音声とユニファイド コミュニケーション : Cisco Unified Communications Manager ????? 10.5

Unified Communication マネージャバージョン 10.5 SAML SSO 設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco Unified Communications Manager (CUCM)のためのセキュリティ アサーション マークアップ言語(SAML)単一 サインオン(SSO)を設定し確認する方法を記述されています。

A.M.Mahesh Babu によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Network Time Protocol (NTP) セットアップ

はたらく SAML SSO に関しては設定される正しい NTP をインストールし、識別プロバイダ(IdP)間の時差ことを確かめて下さいおよび Unified Communications アプリケーションは 3 秒を超過しません。

CUCM と IdP 間に時間ミスマッチがある場合、このエラーを受け取ります: 「無効 な SAML 応答」。 このエラーは時間が IdP CUCM とサーバ間の同期化からあるとき引き起こされるかもしれません。 両方のサーバの NTP 設定を確認して下さい。 CUCM が IdP の後ろの 10 最小値か 1秒までに IdP に先んじてある場合、問題を引き起こす場合があります。 最小時差は 10 分です。

クロックを同期化する方法についての情報に関しては Cisco Unified Communications オペレーティング システム 管理 ガイドの NTP 設定セクションを参照して下さい。

設定される Domain Name Server (DNS)

Unified Communications アプリケーションは IP アドレスに完全修飾ドメイン名(FQDN)を変換するために DNS を使用できます。 サービスプロバイダーおよび IdP はブラウザによって解決可能である必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • IdP としてアクティブ ディレクトリ連合サービス(AD FS)バージョン 2.0
  • サービスプロバイダーとして CUCM バージョン 10.5
  • Microsoftインターネットエクスプローラ 10

注意: この資料は新たにインストールされした CUCM に基づいています。 既に本番サーバの SAML SSO を設定する場合、いくつかのステップをそれに応じてスキップしなければならないかもしれません。 運用サーバーのステップを実行する場合またサービス効果を理解して下さい。 ビジネス以外の時間の間にこのプロシージャを行うことを推奨します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

SAML は XML ベース、定義された一組の Cisco コラボレーション アプリケーションにシームレスにアクセスすることを管理者が後それらのアプリケーションのログインする 1 可能にしたオープン スタンダード データ 形式です。 IdP とサービスプロバイダー間の提供プロセスの一部としてメタデータを交換するとき SAML SSO は信頼(折畳み式ベッド)の範囲を確立します。 サービスプロバイダーはさまざまなサービスかアプリケーションにアクセスを提供するために IdP のユーザ情報を信頼します。

: サービスプロバイダーは認証にもはや関連しません。 SAML バージョン 2.0 はサービスプロバイダーからのおよび IDPS への認証に委託します。 クライアントは IdP に対して認証を受け、IdP はクライアントにアサーションを与えます。 クライアントはサービスプロバイダーにアサーションを示します。 確立される折畳み式ベッドがあるのでサービスプロバイダーはクライアントへのアサーションおよび対しを信頼します。

設定

ネットワーク図

ディレクトリ セットアップ

  1. 統一された CM Administration > システム > LDAP > LDAP システムを『Cisco』 を選択 して下さい



  2. [Add New] をクリックします。

  3. Lightweight Directory Access Protocol (LDAP) サーバタイプを設定し、帰因させて下さい。

  4. LDAPサーバから同期を『Enable』 を選択 して下さい。



  5. 統一された CM Administration > システム > LDAP > LDAP ディレクトリを『Cisco』 を選択 して下さい。

  6. これらの項目を設定して下さい:

    • LDAP ディレクトリ アカウント設定
    • 同期されるべきユーザ属性
    • 同期スケジュール
    • LDAPサーバ ホスト名か IP アドレスおよびポート番号




  7. LDAP ディレクトリと通信するために Secure Socket Layer (SSL)を使用したいと思わない場合使用 SSL のチェックを外して下さい。

    ヒント: SSL 上の LDAP を設定したいと思う場合 CUCM に LDAP ディレクトリ 認証をアップロードして下さい。 LDAP 同期の特定の LDAP 製品および一般の最良 の 方法のためのアカウント同期機構についての情報については Cisco Unified Communications Manager SRND の LDAP ディレクトリ の 内容を参照して下さい。



  8. 完全な同期化を今『SAVE』 をクリック し、次に行って下さい



    : 『SAVE』 をクリック する前に Cisco DirSync がサービサビリティ Webページでサービス有効に なることを確かめて下さい。



  9. ユーザマネージメント > エンドユーザにナビゲート し、CUCM 管理上 の 役割を与えたいと思うユーザを選択して下さい(この例は SSO を『User』 を選択 します)。



