Voix et communications unifiées : Cisco Unified Communications Manager Version 10.5

Exemple de configuration de la version 10.5 SAML SSO d'Unified Communications Manager

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer et vérifier l'ouverture de session simple du Langage SAML (SAML) (SSO) pour Cisco Unified Communications Manager (CUCM).

Contribué par A.M.Mahesh Babu, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Installation de Protocole NTP (Network Time Protocol)

Pour SAML SSO à fonctionner, vous devez installer le NTP correct installé et s'assurer que la différence de temps entre le fournisseur d'identité (IDP) et les Applications de communications unifiées ne dépassent pas trois secondes.

S'il y a une non-concordance de temps entre CUCM et IDP, vous recevez cette erreur : « Réponse non valide SAML. » Cette erreur pourrait sont provoqué par quand le temps est hors de sync entre le CUCM et les serveurs d'IDP. Vérifiez la configuration de NTP sur les deux serveurs. Si CUCM est en avant d'IDP par 10 minutes ou une seconde derrière l'IDP, il peut poser des problèmes. La différence de temps minimum est de dix minutes.

Pour des informations sur la façon synchroniser des horloges, référez-vous à la section de configurations de NTP dans le guide d'administration de système d'exploitation de Cisco Unified Communications.

Domain Name Server (DN) installé

Les Applications de communications unifiées peuvent utiliser des DN afin de résoudre les noms de domaine complet (FQDN) aux adresses IP. Les fournisseurs de services et l'IDP doivent être résolubles par le navigateur.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 2.0 active de service de fédération de répertoire (AD FS) comme IDP
  • Version 10.5 CUCM comme fournisseur de services
  • Microsoft Internet Explorer 10

Attention : Ce document est basé sur un CUCM nouveau-installé. Si vous configurez SAML SSO sur un serveur de déjà-dans-production, vous pourriez devoir ignorer certaines des étapes en conséquence. Vous devez également comprendre l'incidence de service si vous exécutez les étapes sur le serveur de production. Il est recommandé pour exécuter cette procédure pendant des heures non ouvrables.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le SAML est un XML, le format des données de standard ouvert qui permet à des administrateurs d'accéder à un ensemble défini d'applications de Cisco Collaboration sans faille après qu'ils signent dans une de ces applications. SAML SSO établit un cercle de confiance (COT) quand il permute des métadonnées en tant qu'élément du processus d'approvisionnement entre l'IDP et le fournisseur de services. Le fournisseur de services fait confiance aux informations utilisateur de l'IDP pour permettre d'accéder aux divers services ou applications.

Remarque: Des fournisseurs de services ne sont plus impliqués dans l'authentification. La version 2.0 SAML délègue l'authentification à partir des fournisseurs de services et aux IDP. Le client authentifie contre l'IDP, et l'IDP accorde une assertion au client. Le client présente l'assertion au fournisseur de services. Puisqu'il y a un COT établi, le fournisseur de services fait confiance à l'assertion et accorde l'accès au client.

Configurez

Diagramme du réseau

Installation de répertoire

  1. Choisissez la gestion de Cisco Unified CM > le système > le système de LDAP > de LDAP.



  2. Cliquez sur Add nouveau.

  3. Configurez le type et l'attribut de serveur de Protocole LDAP (Lightweight Directory Access Protocol).

  4. Choisissez Enable synchroniser du serveur LDAP.



  5. Choisissez la gestion > le système > le LDAP > le répertoire LDAP de Cisco Unified CM.

  6. Configurez ces éléments :

    • Paramètres des comptes de répertoire LDAP
    • Attributs d'utilisateur à synchroniser
    • Programme de synchronisation
    • Adresse Internet de serveur LDAP ou adresse IP et numéro de port




  7. Décochez le SSL d'utilisation si vous ne voulez pas employer le Protocole SSL (Secure Socket Layer) afin de communiquer avec le répertoire LDAP.

    Conseil : Si vous voulez configurer le LDAP au-dessus du SSL, téléchargez le certificat de répertoire LDAP sur CUCM. Voyez le contenu de répertoire LDAP dans Cisco Unified Communications Manager SRND pour des informations sur le mécanisme de synchronisation de compte pour les Produits spécifiques de LDAP et les pratiques recommandées générales pour la synchronisation de LDAP.



  8. Cliquez sur la sauvegarde et puis exécutez le plein sync maintenant.



    Remarque: Assurez-vous que service de Cisco DirSync est activé dans la page Web d'utilité avant que vous cliquiez sur la sauvegarde.



