この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
定義された一連の Cisco アプリケーションのうちの 1 つにサインインした後は、SAML シングル サインオン(SSO)を使用して、それらすべてのアプリケーションにアクセスできます。SAML では、信頼できるビジネス パートナー間で、セキュリティに関連した情報交換を記述します。これは、ユーザを認証するために、サービス プロバイダー(Cisco Unified Communications Manager など)が使用する認証プロトコルです。SAML では、ID プロバイダー(IdP)とサービス プロバイダーとの間でセキュリティ認証情報が交換されます。この機能は、さまざまなアプリケーションにわたり、共通の資格情報と関連情報を使用するための安全な機構を提供します。
SAML SSO は、IdP とサービス プロバイダーの間でのプロビジョニング プロセスの一部として、メタデータと証明書を交換することで、信頼の輪(CoT)を確立します。サービス プロバイダーは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションへのアクセスを許可します。
クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。クライアントはサービス プロバイダーにアサーションを提示します。CoT が確立されているため、サービス プロバイダーはアサーションを信頼し、クライアントにアクセス権を与えます。
このリリースの Cisco Unified Communications Manager には、iOS での Cisco Jabber の SSO ログイン動作を ID プロバイダー(IdP)によって制御するためのオプトイン設定オプションが導入されています。このオプションを使用すると、制御されたモバイル デバイス管理(MDM)環境内で、Cisco Jabber が IdP による証明書ベースの認証を実行できるようになります。
オプトイン制御を設定するには、Cisco Unified Communications Manager で [iOS の SSO ログイン動作(SSO Login Behavior for iOS)] エンタープライズ パラメータを使用します。
(注) | このパラメータのデフォルト値を変更する前に、http://www.cisco.com/c/en/us/support/unified-communications/jabber-windows/tsd-products-support-series-home.html で Cisco Jabber 機能のサポートおよびドキュメントを参照して、SSO ログイン動作と証明書ベースの認証に対する iOS 上での Cisco Jabber のサポートを確認してください。 |
この機能を有効にするには、iOS Cisco Jabber の SSO ログインの動作設定の手順を参照してください。
必須属性の "uid" が IdP で設定されていること。この属性は、Cisco Unified Communications Manager の LDAP と同期されたユーザ ID に使用されている属性と一致している必要があります。
(注) | Cisco Unified Communications Manager では現在のところ、ユーザ ID 設定の LDAP 属性として sAMAccountName オプションのみをサポートしています。 必須属性マッピングの設定の詳細については、IdP の製品マニュアルを参照してください。 |
SAML SSO に参加するすべてのエンティティのクロックを同期させる必要があります。クロックの同期の詳細については、『System Configuration Guide for Cisco Unified Communications Manager』(http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html)の「NTP Settings」を参照してください。
(注) | 同期エージェントの確認テストに合格するまで、SAML SSO を有効にすることができません。 |
ユーザ データが Unified Communications Manager データベースに同期されていることを確認します。詳細については、http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.htmlで、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
Cisco Unified CM IM and Presence サービスと Cisco Sync Agent サービスのデータ同期が完了していることを確認します。このテストのステータスをチェックするには、" " テストは、データ同期が正常に完了した場合にテスト合格の結果が示されています。
を選択します。[Sync Agent が関連データ(デバイス、ユーザ、ライセンス情報など)を使用して同期したことを確認する(Verify Sync Agent has sync'ed over relevant data (e.g. devices, users, licensing information)]Cisco Unified CM の管理へのアクセスを有効にするには、少なくとも 1 人の LDAP 同期ユーザが Standard CCM Super Users グループに追加されていることを確認します。詳細については、http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.htmlで、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
