Cisco Unified Communications Manager, Release 9.1(1) IM and Presence サービス導入ガイド
シングル サインオンの設定
シングル サインオンの設定
発行日;2013/08/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

シングル サインオンの設定

シングル サインオン

シングル サインオン(SSO)機能を使用すると、エンド ユーザは Windows にログインし、再びサインインせずに次の IM and Presence アプリケーションを使用できます。
  • Cisco Unified CM IM and Presence のユーザ オプション
  • Cisco Unified CM IM and Presence の管理
  • Cisco Unified IM and Presence のサービスアビリティ
  • Cisco Unified IM and Presence のレポート
  • IM and Presence のディザスタ リカバリ システム
  • IM and Presence Service の Cisco Unified Real-Time Monitoring Tool(RTMT)
  • Cisco Unified IM and Presence オペレーティング システムの管理
  • Cisco Client Profile Agent:Cisco Jabber SSO のサポートに必要

    (注)  


    Cisco Client Profile Agent を IM and Presence ノードの SSO に対して有効にすると、SSO をサポートする Cisco Jabber クライアントだけがそのノードにアクセスできます。 Cisco Client Profile Agent サービスを使用して、従来のユーザ名およびパスワードを指定するする他のクライアントはログインに失敗します。 Cisco Unified Personal Communicator は Cisco Client Profile Agent サービスを使用するため、Cisco Client Profile Agent が SSO に対して有効になっている場合はサポートされません。 Cisco Client Profile Agent サービスを使用しないサードパーティ XMPP クライアントは、ログインに従来のユーザ名とパスワードを引き続き使用できます。



(注)  


この章にタスクが記載されている同じシーケンスの SSO 機能を設定することを強く推奨します。


シングル サインオンのシステム要件

SSO 機能では、次のサードパーティ アプリケーションが必要です。
  • Microsoft Windows Server 2003 または Microsoft Windows Server 2008
  • Microsoft Active Directory
  • ForgeRock Open Access Manager(OpenAM)バージョン 9.5.4

(注)  


SSO 機能は、Active Directory と OpenAM を組み合わせて使用ることにより、クライアント アプリケーションへの SSO アクセスを提供します。


次の設定要件を満たす必要があります。

  • Active Directory は、LDAP サーバとしてではなく、Windows ドメインベースのネットワーク設定で導入される必要があります。
  • OpenAM サーバは、ネットワーク上においてすべてのクライアント システムおよび Active Directory サーバからアクセスできなければなりません。
  • Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、IM and Presence サーバ、および OpenAM サーバは、同じドメイン内に存在する必要があります。

    (注)  


    上記の要件の詳細については、サード パーティ製品のマニュアルを参照してください。


  • DNS をドメイン内で有効にする必要があります。
  • SSO に参加するすべてのエンティティのクロックを同期させる必要があります。

Java のインストール

シングル サインオン設定のタスクフローの一部として Java をインストールする必要があります。 この章で使用されるデフォルトのキーストア パスワード「changeit」を選択したキーストア パスワードに置き換えることができることに注意してください。このパスワードを置き換える場合は、この章の残りの部分で「changeit」が使用されている場所で新しいパスワード必ずを引き続き使用する必要があります。

Linux プラットフォームを使用した Java のインストール

OpenAM サーバに Java SDK をインストールします。


(注)  


これらの手順では、タスクやコマンドを実行するのが「root」ユーザであることが前提となります。 他のユーザが次の操作を実行する場合は、適宜操作を調整します。


手順
    ステップ 1   Java の最新バージョンをダウンロードします。http:/​/​www.oracle.com/​technetwork/​java/​javase/​downloads/​index.html
    ステップ 2   ダウンロードしたファイルを実行して Java をインストールします。
    ステップ 3   ユーザ プロファイル(.bash_profile)で JAVA_HOME および JRE_HOME 環境変数を定義します。 次に例を示します。

    例:
    export JAVA_HOME=/usr/java/jdk1.6.0_20 (or whatever version is being used)
    export JRE_HOME=/usr/java/jdkl6.0_20/jre
    ステップ 4   Tomcat は SSL でイネーブルにされている必要があるため、Java キーストアおよびセキュリティ証明書が必要です。 セキュリティ要件に応じて 2 つのオプションがあります。
    オプション 説明
    Tomcat の自己署名セキュリティ証明書の使用

    ステップ 5 に進みます

    Tomcat の認証局(CA)署名セキュリティ証明書の使用

    ステップ 10 に進みます

    ステップ 5   Java キーストアを作成します。 端末で次のコマンドを実行します。 デフォルトのキーストア パスワードは changeit です。

    例:
    '$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -validity 1825 -ext BC:c=ca:true'

    keytool コマンドで -ext オプションを指定するには、Java JDK 7 が必要です。 上記の値で -ext オプションを使用すると、認証局(CA)フラグによる Tomcat 証明書が true に設定されます。 CA フラグを true に設定しなければ、Cisco Unified IM and Presence オペレーティング システムの管理インターフェイスは tomcat-trust 信頼ストアに証明書をアップロードできない可能性があります。 詳細については、IM and Presence への OpenAM 証明書のインポートを参照してください。

    ステップ 6   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

    組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

    ステップ 7   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。

    キーストアはルート ディレクトリ(/root/.keystore)の下に作成されます。

    ステップ 8   次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。

    例:
    $JAVA_HOME/bin/keytool -list -v -alias tomcat
    ステップ 9   Tomcat の自己署名セキュリティ証明書を使用するよう選択した場合は、この手順の最後に飛び、このタスクが完了するとみなすことができます。
    ステップ 10   Java キーストアを作成して、Tomcat の認証局(CA)署名セキュリティ証明書を保存します。 端末で次のコマンドを実行します。 デフォルトのキーストア パスワードは changeit です。

    例:'$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -validity 1825'
    ステップ 11   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

    組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

    ステップ 12   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。

    キーストアはルート ディレクトリ(/root/.keystore)の下に作成されます。

    ステップ 13   次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。

    例:$JAVA_HOME/bin/keytool -list -v -alias tomcat
    ステップ 14   この Tomcat インスタンスの証明書署名要求(CSR)を生成します。 端末で次のコマンドを実行します。 このコマンドは CSR を作成し、certreq.csr という名前のファイルに書き込みます。

    例:'$JAVA_HOME/bin/keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr'
    ステップ 15   CSR を認証局に送信して、認証局が CSR に署名し、証明書を作成するように要求します。 新しい証明書である認証局の署名またはルート証明書および他の中間証明書が署名(該当する場合)を OpenAM サーバにコピーします。 これらのタスクを完了する方法については、認証局のマニュアルを参照してください。
    ステップ 16   ステップ 10 で作成された Tomcat Java キーストアに認証局の署名またはルート証明書および他の中間証明書が署名(該当する場合)にインポートします。 端末で次のコマンドを実行して、「Trust this certificate?」のプロントに「yes」と答えます。

    例:'$JAVA_HOME/bin/keytool -import -alias root -trustcacerts -file <filename_of_the_Certificate Authority_certificate>'

    各中間証明書に対してこのコマンド(該当する場合)を実行し、- alias オプションは、一意の値でキーストアに更新される必要があります。 たとえば、'$JAVA_HOME/bin/keytool -import -alias inter01 -trustcacerts -file <filename_of_the_intermediate_signing_certificate>' となります。

