Voz e comunicações unificadas : Cisco Unified Communications Manager Version 10.5

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

20 Julho 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (23 Abril 2015) | Feedback

Introdução

Este documento descreve como configurar e para verificar o linguagem de marcação da afirmação da Segurança (SAML) escolha Sinal-em (SSO) para o gerente das comunicações unificadas de Cisco (CUCM).

Contribuído por A.M.Mahesh Babu, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Instalação do Network Time Protocol (NTP)

Para SAML SSO a trabalhar, você deve instalar o NTP correto setup e certificar-se de que a diferença de horário entre o fornecedor da identidade (IdP) e os aplicativos de comunicações unificadas não excedem três segundos.

Se há uma má combinação do tempo entre CUCM e IdP, você recebe este erro: “Resposta inválida de SAML.” Este erro pôde ser causado quando o tempo é fora da sincronização entre o CUCM e os server de IdP. Verifique a configuração de NTP em ambos os server. Se CUCM é antes de IdP pelos minutos 10 ou pelo segundo atrás de IdP, pode causar problemas. A diferença de horário mínima é dez minutos.

Para obter informações sobre de como sincronizar pulsos de disparo, refira a seção dos ajustes NTP no Guia de Administração do sistema operacional das comunicações unificadas de Cisco.

Domain Name Server (DNS) Setup

Os aplicativos de comunicações unificadas podem usar o DNS a fim resolver nomes de domínio totalmente qualificados (FQDNs) aos endereços IP de Um ou Mais Servidores Cisco ICM NT. Os provedores de serviços e o IdP devem ser solucionáveis pelo navegador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 2.0 do serviço da federação do diretório ativo (AD FS) como IdP
  • Versão 10.5 CUCM como o provedor de serviços
  • Microsoft Internet explorer 10

Cuidado: Este documento é baseado em um CUCM novo-instalado. Se você configura SAML SSO em um server da já-em-produção, você pôde ter que saltar em conformidade algumas das etapas. Você deve igualmente compreender o impacto do serviço se você executa as etapas no servidor de produção. Recomenda-se executar este procedimento durante horas do NON-negócio.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

SAML é um com base em XML, o formato de dados do padrão aberto que permite administradores de alcançar continuamente um grupo definido de aplicativos da colaboração do Cisco depois que assinam em um daqueles aplicativos. SAML SSO estabelece um círculo da confiança (berço) quando troca metadata como parte do processo de provisionamento entre o IdP e o provedor de serviços. O provedor de serviços confia a informação sobre o usuário do IdP para fornecer o acesso aos vários serviços ou aplicativos.

Nota: Os provedores de serviços são envolvidos já não na autenticação. A versão 2.0 de SAML delega a autenticação longe dos provedores de serviços e ao IdPs. O cliente autentica contra o IdP, e o IdP concede uma afirmação ao cliente. O cliente apresenta a afirmação ao provedor de serviços. Desde que há um berço estabelecido, o provedor de serviços confia a afirmação e concede o acesso ao cliente.

Configurar

Diagrama de Rede

Configurando diretórios

  1. Escolha a administração CM > o sistema > o sistema unificados Cisco LDAP > LDAP.



  2. O clique adiciona novo.

  3. Configurar o tipo de servidor e o atributo do Lightweight Directory Access Protocol (LDAP).

  4. Escolha permitem a sincronização do servidor ldap.



  5. Escolha a administração unificada Cisco > o sistema > o LDAP > o diretório LDAP CM.

  6. Configurar estes artigos:

    • Ajustes da conta do diretório LDAP
    • Atributos de usuário a ser sincronizados
    • Programação da sincronização
    • Hostname do servidor ldap ou endereço IP de Um ou Mais Servidores Cisco ICM NT e número de porta




  7. Desmarcar o uso SSL se você não quer usar o Secure Socket Layer (SSL) a fim se comunicar com o diretório LDAP.

    Dica: Se você quer configurar o LDAP sobre o SSL, transfira arquivos pela rede o certificado do diretório LDAP em CUCM. Veja o índice do diretório LDAP no gerente SRND das comunicações unificadas de Cisco para obter informações sobre do mecanismo de sincronização da conta para o Produtos específico LDAP e melhores prática gerais para a sincronização LDAP.