IdP とサーバ間の信頼関係を設定するには、IdP から信頼メタデータ ファイルを取得し、それをすべてのサーバにインポートする必要があります。
次のタスクに従って、アップグレード後に Cisco WebDialer 上で SAML シングル サインオンを再度アクティブ化します。SAML シングル サインオンを有効化する前に Cisco WebDialer をアクティブ化すると、デフォルトで、Cisco WebDialer 上で SAML シングル サインオンが有効になりません。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco WebDialer サービスの非アクティブ化 | |
ステップ 2 | SAML シングル サインオンの無効化 | |
ステップ 3 | Cisco WebDialer サービスのアクティブ化 | |
ステップ 4 | SAML シングル サインオンの有効化 |
Cisco WebDialer Web サービスがすでにアクティブになっている場合は、それを非アクティブにします。
SAML シングル サインオンがすでに有効になっている場合は、それを無効にします。
ステップ 1 | Cisco Unified Serviceability から、 を選択します。 |
ステップ 2 | [サーバ(Servers)] ドロップダウン リストから、リストされている Cisco Unified Communications Manager サーバを選択します。 |
ステップ 3 | [CTI サービス(CTI Services)] から、[Cisco WebDialer Web サービス(Cisco WebDialer Web Service)] チェック ボックスをオンにします。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | Cisco Unified Serviceability から、 を選択して、CTI Manager サービスがアクティブでスタート モードになっていることを確認します。 WebDialer を正しく機能させるには、CTI Manager サービスをアクティブにして、スタート モードにする必要があります。 |
トラブルシューティングのために、SAML シングル サインオンをバイパスして、Cisco Unified Communications Manager Administration インターフェイスと Cisco Unified CM IM and Presence サービス インターフェイスにログインする場合に、リカバリ URL を使用します。たとえば、サーバのドメインまたはホスト名を変更する前に、リカバリ URL を有効にします。リカバリ URL にログインすると、サーバ メタデータの更新が容易になります。
ドメインまたはホスト名の変更後は、この手順を実行するまで、SAML シングル サインオンが機能しません。
(注) | この手順を実行しても [SAML シングル サインオン(SAML Single Sign-On)] ウィンドウにログインできない場合は、ブラウザ キャッシュを消去して、再度ログインしてみてください。 |
リカバリ URL が無効な場合、[シングル サインオン(Single Sign-On)] リンクをバイパスするためのリカバリ URL が表示されません。リカバリ URL を有効にするには、CLI にログインし、utils sso recovery-url enable コマンドを実行します。
ステップ 1 | Web ブラウザのアドレス バーに次の URL を入力します。
https://<Unified CM-server-name> ここで、<Unified CM-server-name> は、サーバのホスト名または IP アドレスです。 |
ステップ 2 | [シングル サインオン(SSO)をバイパスするためのリカバリ URL(Recovery URL to bypass Single Sign-On (SSO))] をクリックします。 |
ステップ 3 | 管理者ロールを持つアプリケーション ユーザのクレデンシャルを入力し、[ログイン(Login)] をクリックします。 |
ステップ 4 | Cisco Unified CM の管理で、 を選択します。 |
ステップ 5 | [メタデータのエクスポート(Export Metadata)] をクリックして、サーバ メタデータをダウンロードします。 |
ステップ 6 | サーバ メタデータ ファイルを IdP にアップロードします。 |
ステップ 7 | [テストを実行(Run Test)] をクリックします。 |
ステップ 8 | 有効なユーザ ID とパスワードを入力します。 |
ステップ 9 | 成功メッセージが表示されたら、ブラウザ ウィンドウを閉じます。 |
ID プロバイダーで複数の UC アプリケーション用の単一接続をプロビジョニングするには、ID プロバイダーとサービス プロバイダー間の信頼の輪を設定しながら、サーバ メタデータを手動でプロビジョニングする必要があります。信頼の輪の設定方法については、IdP 製品のマニュアルを参照してください。
一般的な URL 構文は次のとおりです。
https://<SP FQDN>:8443/ssosp/saml/SSO/alias/<SP FQDN>
例: サンプル ACS URL:<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cucm.ucsso.cisco.com:8443/ssosp/saml/SSO/alias/cucm.ucsso.cisco.com" index="0"/> |