    ステップ 17   次のコマンドを使用して、キーストアの認証局の署名証明書を表示できます。

    例:$JAVA_HOME/bin/keytool -list -v -alias root
    ステップ 18   ステップ 10 で作成された Tomcat Java キーストアに新しい証明書をインポートします。 端末で次のコマンドを実行します。

    例:'$JAVA_HOME/bin/keytool -import -alias tomcat -file <new_certificate_filename>'
    ステップ 19   次のコマンドを使用して、キーストアの新しい Tomcat 証明書を表示できます。 この新しい Tomcat 証明書の発行元が認証局であることに注意してください。

    例:$JAVA_HOME/bin/keytool -list -v -alias tomcat

    Windows プラットフォームを使用した Java のインストール

    手順
      ステップ 1   http:/​/​www.oracle.com/​technetwork/​java/​javase/​downloads/​index.html から Java の最新バージョンをダウンロードします。
      ステップ 2   ダウンロードしたファイルを実行して Java をインストールします。
      ステップ 3   Tomcat は SSL でイネーブルにされている必要があるため、Java キーストアおよびセキュリティ証明書が必要です。 セキュリティ要件に応じて 2 つのオプションがあります。
      オプション 説明
      Tomcat の自己署名セキュリティ証明書の使用

      ステップ 4 に進みます

      Tomcat の認証局(CA)署名セキュリティ証明書の使用

      ステップ 9 に進みます

      ステップ 4   Java キーストアを作成します。 コマンド プロンプトを開き、次のコマンドを実行します。 デフォルトのキーストア パスワードは changeit です。

      例:
      C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -genkey -alias tomcat -keyalg RSA -validity 1825 –keystore c:\keystore -ext BC:c=ca:true

      - keystore オプションは、新しいキーストア ファイルにファイル パスを指定する必要があります。 たとえば、上記のコマンドでは新しいキーストア ファイルは c:\keystore です。

      (注)     

      keytool コマンドで -ext オプションを指定するには、Java JDK 7 が必要です。 上記の値の -ext オプションを使用すると、Tomcat 証明書の CA フラグが true に設定されます。 CA フラグを true に設定しなければ、Cisco Unified IM and Presence オペレーティング システムの管理インターフェイスは tomcat-trust 信頼ストアに証明書をアップロードできない可能性があります。 詳細については、IM and Presence への OpenAM 証明書のインポートを参照してください。

      ステップ 5   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

      また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

      ステップ 6   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。 キーストア ファイルは、c:\keystore のファイル パスで作成されます。
      ステップ 7   次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -list -v -alias tomcat -keystore c:\keystore
      ステップ 8   Tomcat の自己署名セキュリティ証明書を使用するよう選択した場合は、最後に進みます。 このタスクは完了です。
      ステップ 9   Java キーストアを作成して、Tomcat の認証局(CA)署名セキュリティ証明書を保存します。 コマンド プロンプトを開き、次のコマンドを実行します。 デフォルトのキーストア パスワードは changeit です。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -genkey -alias tomcat -keyalg RSA -validity 1825 -keystore c:\keystore
      ステップ 10   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

      また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

      ステップ 11   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。 キーストアは keytool コマンド(C:\keystore)で指定されたファイル パスで作成されます。
      ステップ 12   次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -list -v -alias tomcat -keystore c:\keystore
      ステップ 13   この Tomcat インスタンスの証明書署名要求(CSR)を生成します。 端末で次のコマンドを実行します。 このコマンドは CSR を作成し、certreq.csr という名前のファイルに書き込みます。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore c:\keystore
      ステップ 14   CSR を認証局に送信して、認証局が CSR に署名し、証明書を作成するように要求します。 新しい証明書である認証局の署名またはルート証明書および他の中間証明書が署名(該当する場合)を OpenAM サーバにコピーします。 これらのタスクを完了する方法については、認証局のマニュアルを参照してください。
      ステップ 15   ステップ 9 で作成された Tomcat Java キーストアに認証局の署名またはルート証明書および他の中間証明書が署名(該当する場合)にインポートします。 端末で次のコマンドを実行して、「Trust this certificate?」のプロントに「yes」と答えます。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -import -alias root -trustcacerts -file <filename_of_the_CA_root_certificate> -keystore c:\keystore

      各中間証明書に対してこのコマンド(該当する場合)を実行し、- alias オプションは、一意の値でキーストアに更新される必要があります。 たとえば、C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -import -alias root inter01 -trustcacerts -file <filename_of_the_intermediate_signing_certificate> -keystore c:\keystore となります。

      ステップ 16   次のコマンドを使用して、キーストアの認証局の署名証明書を表示できます。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -list -v -alias root -keystore c:\keystore
      ステップ 17   ステップ 9 で作成された Tomcat Java キーストアに新しい証明書をインポートします。 コマンド プロンプトで次のコマンドを実行します。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -import -alias tomcat -file <new_certificate_filename> -keystore c:\keystore
      ステップ 18   次のコマンドを使用して、キーストアの新しい Tomcat 証明書を表示できます。 この新しい Tomcat 証明書の発行元が認証局であることに注意してください。

      例: C:\>"c:\Program Files\Java\jdkl.6.020\bin\keytool.exe" -list -v -alias tomcat -keystore c:\keystore

      Tomcat のインストール

      Linux プラットフォームを使用した Tomcat のインストール

      手順
        ステップ 1   http:/​/​tomcat.apache.org/​index.html から Apache Tomcat の最新バージョンをダウンロードします。

        プロセッサ アーキテクチャ(32bit/64bit)固有の zip/tar アーカイブをダウンロードします。

        ステップ 2   apache-tomcat-<latest version>.tar.gz アーカイブを展開します。 このマニュアルでは、ルート ホーム ディレクトリ(\root)の下に展開しています。
        ステップ 3   ユーザ プロファイル(.bash_profile)の CATALINA_OPTS 環境変数を定義し、設定することで Tomcat の JVM ヒープ サイズを増やします。 ユーザ プロファイル(.bash_profile)に次の行を追加して、CATALINA_OPTS を設定します。export CATALINA_OPTS="- Xms512m -Xmx1024m -xx:MaxPermSize=256m

        Tomcat を開始する前に bash_profile スクリプトを明らかにし、必ず環境変数が事前に設定されているようにします。

        ステップ 4   /root/apache-tomcat-<latest version>/conf ディレクトリの下にある server.xml ファイルを開き、8080 コネクタ ポートのコメントを入力します。 次のようにコードを入力します。

        例:
        <!--<Connector port="8080" protocol="HTTP/1.1"
        connectionTimeout-"20000"
        redirectPort-"8443" /> -->
        ステップ 5   8443 コネクタ ポートをアンコメントします。8443 コネクタの先頭の <!– – コードと末尾の – –> を削除します。 次のようにコードを入力します。

        例:
        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS" />
        ステップ 6   上記の変更を行ったら server.xml ファイルを保存します。
        ステップ 7   /root/apache-tomcat-<latest version>/bin ディレクトリの下にある startup.sh を実行して、Tomcat サービスを起動します。
        (注)     