  9. Naviguez vers la gestion des utilisateurs > l'utilisateur final, et sélectionnez un utilisateur à qui vous voulez donner au CUCM le rôle administratif (cet exemple sélectionne l'utilisateur SSO).



  10. Faites descendre l'écran aux informations d'autorisations et cliquez sur Add au groupe de contrôle d'accès. Sélectionnez les superutilisateurs de la norme CCM, cliquez sur Add sélectionné, et cliquez sur la sauvegarde.

Enable SAML SSO

  1. Connectez-vous dans l'interface utilisateur de gestion CUCM.

  2. Choisissez le système > l'ouverture de session simple SAML et la fenêtre simple de configuration d'ouverture de session SAML s'ouvre.



  3. Afin d'activer SAML SSO sur la batterie, enable SAML SSO de clic.



  4. Dans la fenêtre d'avertissement de remise, le clic continuent.



  5. Sur l'écran SSO, le clic parcourent afin d'importer le fichier XML de métadonnées de l'IDP (FederationMetadata.xml) avec l'étape de métadonnées de DownloadIdP.



  6. Une fois que le fichier de métadonnées est téléchargé, cliquez sur les métadonnées d'IDP d'importation afin d'importer les informations d'IDP à CUCM. Confirmez que l'importation était réussie et cliquez sur Next afin de continuer.





  7. Cliquez sur Download les métadonnées de confiance classent (facultatif) afin de sauvegarder le CUCM et le CUCM IM et des métadonnées de présence à un répertoire local et aller ajouter CUCM comme confiance comptante d'interlocuteur. Une fois que la configuration FS d'AD est terminée, passez à l'étape 8.



  8. SSO choisis en tant qu'utilisateur administratif et cliquent sur Run le test SSO.



  9. Ignorez les avertissements de certificat et poursuivez plus loin. Quand vous êtes incité pour des qualifications, écrivez le nom d'utilisateur et mot de passe pour l'utilisateur SSO et cliquez sur OK.



    Remarque: Cet exemple de configuration est basé sur les Certificats auto-signés par FS CUCM et d'AD. Au cas où vous utiliseriez des Certificats d'Autorité de certification (CA), des Certificats appropriés doivent être installés sur l'AD FS et le CUCM. Référez-vous le pour en savoir plus de Gestion et de validation de certificat.



  10. Après tout les étapes sont complètes, le « test SSO réussi ! » affichages de message. Fin et finition de clic à continuer. Vous vous êtes maintenant avec succès terminé les tâches de configuration afin d'activer SSO sur CUCM avec l'AD FS.



  11. Puisque CUCM IM et actes de présence comme l'abonné CUCM, vous doivent configurer ajoutez CUCM IM et présence pendant que confiance comptante d'interlocuteur et puis exécutez le test du passage SSO afin d'activer SAML SSO de la page CUCM SAML SSO lui-même.

    Remarque: Si vous configurez les fichiers XML des métadonnées de tous les Noeuds sur l'IDP et vous activez l'exécution SSO sur un noeud, alors SAML SSO est activé sur tous les Noeuds dans la batterie.



    L'AD FS doit être configuré pour tous les Noeuds de CUCM et de CUCM IM et présence dans une batterie comme transmettant par relais l'interlocuteur.

    Conseil : Vous devriez également configurer le Cisco Unity Connection et le CUCM IM et la présence pour SAML SSO si vous voulez utiliser l'expérience SAML SSO pour des clients de Cisco Jabber.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

  1. Ouvrez un navigateur Web et écrivez le FQDN pour CUCM.

  2. Clic Cisco Unified Communications Manager.

  3. Sélectionnez le webapp (gestion cm/utilité unifiée Cisco Unified signalant) et la presse vont, puis vous devriez être incité pour des qualifications par l'AD FS. Une fois que vous entrez dans les qualifications de l'utilisateur SSO, vous êtes avec succès connecté dans le webapp sélectionné (gestion PAG cm, page unifiée d'utilité, Cisco Unified signalant).



    Remarque: SAML SSO n'active pas l'accès à ces pages :
               - Gestionnaire de autorisation principal
               - Gestion de SYSTÈME D'EXPLOITATION
               - Système de Reprise sur sinistre

Dépannez

Si vous ne pouvez pas activer le SAML et vous ne pouvez pas ouvrir une session, employez la nouvelle option sous des applications installées appelées Recovery URL pour sauter l'ouverture de session simple (SSO), qui peut être utilisée afin d'ouvrir une session avec les qualifications créées pendant l'installation ou les utilisateurs administratifs local-créés CUCM.

Pour davantage de dépannage, référez-vous dépannage derrière SAML SSO pour les Produits 10.x de Collaboration.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118770