Cisco Unified Communications Manager Release 10.0(1) 機能およびサービス ガイド
シングル サインオン
シングル サインオン

シングル サインオン

この章ではシングル サインオン機能について説明します。この機能を使用すると、エンド ユーザは Windows ドメインの Windows クライアント マシンにログインし、再度サインオンすることなく特定の Cisco Unified Communications Manager アプリケーションを使用できます。

シングル サインオン機能の詳細については、シスコのホワイト ペーパー『A complete guide for installation, configuration and integration of CUCM8.5 with Open Access Manager and Active Directory for SSO』を参照してください。

シングル サインオンの設定

シングル サインオン機能を使用すると、エンド ユーザは Windows クライアント マシンにログインし、再度サインオンすることなく特定の Cisco Unified Communications Manager アプリケーションを使用できます。

次の手順に従って、ネットワーク内にシングル サインオンを設定します。

Cisco Unified Communication interface for Microsoft Office Communicator でのシングル サインオンの設定については、Cisco Unified Communication interface for Microsoft Office Communicatorの資料を参照してください。

手順
    ステップ 1   ご使用の環境が要件を満たしていることを確認します。
    ステップ 2   Active Directory で OpenAM サーバをプロビジョニングし、keytab ファイルを生成します。
    (注)     

    ご使用の Windows バージョンに keytab ファイルを生成するための ktpass ツールが含まれていない場合は、そのツールを別途入手する必要があります。

    ステップ 3   OpenAM サーバ証明書を Cisco Unified Communications Manager tomcat 信頼ストアにインポートします。
    (注)     

    SSO を有効にするときに OpenAM サーバ証明書をインポートしない場合、Web アプリケーションにアクセスできません。

    ステップ 4   Active Directory および OpenAM に Windows シングル サインオンを設定します。
    ステップ 5   (Cisco Unified Administration のみ)ユーザが Active Directory でプロビジョニングされることを確認します。
    ステップ 6   (Cisco Unified Administration のみ)DirSync サービスを使用して、ユーザ データを Cisco Unified Communications Manager データベースと同期化します。
    ステップ 7   (Cisco Unified Administration のみ)ユーザを CCM Super Users グループに追加して、Cisco Unified Administration へのアクセスを有効にします。
    ステップ 8   シングル サインオン用にクライアント ブラウザを設定します。
    ステップ 9   Cisco Unified Communications Managerシングル サインオンを有効にします。

    CUCM 機能用シングル サインオン

    シングル サインオン機能を使用すると、エンド ユーザは Windows にログインし、再度サインオンすることなく次の Cisco Unified Communications Manager アプリケーションを使用できます。

    • Cisco Unified Communications セルフ ケア ポータル

    • Cisco Unified Communications Manager の管理

    • リアルタイム監視ツール(RTMT)の管理

    • Cisco Unified Communication interface for Microsoft Office Communicator

    シングル サインオンのシステム要件

    Cisco Unified Communications Managerシングル サインオンのシステム要件は、次のとおりです。

    • Cisco Unified Communications Manager リリース 8.5(1)(クラスタ内のサーバごと)

    この機能には、次のサードパーティ アプリケーションが必要です。

    • Microsoft Windows Server 2003 または Microsoft Windows Server 2008

    • Microsoft Active Directory

    • ForgeRock Open Access Manager(OpenAM)バージョン 9.0

    シングル サインオン機能では、Active Directory と OpenAM が連携することで、クライアント アプリケーションにシングル サインオン アクセスが提供されます。

    これらのサードパーティ製品は、次の設定要件を満たす必要があります。

    • Active Directory は、単に LDAP サーバとしてではなく、Windows ドメインベースのネットワーク構成に配置する必要があります。

    • ネットワーク上のすべてのクライアント システムおよび Active Directory サーバが OpenAM サーバにアクセスできる必要があります。

    • Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、Cisco Unified Communications Manager、および OpenAM は、同じドメイン内に存在する必要があります。

    • ドメインで DNS を有効にする必要があります。

    • Cisco Unified Communications Manager サーバには、サード パーティ製品をインストールしません。

    • SSO に参加するすべてのエンティティのクロックを同期する必要があります。

    サード パーティ製品の詳細については、それぞれのマニュアルを参照してください。

    シングル サインオンのインストールとアクティブ化

    Cisco Unified Communications Manager 8.6(1) のインストール後、必要な設定作業を実行すると、ネットワークでシングル サインオンをサポートできるようになります。 実行する必要がある設定作業については、シングル サインオンの設定を参照してください。