        デフォルトでは、Tomcat を実行しているユーザの OS ホーム ディレクトリにキーストア ファイルがあることを想定します(たとえば、 root ユーザとして /root/.keystore は、ユーザ ルートが Tomcat プロセスを開始したと想定します)。 Linux プラットフォームを使用した Java のインストールの項でキーストア ファイルを作成したユーザが Tomcat プロセスを開始するようにしてください。

        ステップ 8   ブラウザを起動し、https:/​/​localhost:8443/​tomcat.gif にアクセスします。

        証明書が自己署名されている場合、ブラウザから通知されます。 証明書をインポートし、続行するようにブラウザに指示します。 Tomcat は Tomcat ロゴが表示されるときに設定されます。


        Windows プラットフォームを使用した Tomcat のインストール

        手順
          ステップ 1   http:/​/​tomcat.apache.org/​index.html から Apache Tomcat の最新バージョンをダウンロードします。

          Tomcat サービスのインストーラ(32bit/64bit Windows サービス インストーラ:apachetomcat-<latest version>.exe)をダウンロードします。

          ステップ 2   apache-tomcat-<latest version>.exe をインストールします。 この例では、Tomcat は c:\Program Files\Apache Software Foundation\Tomcat <latest version> にインストールされます。
          ステップ 3   c:\Program Files\Apache Software Foundation\Tomcat <latest version>\bin の下に setenv.bat というファイルを作成して JAVA-HOME、JRE_HOME、および JAVA_OPTS 環境変数を設定し、上記の変数を設定します。

          例:
          set JAVA_HOME=c:\Program Files\Java\jdkl.6.0_20
          set JRE_HOME=c:\Program Files\Java\jdkl.6.0_20\jre
          set JAVA_OPT=%JAVA_OPTS% -xMS512m -xMX1024m
          ステップ 4   c:\Program Files\Apache Software Foundation\Tomcat <latest version>\conf フォルダの下にある server.xml ファイルを開きます。
          ステップ 5   8080 コネクタ ポートのコメントを入力します。 次のようにコードを入力します。

          例:
          <!--<Connector port="8080" protocol="HTTP/1.1"
          connectionTimeout="20000"
          redirectPort-"8443" /> -->
          ステップ 6   8443 コネクタ ポートをアンコメントします。 8443 コネクタの先頭の <!– – コードと末尾の – –> を削除します。 この 8443 コネクタでは、さらに 2 つの属性が追加されています。それは、keystoreFile(Windows プラットフォームを使用した Java のインストールで作成されたキーストア ファイルの場所。 この例では、C:\keystore の下に作成されました)と keystoreType です。 デフォルト パスワード changeit でキーストアを作成したため、keystorePass 属性を設定する必要はありません。 次のようにコードを入力します。

          例:
          <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          clientAuth="false" sslProtocol="TLS"
          keystoreFile="c:\keystore"
          keystoreType="JKS"/>
          ステップ 7   上記の変更を行ったら server.xml ファイルを保存します。
          ステップ 8   services.msc ユーティリティまたは [管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat <latest version>] > [開始(Start)] から Tomcat サービスを開始します。
          ステップ 9   ブラウザを起動し、https://localhost:8443/tomcat.gif にアクセスします。 証明書が自己署名されている場合、ブラウザから通知されます。 証明書をインポートし、続行するようにブラウザに指示します。 Tomcat は Tomcat ロゴが表示されるときに設定されます。

          次の作業

          シングル サインオンのための Active Directory のプロビジョニング

          シングル サインオンのための Active Directory のプロビジョニング

          手順
            ステップ 1   Active Directory(AD)サーバにログインします。
            ステップ 2   [スタート(Start)] メニューから [プログラム(Programs)] > [管理ツール(Administration Tools)] にアクセスし、[Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] を選択します。
            ステップ 3   [ユーザ(Users)] > [新規(New)] > [ユーザ(Users)] に移動し、ユーザ ID として OpenAM のホスト名を使用して新規ユーザを作成します。
            ステップ 4   [次回のログイン時にパスワードを変更させる(User must change password at next login)] オプションをディセーブルにします。
            ステップ 5   コマンド プロンプトから次のコマンドを使用して、AD サーバの keytab ファイルを作成します。

            例:
            ktpass -princ HTTP/<hostname>.<domainname>@<DCDOMAIN> -pass <password> -mapuser <userName> -out <hostname>.HTTP.keytab -ptype KRB5_NT_PRINCIPAL -target <DCDOMAIN>

            ここでは、<userName> はステップ 3 で入力した OpenAM のホスト名です。

            例:
            ktpass -princ HTTP/sso.cisco.com@CISCO.COM -pass cisco123 -mapuser sso -out sso.HTTP.keytab -ptype KRB5_NT_PRINCIPAL -target CISCO.COM
            ステップ 6   keytab ファイルが正常に作成されたら、OpenAM サーバの場所に keytab ファイルをコピーします。このパスは、後で OpenAM 設定で指定します。

            OpenAM が Linux に設定されている場合は、ルートの下にディレクトリを作成し、上記の keytab ファイルをコピーできます。 たとえば、/root/keytab/examplehost.HTTP.keytab となります。

            OpenAM が Windows に設定されている場合は、C:\> の下にディレクトリを作成し、上記の keytab ファイルをコピーできます。 たとえば、c:/keytab/examplehost.HTTP.keytab となります。


            次の作業

            Apache Tomcat の OpenAM War

            Apache Tomcat の OpenAM War

            Linux における Apache Tomcat への OpenAM War の展開

            手順
              ステップ 1   ForgeRock サイト(http:/​/​forgerock.org/​openam.html)にアクセスし、安定したリリースの OpenAM Release 9.5.4 / December 7, 2011(20111207)をダウンロードします。
              ステップ 2   opensso.war になるように、openam_954.war から WAR ファイルの名前を変更します。
              ステップ 3   OpenAM サーバで Tomcat サービスが実行されている場合は停止します。
              ステップ 4   opensso.war ファイルを /root/apache-tomcat-<latest version>/webapps directory にコピーします。

              この例およびこの章の残りの部分では、OpenAM WAR ファイルが opensso.war という名前であることを前提としています。 このマニュアルで指定されたサンプル URL も同じことを前提とするため、これについて考慮することが重要です。 opensso.war ではなく、WAR ファイル名を使用する場合は、この点に注意してください。

              ステップ 5   /root/apache-tomcat-<latest version>/bin ディレクトリの下にある startup.sh を実行して、Tomcat サービスを起動します。

              次の作業

              GUI コンフィギュレータを使用した OpenAM の設定

              Linux における Apache Tomcat への OpenAM War の展開

              手順
                ステップ 1   ForgeRock サイト(http:/​/​forgerock.org/​openam.html)にアクセスし、安定したリリースの OpenAM Release 9.5.4 / December 7, 2011(20111207)をダウンロードします。
                ステップ 2   opensso.war になるように、openam_954.war から WAR ファイルの名前を変更します。
                ステップ 3   OpenAM サーバで Tomcat サービスが実行されている場合は停止します。
                ステップ 4   opensso.war ファイルを /root/apache-tomcat-<latest version>/webapps directory にコピーします。