  10. 権限情報にスクロールし、アクセスコントロール グループに『Add』 をクリック して下さい。 標準 CCM スーパ ユーザを選択し、Select 『Add』 をクリック し、『SAVE』 をクリック して下さい。

SAML SSO を有効に して下さい

  1. CUCM 管理 ユーザインターフェイスにログイン して下さい。

  2. システム > SAML 単一 サインオンを選択すれば SAML 単一 サインオン コンフィギュレーションウィンドウは開きます。



  3. クラスタの SAML SSO を有効に するために、SAML SSO を『Enable』 をクリック して下さい。



  4. リセット 警告 の ウィンドウで、『Continue』 をクリック して下さい。



  5. SSO 画面で、DownloadIdP メタデータ ステップの IdP (FederationMetadata.xml)メタデータ XML ファイルをインポートするために『Browse』 をクリック して下さい。



  6. メタデータ ファイルがアップロードされたら、CUCM に IdP 情報をインポートするために IdP メタデータを『Import』 をクリック して下さい。 インポートが正常だった確認し、続くためにことを『Next』 をクリック して下さい。





  7. CUCM および CUCM IM および存在メタデータ ローカル フォルダーに保存し、CUCM を追加することを行くために信頼メタデータ ファイル(オプションの)をように依存パーティ信頼『Download』 をクリック して下さい。 AD FS 設定が完了したら、ステップ 8.に進んで下さい。



  8. SSO を管理上のユーザとして選択し、SSO テストを『Run』 をクリック して下さい



  9. 認証警告を無視し、更に続行して下さい。 資格情報のためにプロンプト表示されるとき、ユーザ SSO 向けのユーザ名 および パスワードを入力し、『OK』 をクリック して下さい。



    : この設定例は CUCM および AD FS 自己署名証明書に基づいています。 認証局 (CA) 認証を使用すれば、適切な認証は AD FS および CUCM 両方でインストールする必要があります。 詳細については証明書管理および検証を参照して下さい。



  10. 結局ステップは完了しました、「成功する SSO テスト!」 メッセージ表示。 『Close』 をクリック し、続くために終えて下さい。 今正常に AD FS の CUCM の SSO を有効に するためにコンフィギュレーション タスクを完了しました。



  11. CUCM IM および CUCM サブスクライバのような存在行為が、設定する必要があるので CUCM IM および存在をと同時に依存パーティ信頼追加し、次に CUCM SAML SSO ページからの SAML SSO 有効に するために実行 SSO テストを自体を実行しなさい。

    : IdP のすべてのノードのメタデータ XML ファイルを設定し、1 つのノードの SSO オペレーションを有効に すれば、SAML SSO はクラスタのノードすべてで有効に なります。



    AD FS は必要がありまパーティを中継で送りますように CUCM および CUCM IM のノードおよびクラスタの存在すべてのために設定する。

    ヒント: Cisco Jabber クライアントのために SAML SSO エクスペリエンスを使用したいと思う場合また Cisco Unity Connection および CUCM IM および SAML SSO のための存在設定する必要があります。

確認

このセクションでは、設定が正常に機能していることを確認します。

  1. Webブラウザを開き、CUCM のための FQDN を入力して下さい。

  2. Unified Communication マネージャを『Cisco』 をクリック して下さい。

  3. webapp (CM 管理/統一された修理可能 Cisco Unified レポート)を選択し、『Go』 を押して下さい、そして AD FS によって資格情報のためにプロンプト表示する必要があります。 ユーザ SSO の資格情報を入力すれば、正常に指定 webapp (CM 管理 PAG、統一されたサービサビリティ ページ、Cisco Unified レポートログイン されます。



    : SAML SSO はこれらのページにアクセスをイネーブルにしません:
               -主な認可マネージャ
               - OS 管理
               -障害回復 システム

トラブルシューティング

SAML を有効に できなければし、ログインにできなかったら場合、インストールかローカルで作成された CUCM 管理上のユーザの間に作成される資格情報との使用されたログインである場合もある単一 サインオン(SSO)をバイパスするのに Recovery URL と呼ばれるインストール アプリケーションの下で新しいオプションを使用して下さい。

それ以上のトラブルシューティングに関しては、コラボレーション 製品 10.x のための SAML SSO のトラブルシューティングを参照して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118770