概要
このドキュメントでは、Cisco Unified Communications Manager(CUCM)の Security Assertion Markup Language(SAML)シングル サインオン(SSO)の設定と検証の方法を説明します。
前提条件
要件
Network Time Protocol(NTP)の設定
SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、ID プロバイダー(IdP)と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
CUCM と IdP の間の時間が不一致だと、次のエラーが表示されます。「Invalid SAML response」 このエラーは、CUCM と IdP サーバの間で時間が同期していないために発生した可能性があります。SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
クロックの同期については、『Cisco Unified Communications オペレーティング システム管理ガイド』の「NTP 設定」の項を参照してください。
ドメイン ネーム サーバ(DNS)の設定
Unified Communications アプリケーションは、完全修飾ドメイン名を IP アドレスに解決するために DNS を使用することができます。サービス プロバイダーと IdP は、ブラウザにより確定できる必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Active Directory フェデレーション サービス(AD FS)バージョン 2.0(IdP として)
- CUCM バージョン 10.5(サービス プロバイダーとして)
- Microsoft Internet Explorer 10
注意:このドキュメントは、新たにインストールした CUCM に基づいています。すでに実稼働中のサーバで SAML SSO を設定する場合、一部の手順をスキップする必要があるかもしれません。実稼働中のサーバで手順を実行する場合、サービスへの影響も理解しなければなりません。この手順は営業時間外に行うことを推奨します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
SAML は XML ベースのオープン スタンダードのデータ形式です。これにより、いずれかのアプリケーションにサインインした管理者が、定義済みの一連のシスコ コラボレーション アプリケーションにシームレスにアクセスできるようになります。SAML SSO は、IdP とサービス プロバイダーの間のプロビジョニング プロセスの一部として、メタデータを交換することで信頼の輪(CoT)を確立します。サービス プロバイダーは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションへのアクセスを提供します。
注:サービス プロバイダーが認証にかかわることはありません。SAML バージョン 2.0 では、サービス プロバイダーではなく、IdP に認証を委任します。クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。さらに、クライアントがサービス プロバイダーにアサーションを提示します。CoT が確立されているため、サービス プロバイダーはこのアサーションを信頼し、クライアントにアクセスを付与します。
設定
ネットワーク図
ディレクトリ セットアップ
- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP System] を選択します。
- [Add New] をクリックします。
- Lightweight Directory Access Protocol(LDAP)サーバのタイプおよび属性を設定します。
- [Synchronizing from LDAP Server] を選択します。
- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP Directory] を選択します。
- 次の項目を設定します。
- LDAP ディレクトリ アカウント設定
- 同期対象のユーザ属性
- 同期スケジュール
- LDAP サーバ ホスト名または IP アドレスおよびポート番号
- LDAP ディレクトリと通信するために Secure Socket Layer(SSL)を使用しないようにするには、[Use SSL] をオフにします。
ヒント:LDAP over SSL を設定するには、LDAP ディレクトリ証明書を CUCM にアップロードします。特定の LDAP 製品のアカウント同期メカニズムおよび LDAP 同期の一般的なベスト プラクティスの詳細については、Cisco Unified Communications Manager SRND の LDAP ディレクトリの情報を参照してください。
- [Save] をクリックし、[Perform Full Sync Now] をクリックします。
注:[Save] をクリックする前に、Cisco DirSync サービスが Serviceability Web ページで有効になっていることを確認します。
- [User Management] > [End User] に移動して、CUCM 管理役割を与えるユーザを選択します(この例では、ユーザ SSO を選択します)。
- [Permissions Information] セクションまでスクロールして、[Add to Access Control Group] をクリックします。[Standard CCM Super Users] を選択し、[Add Selected]、[Save] の順にクリックします。
SAML SSO の有効化
- CUCM 管理ユーザ インターフェイスにログインします。
- [System] > [SAML Single Sign-On] を選択します。[SAML Single Sign-On Configuration] ウィンドウが開きます。
- クラスタで SAML SSO を有効にするには、[Enable SAML SSO] をクリックします。
- [Reset Warning] ウィンドウで [Continue] をクリックします。
- SSO画面で[Browse]をクリックし、IdP(FederationMetadata.xml)メタデータXMLファイルを[Download IdP Metadata]ステップでインポートします。
- メタデータ ファイルがアップロードされたら、[Import IdP Metadata] をクリックして IdP 情報を CUCM にインポートします。インポートが成功したことを確認し、[Next] をクリックして続行します。
- [Download Trust Metadata File](オプション)をクリックして CUCM および CUCM IM とプレゼンス メタデータをローカル フォルダに保存し、[Add CUCM as Relying Party Trust] に進みます。AD FS 設定が完了したら、手順 8 に進みます。
- 管理ユーザとして SSO を選択し、 Run SSO Test をクリックします。
- 証明書の警告を無視して、さらに続行します。資格情報の入力を求められたら、ユーザーSSOのユーザー名とパスワードを入力して、[OK]をクリックします。
注:この設定例は、CUCM と AD FS 自己署名証明書に基づいています。認証局(CA)の証明書を使用する場合、適切な証明書を AD FS と CUCM の両方にインストールする必要があります。詳細については、「証明書の管理と検証」を参照してください。
- すべての手順が完了すると、「SSO Test Succeeded!」 というメッセージが表示されます。[Close] 、[Finish] の順にクリックして続行します。以上で、AD FS を使用して CUCM で SSO を有効にするための設定作業が完了しました。
- CUCM IM とプレゼンスは CUCM サブスクライバのように動作するので、[Add CUCM IM and Presence as Relying Party Trust] を設定して [Run SSO Test] を実行し、SAML SSO を CUCM SAML SSO ページ自体から有効にする必要があります。
注:IdP ですべてのノードのメタデータ XML ファイルを設定し、1 つのノードで SSO の動作を有効にすると、SAML SSO はクラスタのすべてのノードで有効になります。
AD FS は、信頼できる証明書利用者として、クラスタの CUCM および CUCM IM とプレゼンスのすべてのノードに設定する必要があります。
ヒント:Cisco Jabber Clients で SAML SSO を使用する場合は、SAML SSO に Cisco Unity Connection および CUCM IM とプレゼンスを設定する必要があります。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
- Web ブラウザを開き、CUCM の FQDN を入力します。
- [Cisco Unified Communications Manager] をクリックします。
- webapp(CM Administration/Cisco Unified Serviceability/Cisco Unified Reporting)を選択し、[GO] を押すと、AD FS からクレデンシャルの入力が求められます。ユーザ SSO の資格情報を入力すると、選択した webapp にログインします([CM Administration] ページ、[Unified Serviceability] ページ、[Cisco Unified Reporting])。
注:SAML SSO では次のページにアクセスはできません。
- Prime Licensing Manager
- OS Administration
- Disaster Recovery system
トラブルシュート
SAML を有効にできず、ログインもログインできない場合、シングル サインオン(SSO)をバイパスする Recovery URL と呼ばれる、[Installed Applications] の新しいオプションを使用します。このオプションを使用すると、インストール中に作成したクレデンシャルまたはローカルで作成された CUCM 管理ユーザでログインすることができます。
この他のトラブルシューティングについては、「コラボレーション製品 10.x の SAML SSO のトラブルシューティング」を参照してください。