                この例およびこの章の残りの部分では、OpenAM WAR ファイルが opensso.war という名前であることを前提としています。 このマニュアルで指定されたサンプル URL も同じことを前提とするため、これについて考慮することが重要です。 opensso.war ではなく、WAR ファイル名を使用する場合は、この点に注意してください。

                ステップ 5   /root/apache-tomcat-<latest version>/bin ディレクトリの下にある startup.sh を実行して、Tomcat サービスを起動します。

                次の作業

                GUI コンフィギュレータを使用した OpenAM の設定

                GUI コンフィギュレータを使用した OpenAM の設定

                OpenAM を設定する方法の例を次に示します。 既存の OpenAM サーバがある場合、または OpenAM について確実に理解している場合は、サーバを別に設定できます。

                OpenAM サーバおよびポリシー エージェントには、インストールを実行するマシンのホスト名の FQDN が必要です。 「localhost」などのホスト名を使用したり、「192. 168.1.2」などの数字の IP アドレスをホスト名として使用することはできません。これにより、インストール、設定、および使用時に問題が発生するからです。

                OpenAM にアクセスするには、Mozilla Firefox などの Web ブラウザがインストールされている必要があります。 OpenAM に初めてアクセスするときは、URL で OpenAM サーバの FQDN を使用する必要があります。 たとえば、https://hostexample.corp.com:8443/opensso を使用します。 OpenAM に初めてアクセスするときは、OpenAM の初期設定を行うためにコンフィギュレータに転送されます。 OpenAM に初めてアクセスすると、[設定オプション(Configuration Options)] ウィンドウが表示されます。 [デフォルト設定の作成(Create Default Configuration)] リンクを選択します。

                OpenAM Administrator(amAdmin)およびデフォルト ポリシー エージェント ユーザ(UrlAccessAgent)のパスワードを指定し、確認します。 デフォルト ポリシー エージェント ユーザは、この設定例では後で使用しません。amAdmin は、設定を変更するために OpenAM にログインするたびに使用します。

                問題が設定中にエラーが発生した場合、コンフィギュレータはエラー メッセージを表示します。 可能な場合は、エラーを修正して、設定をやり直します。 また、作成された Web コンテナ ログ ファイルや install.log が設定ディレクトリにあることを確認します。 設定ディレクトリは <default>/opensso です。ここでは <default> は、デフォルトの OpenAM 設定ディレクトリを指します(たとえば、Linux プラットフォームの /root/opensso または Windows プラットフォームの C:\opensso)。 これらのログには、設定上の問題の原因に関する情報が含まれている場合があります。

                デフォルトでは、OpenAM 設定は Linux プラットフォームでは /root/opensso ディレクトリ、Windows プラットフォームでは C:\opensso の下に保存されます。

                手順
                  ステップ 1   Web ブラウザを開き、OpenAM の Web アプリケーションに移動します。
                  ステップ 2   ログインするには [続行(Proceed)] を選択し、amAdmin とパスワードを入力します。
                  ステップ 3   [アクセス コントロール(Access Control)] タブに移動し、/(トップ レベルのレルム)を選択します。
                  ステップ 4   [認証(Authentication)] > [コア(Core)] > [すべてのコア設定(All Core Settings)] を選択します。
                  ステップ 5   [ユーザ プロファイル(User Profile)] を [無視(Ignored)] に設定します。
                  ステップ 6   [保存(Save)] をクリックして、設定を保存します。

                  次の作業

                  OpenAM サーバのポリシーの設定

                  OpenAM サーバのポリシーの設定

                  表 1 IM and Presence のシングル サインオン機能に必要なポリシー ルール
                  サービス タイプ 名前 リソース名 アクション
                  URL ポリシー エージェント(リソース名付き) <hostname>-01 https://<IMP FQDN>/* Enable GET、Value = Allow Enable POST、Value = Allow
                  <hostname>-02 https://<IMP FQDN>/*?*
                    <hostname>-03 https://<IMP FQDN>/*?*?*
                  <hostname>-04 https://<IMP FQDN>:8443/*
                  <hostname>-05 https://<IMP FQDN>:8443/*?*
                  <hostname>-06 https://<IMP FQDN>:8443/*?*?*
                  この手順で定義されたようにポリシー ルールを適用することは、IM and Presence 管理/ユーザ インターフェイスが、次の URL 形式を使用した Web ブラウザでのみアクセスできることを意味します。
                  • https://<IMP FQDN>:たとえば、https://IMP-Node-01.cisco.com
                  • https://<IMP FQDN>:8443:たとえば、https://IMP-Node-01.cisco.com:8443/

                  https://<IMP HOSTNAME>(たとえば、https://IMP-Node-01/)などのホスト名だけを指定する URL を使用して、IM and Presence 管理/ユーザ インターフェイスにアクセスすることはできません。

                  手順
                    ステップ 1   [アクセス コントロール(Access Control)] タブで、/(トップ レベルのレルム)を選択します。
                    ステップ 2   [ポリシー(Policies)] タブで、新しいポリシーを追加します。
                    ステップ 3   [ポリシー名(Policy Name)] (たとえば IMPPolicy)を入力し、[OK] をクリックします。

                    IMPPolicy は、推奨値にすぎません。 任意の有効な名前値を使用できます。 この値は、これ以降のこの設定で必要になりません。

                    ステップ 4   編集用に新しいポリシーである [IMPPolicy] を選択します。

                    ポリシーの編集では、[ルール(Rules)]、[件名(Subjects)]、[条件(Conditions)] の 3 つのセクションを更新する必要があります。 追加する必要がある 6 つのルールが上記の表にまとめられています。

                    ステップ 5   次のようにルールを追加します。
                    1. [ルール(Rules)] セクションの下で、[新規(New)] をクリックします。
                    2. [サービス タイプ(Service Type)] で [URL ポリシー エージェント(リソース名付き)(URL Policy Agent (with resource name))] を選択します。
                    3. 表示されたフィールドに、上記の表から推奨されるルール名を入力します。<hostname> を IM and Presence ノードの実際のホスト名と置き換えます。
                    4. 表示されたフィールドに、このルールに対応する [リソース名(Resource Name)] を入力します。<IMP FQDN> を IM and Presence ノードの実際の完全修飾ドメイン名と置き換えます。
                    5. Allow の値で GET アクションをイネーブルにします。
                    6. Allow の値で POST アクションをイネーブルにします。
                    7. [完了(Finish)] をクリックしてルールの更新を完了します。
                    8. [保存(Save)] をクリックしてポリシー更新を保存します。
                    9. 上記の表の各ルールでこの手順全体を繰り返して行ってください。

                    この 6 つのルール セットは、シングル サインオンでイネーブルにされている IM and Presence ノードに追加されている必要があります。

                    ステップ 6   1 つの [件名(Subject)] をポリシーに追加する必要があります。 次のように [件名(Subject)] を追加します。
                    1. [件名(Subjects)] セクションの下で、[新規(New)] をクリックします。
                    2. Authenticated Users として [サブジェクトのタイプ(Subject Type)] を選択します。
                    3. [名前(Name)] 値として IMPSubject を入力します。

                      IMPSubject は、推奨値にすぎません。 任意の有効な名前値を使用できます。 この値は、これ以降のこの設定で必要になりません。

                    4. [完了(Finish)] をクリックして件名の更新を完了します。
                    5. [保存(Save)] をクリックしてポリシー更新を保存します。

