être installés sur AD FS et CUCM. Référez-vous à Gestion et validation des certificats pour plus d'informations.
Note: Si vous configurez les fichiers XML de métadonnées de tous les noeuds sur IdP et que vous activez l'opération SSO sur un noeud, SAML SSO est activé sur tous les noeuds du cluster.
Astuce : Vous devez également configurer Cisco Unity Connection et CUCM IM and Presence pour SAML SSO si vous voulez utiliser l'expérience SAML SSO pour les clients Cisco Jabber.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Note: SAML SSO n'active pas l'accès à ces pages :
- Gestionnaire de licences Prime
- Administration du système d'exploitation
- Système de reprise après sinistre
Si vous ne pouvez pas activer SAML et que vous ne pouvez pas vous connecter, utilisez la nouvelle option sous Applications installées appelée URL de récupération pour contourner l'authentification unique (SSO), qui peut être utilisée afin de se connecter avec les informations d'identification créées lors de l'installation ou des utilisateurs d'administration CUCM créés localement.
Pour plus de dépannage, référez-vous à Dépannage SAML SSO pour les produits de collaboration 10.x.