    シングル サインオンの設定

    この項では、シングル サインオンの設定について説明します。


    ヒント


    シングル サインオンを設定する前に、この機能の設定タスクの概要を確認してください。


    OpenAM の設定

    OpenAM を使用して、次のタスクを実行します。

    • OpenAM に次のものに関するポリシーを設定します。

      • CUCM ユーザおよび UDS Web アプリケーション

      • クエリー パラメータ

        • Policy Agent 3.0 用の J2EE Agent Profile を設定します。

        • Windows Desktop SSO ログイン モジュール インスタンスを設定します。

        • PA 用の「Login Form URI」と「OpenAM Login URL」を設定します。

        • ローカル ユーザ プロファイルを無効にします。

    CUCM への OpenAM 証明書のインポート

    Cisco Unified Communications Manager と OpenAM 間の通信はセキュアであるため、OpenAM セキュリティ証明書を入手して Cisco Unified Communications Manager tomcat 信頼ストアにインポートする必要があります。 5 年間有効になるように OpenAM 証明書を設定します。

    証明書のインポートについては、『Cisco Unified Communications Operating System Administration Guide』を参照してください。

    Active Directory および OpenAM での Windows シングル サインオンの設定

    この項では、Active Directory および OpenAM に Windows シングル サインオンを設定する方法について説明します。 この手順に従うと、Cisco Unified Communications Manager を Active Directory で認証できます。

    手順
      ステップ 1   Active Directory で、OpenAM Enterprise ホスト名(ドメイン名なし)をユーザ ID(ログイン名)として、新規にユーザを作成します。
      ステップ 2   Active Directory サーバに keytab ファイルを作成します。
      ステップ 3   作成した keytab ファイルを OpenAM システムにエクスポートします。
      ステップ 4   OpenAM で、次の設定で新規に認証モジュールのインスタンスを作成します。
      • タイプは、Windows Desktop SSO です。

      • レルムのアトリビュートは次のように設定します。

      • [Service Principal]:keytab ファイルを作成するときに使用したプリンシパル名を入力します。

      • [Keytab File Name]:keytab ファイルのインポート先のパスを入力します。

      • [Kerberos Realm]:ドメイン名を入力します。

      • [Kerberos Server Name]:Active Directory サーバの FQDN を入力します。

      • [Authentication level]:22 を入力します。


      シングル サインオン用のクライアント ブラウザの設定

      この項では、シングル サインオンを使用するためのクライアント ブラウザの設定方法について説明します。 ブラウザベースのクライアント アプリケーションにシングル サインオンを使用する場合は、Web ブラウザを設定する必要があります。

      シングル サインオン用 Internet Explorer の設定

      シングル サインオン機能は、Internet Explorer バージョン 6.0 以降を実行している Windows クライアントでサポートされています。 シングル サインオンを使用するには、次のタスクを実行して Internet Explorer を設定します。

      • 統合 Windows 認証オプションを選択します。

      • 次のように設定したカスタムのセキュリティ レベルを作成します。

        • [ローカル イントラネット] オプションで [イントラネット ゾーンでのみ自動的にログオンする] を選択します。

        • サイトに関するオプションをすべて選択します。

        • OpenAM をローカル ゾーンにまだ追加していない場合は追加します。

      • Windows 7 で Internet Explorer 8.0 を実行している場合には、次のタスクを実行します。

        • 保護モードを無効にします。

        • レジストリ キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\ で、DWORD 値として SuppressExtendedProtection - 0x02 を追加します。

      シングル サインオン用 FireFox の設定

      シングル サインオン機能は、Firefox バージョン 3.0 以降を実行している Windows クライアントでサポートされています。

      シングル サインオンを使用するように Firefox を設定するには、ブラウザと SPNEGO 認証の連動を許可する信頼できるドメインと URL を network.negotiate-auth.trusted-uris プリファレンスに入力します。

      SSO アプリケーションの設定

      SSO を設定するには、[Cisco Unified OSの管理(Cisco Unified OS Administration)] > [セキュリティ(Security)] > [シングルサインオン(Single Sign On)] をクリックします。


      (注)  