                    複数の IM and Presence ノードがシングル サイン オンでイネーブルの場合でも、このポリシーに必要なのは 1 つの [サブジェクト(Subject)] だけです。

                    ステップ 7   1 つの [条件(Condition)] をポリシーに追加する必要があります。 次のように [条件(Condition)] を追加します。
                    1. [条件(Conditions)] セクションの下で、[新規(New)] をクリックします。
                    2. [アクティブ セッション時間(Active Session Time)] として [条件タイプ(Condition Type)] を選択します。
                    3. [名前(Name)] 値として IMPTimeOutCondition を入力します。

                      IMPTimeOutCondition は、推奨値にすぎません。 任意の有効な名前値を使用できます。 この値は、これ以降のこの設定で必要になりません。

                    4. [最大セッション時間(Maximum Session Time)] として 120 を入力します。
                    5. [セッションの終了(Terminate Session)] フィールドが [いいえ(No)] に設定されていることを確認します。
                    6. [完了(Finish)] をクリックして件名の更新を完了します。
                    7. [保存(Save)] をクリックしてポリシー更新を保存します。

                    複数の IM and Presence ノードが SSO でイネーブルの場合でも、このポリシーに必要なのは 1 つの [条件(Condition)] だけです。


                    次の作業

                    SSO モジュール インスタンスの設定

                    SSO モジュール インスタンスの設定

                    この単一モジュール インスタンスは、同じ Active Directory ドメインが展開全体で使用されている限り、SSO に設定されている複数の IM and Presence ノードで共有できます。 このマニュアルでは、複数の Active Directory ドメインを伴うを含む展開シナリオについては説明しません。

                    手順
                      ステップ 1   シングル サインオンのための Active Directory のプロビジョニングで作成した OpenAM サーバに keytab ファイルをコピーします。
                      ステップ 2   amAdmin として OpenAM 管理コンソールにログインします。
                      ステップ 3   [アクセス コントロール(Access Control)] > [トップ レベルのレルム(Top Level Realm)] > [認証(Authentication)] > [モジュール インスタンス(Module Instances)] を選択します。
                      ステップ 4   [モジュール インスタンス(Module Instances)] ウィンドウで、[新規(New)] をクリックします。
                      ステップ 5   新しいログイン モジュール インスタンスの名前(たとえば、IMPKRB)を入力し、[Windows デスクトップ SSO(Windows Desktop SSO)] を選択します。
                      ステップ 6   [OK] をクリックします。

                      このモジュール インスタンス名は、後で IM and Presence サーバで SSO を有効にするときに使用されます。

                      ステップ 7   [モジュール インスタンス(Module Instances)] ウィンドウで、新しいログイン モジュールの名前(たとえば、IMPKRB)を選択し、次の情報を入力します。
                      • [サービス プリンシパル(Service Principal)]:HTTP/openAMhostname.domain.com@DOMAIN.COM。 ここでは、openAM サーバ名とドメインを使用した例(HTTP/openamhost.example.com@EXAMPLE.COM)を示します
                      • [keytab ファイル名(Keytab File Name)]:c:\keystore\openAMhostname.HTTP.keytab(Windows プラットフォームの場合)または /root/keytab/openAMhostname.HTTP.keytab(Linux の platorm)
                      • [Kerberos レルム(Kerberos Realm)]:DOMAIN.COM - OpenAM サーバのドメイン(たとえば、EXAMPLE.COM
                      • [Active Directory/Kerberos サーバの名前(Active Directory / Kerberos Server Name)]:kerberos.example.com

                        フェールオーバーの目的で複数の Kerberos ドメイン コントローラが存在する場合は、区切り文字としてコロン(:)を使用してすべての Kerberos ドメイン コントローラを設定できます。

                      • [ドメイン名でプリンシパルを返す(Return Principal with Domain Name)]:False。 [有効(Enabled)] チェックボックスをオフのままにします。
                      • [認証レベル(Authentication Level)]:22
                      ステップ 8   [保存(Save)] をクリックします。

                      モジュール インスタンスが IMPKRB という名前で作成されます。


                      OpenAM サーバでの J2EE エージェント プロファイルの設定

                      OpenAM コンソールで次の手順を実行します。 このタスクの主な手順は、エージェント名とエージェント パスワードを作成することです。


                      (注)  


                      IM and Presence ノードごとに 1 つの J2EE エージェントが必要になります。 複数のノードがシングル サインオンに設定される場合、追加する各ノードに J2EE エージェントを作成する必要があります。


                      手順
                        ステップ 1   GUI コンフィギュレータを使用した OpenAM の設定の項で指定されたクレデンシャルを使用して OpenAM 管理コンソールにログインします。
                        ステップ 2   [アクセス コントロール(Access Control)] タブを選択します。
                        ステップ 3   エージェントが所属する、/(トップ レベルのレルム)などのレルム名を選択します。
                        ステップ 4   [エージェント(Agents)] タブを選択します。
                        ステップ 5   [J2EE] タブを選択します。
                        ステップ 6   [エージェント(Agent)] セクションで、[新規(New)] を選択します。
                        ステップ 7   次のフィールドに値を入力します。
                        • [名前(Name)]:エージェントの名前または ID を入力します(たとえば、<hostname>-j2ee-agent)。
                          (注)     

                          エージェント名は、後で IM and Presence で SSO を有効にするときに使用されます。 たとえば、[ポリシーエージェントに設定されているプロファイルの名前を入力(Enter the name of the profile configured for this policy agent)] で使用します。

                        • [パスワード(Password)]:エージェント パスワードを入力します。
                          (注)     

                          このパスワードは、後で IM and Presence で SSO を有効にするときに尋ねられます。

                        • [サーバ URL(Server URL)] フィールド:OpenAM サーバの URL を入力します。 たとえば、https://<OpenAM FQDN>:8443/opensso と入力します。
                        • [エージェント URL(Agent URL)] フィールド:エージェント アプリケーションの URL を入力します。 たとえば、https://<IM and Presence FQDN>:8443/agentapp と入力します。
                          (注)     

                          「agentapp」は、後で IM and Presence で SSO を有効にするための例で使用されます。

                        ステップ 8   [作成(Create)] を選択します。

                        <hostname-j2ee-agent> の名前で J2EE エージェントが作成されます。

                        ステップ 9   上記で作成された J2EE エージェントを選択します。
                        ステップ 10   [アプリケーション(Application)] タブを選択します。
                        ステップ 11   [ログイン処理(Login Processing)] で、次のように IM and Presence の各 Web GUI アプリケーションのログイン フォーム URI を入力します。
                        • Cisco Unified CM IM and Presence の管理:/cupadmin/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence のサービスアビリティ:/ccmservice/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence のレポート:/cucreports/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence OS の管理:/cmplatform/WEB-INF/pages/logon.jsp
                        • IM and Presence のディザスタリカバリシステム:/drf/WEB-INF/pages/logon.jsp
                        • Real-Time Monitoring Tool(RTMT):/ast/WEB-INF/pages/logon.jsp
                        • Cisco Unified CM IM and Presence ユーザ オプション:cupuser/WEB-INF/pages/logoncontrol.jsp
                        • Cisco Client Profile Agent:/ssoservlet/WEB-INF/pages/logon.html
                        ステップ 12   [保存(Save)] をクリックします。
                        ステップ 13   [OpenAM サービス(OpenAM Services)] タブの [ログイン URL(Login URL)] で、OpenAM のログイン URL を https://<OpenAM FQDN>:8443/opensso/UI/Login?module=<SSO_Module> として追加します。