  8. Clique a salvaguarda e execute então a sincronização completa agora.



    Nota: Certifique-se que serviço de Cisco DirSync está permitido no página da web da utilidade antes que você clique a salvaguarda.



  9. Navegue ao gerenciamento de usuário > ao utilizador final, e selecione um usuário a quem você quer dar ao CUCM o papel administrativo (este exemplo seleciona o usuário SSO).



  10. Enrole para baixo a informação das permissões e o clique adiciona ao grupo do controle de acesso. Os superusuários seletos do padrão CCM, clique adicionam selecionado, e clicam a salvaguarda.

Permita SAML SSO

  1. Log na interface do utilizador da administração CUCM.

  2. Escolha o sistema > o SAML únicos Sinal-em e SAML único Sinal-na janela de configuração abre.



  3. A fim permitir SAML SSO no conjunto, o clique permite SAML SSO.



  4. Na janela de aviso da restauração, o clique continua.



  5. Na tela SSO, o clique consulta a fim importar o arquivo dos metadata XML de IdP (FederationMetadata.xml) com a etapa dos Metadata de DownloadIdP.



  6. Uma vez que o arquivo dos metadata é transferido arquivos pela rede, clique Metadata de IdP da importação a fim importar a informação de IdP a CUCM. Confirme que a importação era bem sucedida e clique-o em seguida a fim continuar.





  7. Clique Metadata da confiança da transferência arquivam (opcional) a fim salvar o CUCM e o CUCM IM e metadata da presença a uma pasta local e ir adicionar CUCM como a confiança de confiança do partido. Uma vez que a configuração AD FS é terminada, continue a etapa 8.



  8. Selecione o SSO como o usuário administrativo e clique o teste da corrida SSO.



  9. Ignore avisos do certificado e continue mais. Quando você é alertado para credenciais, incorpore o nome de usuário e senha para o usuário SSO e clique a APROVAÇÃO.



    Nota: Este exemplo de configuração é baseado em certificados auto-assinados CUCM e AD FS. Caso que você usa Certificados do Certificate Authority (CA), os Certificados apropriados devem ser instalados em AD FS e em CUCM. Consulte o gerenciamento certificado e a validação para mais informação.



  10. Afinal as etapas estão completas, “o teste SSO sucedido!” exibições de mensagem. Fim e revestimento do clique a continuar. Você agora terminou com sucesso as tarefas de configuração a fim permitir o SSO em CUCM com AD FS.



  11. Desde que CUCM IM e os atos da presença como o subscritor CUCM, você devem configurar adicionar CUCM IM e presença enquanto confiança de confiança do partido e execute então o teste da corrida SSO a fim permitir SAML SSO da página CUCM SAML SSO próprio.

    Nota: Se você configura arquivos dos metadata XML de todos os Nós em IdP e você permite a operação SSO em um nó, a seguir SAML SSO está permitido em todos os Nós no conjunto.



    O AD FS deve ser configurado para todos os Nós de CUCM e de CUCM IM e presença em um conjunto como a retransmissão do partido.

    Dica: Você deve igualmente configurar o Cisco Unity Connection e o CUCM IM e a presença para SAML SSO se você quer usar a experiência de SAML SSO para clientes do Jabber de Cisco.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Abra um navegador da Web e incorpore o FQDN para CUCM.

  2. Clique o gerente das comunicações unificadas de Cisco.

  3. Selecione o webapp (a administração CM/relatório unificado Cisco unificado do Serviceability/) e a imprensa vai, a seguir você deve ser alertado para credenciais pelo AD FS. Uma vez que você incorpora as credenciais do usuário SSO, você está registrado com sucesso no webapp selecionado (a administração pag CM, página unificada da utilidade, Cisco unificou o relatório).



    Nota: SAML SSO não permite o acesso a estas páginas:
               - Gerente licenciando principal
               - A administração do OS
               - Sistema da Recuperação de desastres

Troubleshooting

Se você não pode permitir SAML e você não pode entrar, use a opção nova sob os aplicativos instalados chamados Recuperação URL para contornear único Sinal-em (SSO), que pode ser usado a fim entrar com as credenciais criadas durante a instalação ou usuários administrativos local-criados CUCM.

Para um Troubleshooting mais adicional, refira a pesquisa de defeitos de SAML SSO para o Produtos 10.x da Colaboração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118770