Unified Communications Manager バージョン 10.5 SAML SSO の設定例
内容
概要
このドキュメントでは、Cisco Unified Communications Manager(CUCM)の Security Assertion Markup Language(SAML)シングル サインオン(SSO)の設定と検証の方法を説明します。
前提条件
要件
Network Time Protocol(NTP)の設定
SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、ID プロバイダー(IdP)と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
CUCM と IdP の間の時間が不一致だと、次のエラーが表示されます。「Invalid SAML response」 このエラーは、CUCM と IdP サーバの間で時間が同期していないために発生した可能性があります。SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
クロックの同期については、『Cisco Unified Communications オペレーティング システム管理ガイド』の「NTP 設定」の項を参照してください。
ドメイン ネーム サーバ(DNS)の設定
Unified Communications アプリケーションは、完全修飾ドメイン名を IP アドレスに解決するために DNS を使用することができます。サービス プロバイダーと IdP は、ブラウザにより確定できる必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Active Directory フェデレーション サービス(AD FS)バージョン 2.0(IdP として)
- CUCM バージョン 10.5(サービス プロバイダーとして)
- Microsoft Internet Explorer 10
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
SAML は XML ベースのオープン スタンダードのデータ形式です。これにより、いずれかのアプリケーションにサインインした管理者が、定義済みの一連のシスコ コラボレーション アプリケーションにシームレスにアクセスできるようになります。SAML SSO は、IdP とサービス プロバイダーの間のプロビジョニング プロセスの一部として、メタデータを交換することで信頼の輪(CoT)を確立します。サービス プロバイダーは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションへのアクセスを提供します。
設定
ネットワーク図
ディレクトリ セットアップ
- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP System] を選択します。
- [Add New] をクリックします。
- Lightweight Directory Access Protocol(LDAP)サーバのタイプおよび属性を設定します。
- [Synchronizing from LDAP Server] を選択します。
- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP Directory] を選択します。
- 次の項目を設定します。
- LDAP ディレクトリ アカウント設定
- 同期対象のユーザ属性
- 同期スケジュール
- LDAP サーバ ホスト名または IP アドレスおよびポート番号
- LDAP ディレクトリと通信するために Secure Socket Layer(SSL)を使用しないようにするには、[Use SSL] をオフにします。
- [Save] をクリックし、[Perform Full Sync Now] をクリックします。
- [User Management] > [End User] に移動して、CUCM 管理役割を与えるユーザを選択します(この例では、ユーザ SSO を選択します)。
- [Permissions Information] セクションまでスクロールして、[Add to Access Control Group] をクリックします。[Standard CCM Super Users] を選択し、[Add Selected]、[Save] の順にクリックします。
SAML SSO の有効化
- CUCM 管理ユーザ インターフェイスにログインします。
- [System] > [SAML Single Sign-On] を選択します。[SAML Single Sign-On Configuration] ウィンドウが開きます。
- クラスタで SAML SSO を有効にするには、[Enable SAML SSO] をクリックします。
- [Reset Warning] ウィンドウで [Continue] をクリックします。
- SSO画面で[Browse]をクリックし、IdP(FederationMetadata.xml)メタデータXMLファイルを[Download IdP Metadata]ステップでインポートします。
- メタデータ ファイルがアップロードされたら、[Import IdP Metadata] をクリックして IdP 情報を CUCM にインポートします。インポートが成功したことを確認し、[Next] をクリックして続行します。
- [Download Trust Metadata File](オプション)をクリックして CUCM および CUCM IM とプレゼンス メタデータをローカル フォルダに保存し、[Add CUCM as Relying Party Trust] に進みます。AD FS 設定が完了したら、手順 8 に進みます。
- 管理ユーザとして SSO を選択し、 Run SSO Test をクリックします。
- 証明書の警告を無視して、さらに続行します。資格情報の入力を求められたら、ユーザーSSOのユーザー名とパスワードを入力して、[OK]をクリックします。
- すべての手順が完了すると、「SSO Test Succeeded!」 というメッセージが表示されます。[Close] 、[Finish] の順にクリックして続行します。以上で、AD FS を使用して CUCM で SSO を有効にするための設定作業が完了しました。
- CUCM IM とプレゼンスは CUCM サブスクライバのように動作するので、[Add CUCM IM and Presence as Relying Party Trust] を設定して [Run SSO Test] を実行し、SAML SSO を CUCM SAML SSO ページ自体から有効にする必要があります。
AD FS は、信頼できる証明書利用者として、クラスタの CUCM および CUCM IM とプレゼンスのすべてのノードに設定する必要があります。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
- Web ブラウザを開き、CUCM の FQDN を入力します。
- [Cisco Unified Communications Manager] をクリックします。
- webapp(CM Administration/Cisco Unified Serviceability/Cisco Unified Reporting)を選択し、[GO] を押すと、AD FS からクレデンシャルの入力が求められます。ユーザ SSO の資格情報を入力すると、選択した webapp にログインします([CM Administration] ページ、[Unified Serviceability] ページ、[Cisco Unified Reporting])。
トラブルシュート
SAML を有効にできず、ログインもログインできない場合、シングル サインオン(SSO)をバイパスする Recovery URL と呼ばれる、[Installed Applications] の新しいオプションを使用します。このオプションを使用すると、インストール中に作成したクレデンシャルまたはローカルで作成された CUCM 管理ユーザでログインすることができます。
この他のトラブルシューティングについては、「コラボレーション製品 10.x の SAML SSO のトラブルシューティング」を参照してください。
フィードバック