                        SSO_Module は、SSO モジュール インスタンスの設定で作成したものと同じ値にする必要があります。 たとえば、https://OpenAM-01.corp.com:8443/opensso/UI/Login?module=IMPKRB を使用します。

                        ステップ 14   テキスト領域で、ログイン URL 以外のすべての URL を削除します。 前の手順で指定したログイン URL のみがテキスト領域にリストされている必要があります。
                        ステップ 15   [保存(Save)] をクリックします。

                        OpenAM セッション タイムアウトの設定

                        OpenAM セッション タイムアウトは、IM and Presence サーバに設定されている Web アプリケーション セッション アイドル タイムアウト パラメータよりも小さい値に設定されている必要があります。

                        手順
                          ステップ 1   IM and Presence 管理の CLI にアクセスします。
                          ステップ 2   次のコマンドを実行して、IM and Presence Web アプリケーション セッション アイドル タイムアウト値を判別します。show webapp session timeout
                          ステップ 3   OpenAM サーバ GUI を開き、[設定(Configuration)] > [グローバル(Global)] > [セッション(Session)] > [ダイナミック属性(Dynamic attributes)] > [最大アイドル時間(Maximum Idle Time)] を選択します。
                          ステップ 4   IM and Presence Web アプリケーション セッション アイドル タイム アウト値より 1 分短くなるように、[最大アイドル時間(Maximum Idle Time)] フィールドに値を入力します。

                          IM and Presence への OpenAM 証明書のインポート

                          IM and Presence と OpenAM 間の通信は、シングル サインオンが正常に動作するために安全である必要があります。 結果として、IM and Presence の Tomcat-trust ストアに必要なセキュリティ証明書をアップロードし、IM and Presence が OpenAM サーバを信頼するようにする必要があります。 必要な手順は、Java のインストールの項で OpenAM サーバの Java キーストアを作成するときに使用されるセキュリティ設定に左右されます。
                          • Tomcat の自己署名セキュリティ証明書の使用
                          • Tomcat の CA 署名セキュリティ証明書の使用

                          (注)  


                          証明書のインポートについては、『Cisco Unified System Maintenance Guide for IM and Presence』を参照してください。


                          手順
                            ステップ 1   Web ブラウザ(たとえば、Mozilla Firefox)から OpenAM(https://<OpenAM FQDN>:8443/opensso)にサインインします。
                            ステップ 2   [ツール(Tools)] > [ページ情報(Page info)] > [セキュリティ(Security)] > [証明書の表示(View Certificate)] を選択します。
                            ステップ 3   Java のインストールの項で使用されるセキュリティ設定に左右されます。
                            オプション 説明
                            Tomcat の自己署名セキュリティ証明書の使用

                            ステップ 4 に進みます

                            Tomcat の認証局(CA)署名セキュリティ証明書の使用

                            ステップ 13 に進みます

                            ステップ 4   [証明書ビューア(Certificate Viewer)] ウィンドウで、[詳細(Details)] タブをクリックして証明書情報にアクセスします。
                            ステップ 5   [エクスポート(Export)] をクリックし、証明書をデスクトップに保存します。
                            ステップ 6   自己署名 OpenAM サーバ証明書を取得した後、Cisco Unified IM and Presence オペレーティング システムの管理にサインインし、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                            ステップ 7   [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate chain)] をクリックします。
                            ステップ 8   [証明書のアップロード(Upload Certificate)] ダイアログボックスの [証明署の名前(Certificate Name)] ドロップダウン リストから、[Tomcat の信頼性(tomcat-trust)] を選択します。
                            ステップ 9   [ファイルのアップロード(Upload File)] フィールドで、保存されている自己署名 OpenAM 証明書を参照します。
                            ステップ 10   [ファイルのアップロード(Upload File)] をクリックして、証明書をアップロードします。 自己署名 OpenAM 証明書は、IM and Presence の Tomcat-truststore に追加されます。

                            「Certificate cannot be added to the trust store because it is not a valid CA root or Intermediate cert」警告が表示される場合、-ext BC:c=c:true スイッチを使用して、OpenAM サーバの自己署名証明書が作成されたことを確認します。 詳細については、Java のインストールを参照してください。

                            ステップ 11   CLI コマンド utils service restart Cisco Tomcat を使用して、Tomcat サービスを再起動します。
                            ステップ 12   Tomcat に自己署名セキュリティ証明書を使用するよう選択した場合は、このタスクを完了しました。
                            ステップ 13   [証明書ビューア(Certificate Viewer)] ウィンドウで、[詳細(Details)] タブをクリックして証明書情報にアクセスします。
                            ステップ 14   [エクスポート/保存(Export/Save)] をクリックして、ルートおよび中間署名証明書をファイルします。 署名 OpenAM 証明書は必要ではありません。
                            ステップ 15   ルートおよび中間証明書を保存した後、Cisco Unified IM and Presence オペレーティング システムの管理に署サインインし、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                            ステップ 16   [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate chain)] をクリックします。
                            ステップ 17   [証明書のアップロード(Upload Certificate)] ダイアログボックスの [証明署の名前(Certificate Name)] ドロップダウン リストから、[Tomcat の信頼性(tomcat-trust)] を選択します。
                            ステップ 18   [ファイルのアップロード(Upload File)] フィールドで、保存されているルート証明書を参照します。
                            ステップ 19   [ファイルのアップロード(Upload File)] をクリックして、証明書をアップロードします。 ルート証明書は、IM and Presence の Tomcat-trustore に追加されます。
                            ステップ 20   保存された中間証明書ごとにステップ 16 からステップ 19 を繰り返します。
                            ステップ 21   CLI コマンド utils service restart Cisco Tomcat を使用して、Tomcat サービスを再起動します。

                            次の作業

                            シングル サインオン用のクライアント ブラウザ設定

                            シングル サインオン用のクライアント ブラウザ設定

                            ブラウザベースのクライアント アプリケーションに SSO を使用する場合は、Web ブラウザを設定する必要があります。 ここでは、SSO を使用するようにクライアント ブラウザを設定する方法について説明します。

                            シングル サインオン用の Internet Explorer の設定

                            SSO 機能は、Internet Explorer バージョン 6.0 以降が実行されている Windows クライアントをサポートします。 SSO を使用するように Internet Explorer を設定するには、次の手順を実行します。

