Cisco Jabber が OAuth プロトコルを使用して、サービスに対するユーザのアクセス権を承認するように、Cisco Jabber を設定することができます。ユーザが OAuth 対応環境にサインインする場合、サインインのたびにクレデンシャルを入力する必要がありません。ただし、サーバが
OAuth に対応していない場合は、Jabber が適切に機能しないことがあります。
前提条件:
-
機能するように導入している場合は、OAuth 更新トークンをこれらのすべてのコンポーネントでオンにする必要があります。
-
Cisco Unified Communication Manager、Cisco Unified Communication Manager Instant Messaging and Presence、および Cisco Unity Connection
のバージョン 11.5(SU3) または 12.0
-
Cisco Expressway for Mobile and Remote Access バージョン X8.10 以降
OAuth の設定前に、使用する展開の種類を確認します。
-
ローカル認証を展開する場合、IdP サーバは不要です。Cisco Unified Communication Manager が認証を行います。
-
SSO を設定して、または設定せずに OAuth を設定することができます。SSO を使用している場合は、すべてのサービスで有効になっていることを確認します。If you have an SSO-enabled deployment, then
deploy an IdP server, and IdP server is responsible for authentication.
次のサービス上で OAuth を有効にすることができます。
デフォルトでは、OAuth はこれらのサーバ上で無効です。これらのサーバで OAuth を有効にするには、次の操作を実行します。
上記のサーバの OAuth の有効と無効を切り替えると、Jabber は設定の再取得間隔でこの切り替えを識別するため、ユーザは Jabber のサインアウトとサインインできます。
サインアウト中、Jabber はキャッシュ内に保存されているユーザ クレデンシャルを削除して通常のサインフローでサインインします。この場合、Jabber は最初にすべての設定情報を取得するため、ユーザは Jabber サービスにアクセスできます。
Cisco Unified Communication Manager で OAuth を設定するには、次の操作を実行します。
-
に移動します。
-
[O-Authアクセストークン期限タイマー(分)(O-Auth Access Token Expiry Timer(minutes))] を任意の値に設定します。
-
[O-Auth更新トークン期限タイマー(日)(O-Auth Refresh Token Expiry Timer(days))] を任意の値に設定します。
-
[保存(Save)] ボタンをクリックします。
Cisco Expressway で OAuth を設定するには、次の操作を実行します。
-
に移動します。
-
[O-Authローカル認証(O-Auth local authentication)] を [オン(On)] に設定します。
Cisco Unity で OAuth を設定するには、次の操作を実行します。
-
[AuthZサーバ(AuthZ Servers)] に移動して [新規追加(Add New)] を選択します。
-
すべてのフィールドに詳細を入力して、[証明書エラーを無視する(Ignore Certificate Errors)] を選択します。
-
[保存(Save)] をクリックします。
制限事項
Jabber が自動侵入防御をトリガーする
条件:
Jabber は次のいずれかを行います。
-
デスクトップの休止状態からの再開
-
ネットワーク接続の回復
-
数時間サインアウトした後、高速サインインの試行
動作:
-
いくつかの Jabber モジュールが、期限切れのアクセス トークンを使用して Expressway-E で認証を試行します。
-
Expressway-E がこれらの要求を(正しく)拒否します。
-
特定の Jabber クライアントからの要求が 6 つ以上ある場合、Expressway-E はその IP アドレスを(デフォルトで)10 分間ブロックします。
症状:
影響を受ける Jabber クライアントの IP アドレスは、HTTP プロキシの認証の失敗カテゴリにある Expressway-E のブロックされたアドレス リストに追加されます。このアドレスは、 で確認できます。.
回避策:
この問題を回避するには 2 つの方法があります。つまり、その特定のカテゴリの検出しきい値を上げるか、または影響を受けるクライアントに対して免除を作成できます。免除は実際の環境では実用的でない可能性があるため、ここではしきい値オプションについて説明します。
- に移動します。
-
[HTTPプロキシの認証の失敗(HTTP proxy authorization failure)] をクリックします。
-
[トリガーレベル(Trigger level)] を 5 ~ 10 に変更します。期限が切れたトークンを提示する Jabber モジュールを容認するには 10 で十分です。
-
設定を保存すると、すぐに有効になります。
-
影響を受けるクライアントのブロックを解除します。