      SSO は、エージェント フローや SAML といったエンド ユーザのアカウントでのみサポートされています。 SSO は、アプリケーション ユーザのアカウントではサポートされていません。


      このアプリケーションは、次の 3 つのコンポーネントに分割されます。

      • [ステータス(Status)]

      • [アプリケーションの選択(Select Applications)]

      • [サーバの設定(Server Settings)]

      [ステータス(Status)]

      SSO 設定の変更により Tomcat が再起動されることを示す警告メッセージが表示されます。

      SSO アプリケーションを有効にする場合、次のエラー メッセージが表示されることがあります。

      • 「無効なOpen Access Manager (OpenAM)サーバのURL(Invalid Open Access Manager (OpenAM) server URL)」:このエラー メッセージは、無効な OpenAM サーバ URL を提供した場合に表示されます。
      • 「無効なプロファイル証明書(Invalid profile credentials)」:このエラー メッセージは、間違ったプロファイル名または間違ったプロファイル パスワード、あるいはこれらの両方を提供した場合に表示されます。
      • 「セキュリティトラストエラー(Security trust error)」:このエラー メッセージは、OpenAM 証明書がインポートされていない場合に表示されます。

      SSO を有効にした状態で上記のいずれかのメッセージが表示される場合、ステータスが上記のエラーに変わります。

      [アプリケーションの選択(Select Applications)]

      特定のアプリケーションの SSO を有効または無効にするアプリケーションを選択または選択解除します。

      次のアプリケーションを使用できます。

      • Cisco Unified Communications Manager の管理:Cisco Unified Communications Manager の管理、Cisco Unified サービスアビリティ、および Cisco Unified Reporting の SSO を有効にします。
      • Cisco Unified Communications セルフ ケア ポータル:Cisco Unified Communications セルフ ケア ポータルの SSO を有効にします。
      • Cisco Unified オペレーティング システムの管理:Cisco Unified オペレーティング システムの管理およびディザスタ リカバリ システムの SSO を有効にします。
      • Cisco Unified Data Service:Cisco UC Integration for Microsoft Office Communicator の SSO を有効にします。
      • RTMT:リアルタイム監視ツールの Web アプリケーションを有効にします。

      [サーバの設定(Server Settings)]

      サーバ設定は、すべてのアプリケーションで SSO が無効な場合のみ編集できます。

      次の手順を実行します。

      手順
        ステップ 1   Open Access Manager(OpenAM)サーバの次の URL を入力します。

        http://opensso.sample.com:443/opensso

        ステップ 2   Policy Agent の配置先となる相対パスを入力します。 相対パスは、英数字で入力する必要があります。
        ステップ 3   このポリシー エージェントに設定されているプロファイルの名前を入力します。
        ステップ 4   プロファイル名のパスワードを入力します。
        ステップ 5   Windows Desktop SSO に設定されるログイン モジュール インスタンス名を入力します。
        ステップ 6   [保存(Save)] をクリックします。
        ステップ 7   確認ダイアログボックスの [OK] をクリックして、Tomcat を再起動します。

        シングル サインオン用の CLI コマンド

        この項ではシングル サインオン用の CLI コマンドを説明します。

        • utils sso enable

        • utils sso disable

        • utils sso status

        utils sso enable

        このコマンドは、リリース 10.0(1) ではサポートされていません。 このコマンドを実行する場合、GUI を使用して SSO を有効にするように求めるプロンプトが表示されます。

        utils sso disable

        このコマンドは、SSO ベースの認証を無効にします。 このコマンドは、SSO が有効な Web アプリケーションをリストします。 指定アプリケーションのシングル サインオンを無効にするよう求めるプロンプトが表示された場合、Yes と入力します。

        コマンド構文

        utils sso disable

        使用上のガイドライン

        注意    


        シングル サインオンを無効にすると、Cisco Unified Communications Manager Web サーバ(Tomcat)が再起動します。



        (注)  


        OpenAM にアクセスできない場合、Tomcat が表示されるまでにさらに時間がかかります。 これは Servm の制限によるものです。 このシナリオでは、Tomcat が表示されるまでの時間はおよそ 10 分です。


        このコマンドは、クラスタ内のすべてのノードで実行する必要があります。

        utils sso status

        このコマンドは、シングル サインオンのステータスおよび設定パラメータを表示します。

        コマンド構文

        utils sso status