                            手順
                              ステップ 1   [ツール(Tools)] > [インターネット オプション(Internet Options)] > [詳細設定(Advanced)] タブを選択します。
                              ステップ 2   [統合 Windows 認証を使用する(Enable Integrated Windows Authentication)] をオンにします。
                              ステップ 3   [OK] をクリックします。
                              ステップ 4   Internet Explorer を再起動します。
                              ステップ 5   [ツール(Tools)] > [インターネット オプション(Internet Options)] > [セキュリティ(Advanced)] > [ローカル イントラネット(Local Intranet)] を選択し、[レベルのカスタマイズ...(Custom Level...)] をクリックします。
                              ステップ 6   [ユーザ認証(User Authentication)] で、[イントラネット ゾーンでのみ自動的にログオンする(Automatic Logon Only in Intranet Zone)] を選択します。
                              ステップ 7   [OK] をクリックします。
                              ステップ 8   [サイト(Sites)] をクリックします。
                              ステップ 9   [イントラネットのネットワークを自動的に検出する(Automatically detect intranet network)] をオンにします。
                              ステップ 10   [詳細設定(Advanced)] をクリックします。
                              ステップ 11   [この Web サイトをゾーンに追加する(Add this web site to the zone)] フィールドに、OpenAM サーバの FQDN を https://OpenAM_FQDN の形式で入力します。
                              ステップ 12   [追加(Add)] をクリックします。
                              ステップ 13   [閉じる(Close)] をクリックします。
                              ステップ 14   [OK] をクリックします。
                              ステップ 15   [保護モードを有効にする(Enable Protected Mode)] をオフにします。
                              ステップ 16   Internet Explorer を再起動します。
                              ステップ 17   Windows レジストリ エディタを開き、次のいずれかのオプションを選択します。
                              オプション 説明
                              Windows XP または Windows 2008 の場合

                              [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択し、regedit と入力します。

                              Windows Vista および Windows 7.0 の場合

                              [スタート(Start)] を選択し、regedit と入力します。 Windows Vista では、その後 [続行(Continue)] をクリックする必要があります。

                              ステップ 18   レジストリ キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\ の下に、SuppressExtendedProtection という新しい DWORD(32 ビット)値を追加し、値を 16 進数の 0x02 に設定します。

                              DWORD は管理者によってのみ設定できます。

                              ステップ 19   新しく作成された DWORD を右クリックし、[修正(Modify)] を選択します。
                              ステップ 20   次の値を設定します。
                              • [表記(Base)]:[16 進(hexadecimal)]
                              • [値のデータ(Value data)]:002
                              新しく作成された DWORD は、LSA ディレクトリ リストに次のように表示されます。
                              • 名前:SuppressExtendedProtection
                              • 種類:REG_DWORD
                              • 値:0x00000002 (2)

                              次の作業

                              この時点で SSO モジュールを確認することができます。 ユーザとして Windows にログインし、Web ブラウザを開き、次の URL にアクセスしてください。https://<openam-FQDN>:8443/opensso/UI/Login?module=<SSO_Module> この例では、openam FQDN は OpenAM サーバの FQDN です。opensso は OpenAM Web アプリケーションの名前で、SSO_Module は WindowsDesktopSSO モジュールの名前です。 ログインが正常に行われたことを通知する画面が表示されます。

                              IM and Presence への OpenAM 証明書のインポート

                              シングル サインオン用の Firefox の設定

                              SSO 機能は、Firefox バージョン 3.0 以降が実行されている Windows クライアントをサポートします。

                              手順
                                ステップ 1   Firefox を開き、URL ページ about:config を入力します。
                                ステップ 2   network.negotiate-auth.trusted-uris までスクロールし、ドメインに設定します(たとえば、corp.com)。

                                次の作業

                                この時点で SSO モジュールを確認することができます。 ユーザとして Windows にログインし、Web ブラウザを開き、次の URL にアクセスしてください。https://<openam-FQDN>:8443/opensso/UI/Login?module=<SSO_Module> この例では、openam FQDN は OpenAM サーバの FQDN です。opensso は OpenAM Web アプリケーションの名前で、SSO_Module は WindowsDesktopSSO モジュールの名前です。 ログインが正常に行われたことを通知する画面が表示されます。

                                IM and Presence への OpenAM 証明書のインポート

                                Real-Time Monitoring Tool(RTMT)の Windows レジストリの設定

                                Real-Time Monitoring Tool(RTMT)の SSO を実現するには、デスクトップ クライアント(Windows XP または Windows 7)で次の新しいレジストリ キーを作成する必要があります:1 に値が設定された REG_DWORD タイプの allowtgtsessionkeyallowtgtsessionkey は管理者が設定する必要があります。

                                この新しいレジストリ キーは、オペレーティング システムに応じて、次の場所のいずれかに保存します。

                                • Windows XP:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
                                • Windows Vista/Windows 7:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

                                シングル サインオンのアクセス権限

                                SSO をイネーブルまたはディセーブルにする前に、適切な権限が設定されていることを確認します。

                                SSO をイネーブルにする前のアクセス権限の設定

                                シングル サインオンをイネーブルにする前後に、配備する必要があるアクセス権限を理解することが重要です。 権限を理解すると、IM and Presence アプリケーションにアクセスするとき、ユーザは誤った権限がある状況を避けることができます。

                                表 2 シングル サインオンをイネーブルにするための要件
                                アプリケーション (注)

                                Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence の管理、IM and Presence のサービスアビリティ、IM and Presence のレポート)

                                SSO をイネーブルにする前に、円滑に管理者アクセスを行うために、必要なユーザ グループのメンバーであるエンド ユーザが存在することを確認します。

                                ユーザがインストール時に作成したデフォルトの管理者アプリケーションは、次のとおりです。

                                グループ:
                                • Standard Audit Users
                                • Standard IM and Presence Super Users
                                • Standard RealtimeAndTraceCollection
                                役割:
                                • Standard AXL API Access
                                • Standard Audit Log Administration
                                • Standard CCM Admin Users
                                • Standard CCMADMIN Administration
                                • Standard CUReporting
                                • Standard RealtimeAndTraceCollection*
                                • Standard SERVICEABILITY Administration

                                これらの役割の上記のユーザ グループのメンバーであるエンド ユーザに、デフォルト管理者と同様の IM and Presence へのフル アクセス権があります。

                                IM and Presence のデフォルトのアプリケーション ユーザを表示するには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [ユーザ管理(User Management)] > [検索(Find)] を選択します。 詳細を表示するには、デフォルトのアプリケーション ユーザ(インストール時に作成された)を選択します。

                                IM and Presence のグループにエンド ユーザを割り当てるには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [ユーザ管理(User Management)] > [アクセス コントロール グループ(Access Control Groups)] > [検索(Find)] を選択します。 グループを選択し、[エンドユーザの追加(Add End Users)] をクリックします。 目的のエンド ユーザを検索し、ユーザを選択して、[選択項目の追加(Add Selected)] をクリックします。

                                Cisco Unified IM and Presence のユーザ オプション

                                エンド ユーザが、対応する CUCM ノードの標準 CCM エンド ユーザ グループのメンバーであることを確認します。

                                Cisco Unified IM and Presence オペレーティング システムの管理(IM and Presence オペレーティング システムの管理、IM and Presence DRS)

                                通常、デフォルトの管理者アプリケーション ユーザは Web アプリケーションにアクセスできません。 これらの Web アプリケーションは、Cisco Unified IM and Presence オペレーティング システムの管理者だけがアクセスできます。 この管理者は、これらの Web アプリケーションに加え、管理の CLI にアクセスできます。

                                これらのアプリケーションで SSO がイネーブルにされると、デフォルトの管理者アプリケーションと同じ権限を持つエンド ユーザがアプリケーションにアクセスできます。

                                Real-Time Monitoring Tool

                                SSO をイネーブルにする前に、Real-Time Monitoring Tool への管理アクセス権を許可するために、必要なユーザ グループのメンバーであるエンド ユーザが存在することを確認します。

                                上記の Cisco Unified CM IM and Presence の管理に対する注記を参照してください。

                                SSO をディセーブルにする前のアクセス権限の設定

                                SSO が SSO をサポートするIM and Presence Web アプリケーションでディセーブルになっている場合、そのアプリケーションにアクセスするすべてのユーザがユーザ名とパスワードを入力する必要があります。 シスコでは、任意の IM and Presence Web アプリケーションで SSO をディセーブルにする IM and Presence 管理者の場合、SSO をディセーブルにした後で、ユーザがアプリケーションにアクセスできることを確認することを推奨します。 これは、アクティブな IM and Presence の管理アカウントを誤ってロックしないために重要です。

                                表 3 シングル サインオンをディセーブルにするための要件
                                アプリケーション (注)

                                Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence の管理、IM and Presence のサービスアビリティ、IM and Presence のレポート)

                                SSO をディセーブルにする前に、アプリケーション ユーザが既知のユーザ名/パスワードに存在し、このユーザが必要なユーザ グループのメンバーであることを確認します。

                                ユーザがインストール時に作成したデフォルトの管理者アプリケーションは、次のとおりです。

                                グループ
                                • Standard Audit Users
                                • Standard IM and Presence Super Users
                                • Standard RealtimeAndTraceCollection
                                役割:
                                • Standard AXL API Access
                                • Standard Audit Log Administration
                                • Standard CCM Admin Users
                                • Standard CCMADMIN Administration
                                • Standard CUReporting
                                • Standard RealtimeAndTraceCollection*
                                • Standard SERVICEABILITY Administration

                                SSO がディセーブルにされている場合、これらの役割の上記のユーザ グループのメンバーであるアプリケーション ユーザでも IM and Presence へのフル アクセス権があります。

                                IM and Presence のアプリケーション ユーザを表示するには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [ユーザ管理(User Management)] > [検索(Find)] を選択します。 ユーザを選択すると、詳細が表示されます。

                                Cisco Unified IM and Presence のユーザ オプション

                                パスワードがエンド ユーザに対して存在し、パスワード値を認識していることを確認します。 この情報は、各エンド ユーザが対象のアプリケーションにアクセスするときに必要です。

                                Cisco Unified IM and Presence オペレーティング システムの管理(IM and Presence オペレーティング システムの管理、IM and Presence DRS)

                                SSO をディセーブルにする前に、OS 管理者ユーザが既知のユーザ名/パスワードに存在し、このユーザが Cisco Unified IM and Presence オペレーティング システムの管理の CLI にアクセスできることを確認します。 SSO がディセーブルにされた後、このユーザは Cisco Unified IM and Presence オペレーティング システムの管理の GUI にアクセスできます。

                                Real-Time Monitoring Tool

                                SSO をディセーブルにする前に、既知のユーザ名/パスワードのアプリケーション ユーザが存在すること、このユーザが Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence の管理、IM and Presence のサービスアビリティ、IM and Presence のレポート)で指定されたユーザと同じアクセス権を持っていることを確認します。

                                シングル サインオンのイネーブル化

                                GUI を使用したシングル サインオンのイネーブル化

                                この Cisco Unified IM and Presence オペレーティング システムの管理アプリケーションが 3 つのコンポーネントに分かれます。
                                • ステータス
                                • サーバの設定
                                • アプリケーションの選択

                                ステータス

                                SSO 設定の変更によって、Tomcat が再起動することを示す警告メッセージが表示されます。

                                SSO アプリケーションを有効にすると、次のエラー メッセージが表示されることがあります。
                                • 「無効な Open Access Manager(OpenAM)サーバの URL(Invalid Open Access Manager (OpenAM) server URL)」:無効な OpenAM サーバ URL を指定すると、このエラー メッセージが表示されます。
                                • 「無効なプロファイル クレデンシャル(Invalid profile credentials)」:間違ったプロファイル名または間違ったプロファイル パスワードあるいは両方を指定すると、このエラー メッセージが表示されます。
                                • 「セキュリティ信頼エラー(Security trust error)」:OpenAM 証明書がインポートされなかった場合に、このエラー メッセージが表示されます。

                                (注)  


                                SSO を有効にするときに上記のいずれかのエラー メッセージが表示された場合は、ステータスが上記のエラーに変わります。


                                サーバの設定

                                サーバ設定は、SSO がすべてのアプリケーションに対して無効になっている場合にだけ編集できます。

                                アプリケーションの選択

                                次のアプリケーションのいずれかを使用して SSO を有効または無効にできます。

                                • Cisco Unified CM IM and Presence の管理:Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence のサービスアビリティ、および Cisco Unified IM and Presence のレポートに対して SSO を有効にします。
                                • Cisco Unified IM and Presence ユーザ オプション:エンド ユーザ オプションに対して SSO を有効にします。
                                • Cisco Unified IM and Presence オペレーティング システムの管理:Cisco Unified IM and Presence オペレーティング システムの管理およびディザスタ リカバリ システムに対して SSO を有効にします。
                                • RTMT:Real-Time Monitoring Tool 用に Web アプリケーションを有効にします。
                                • Cisco UP Client Profile Agent:SSO 用 Cisco Jabber に必要な Cisco UP Client Profile Agent サービスに対して SSO を有効にします。
                                手順
                                  ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理者ページに移動し、[セキュリティ(Security)] > [Single シングル サインオン(Sign On)] を選択します。
                                  ステップ 2   Open Access Manager(OpenAM)サーバの URL(https://hostexample.corp.com:8443/opensso)を入力します。
                                  ステップ 3   ポリシー エージェントを展開する相対パスを入力します。 相対パスは英数字である必要があります。 OpenAM サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                  ステップ 4   このポリシー エージェント用に設定されたプロファイルの名前を入力します。 OpenAM サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                  ステップ 5   プロファイル名のパスワードを入力します。 OpenAM サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                  ステップ 6   Windows デスクトップ SSO 用に設定されたログイン モジュール インスタンス名を入力します。 SSO モジュール インスタンスの設定を参照してください。
                                  ステップ 7   [保存(Save)] をクリックします。
                                  ステップ 8   [確認(Confirmation)] ダイアログボックスで、[OK] をクリックして Tomcat を再起動します。

                                  CLI を使用したシングル サインオンのイネーブル化

                                  以下のコマンドを入力し、以下で説明するように後続のプロンプトに応答して、Cisco Unified IM and Presence オペレーティング システムの管理の CLI を使用して SSO 機能をイネーブルにできます。

                                  次の例では、すでに提供されている他の SSO 手順のパラメータと値を使用します。

                                  admin:utils sso enable 
                                  	*****WARNING***** 
                                  This command will restart Tomcat for successful completion.
                                  This command needs to be executed on all the nodes in the cluster. 
                                  Do you want to continue (yes/no): yes 
                                  List of apps for which SSO can be enabled: 
                                  1) Cisco Unified CM IM and Presence Administration (CUCM IM/P Admin, CU IM/P Serviceability, CU Reporting) 
                                  2) Cisco Unified IM and Presence Operating System Administration (CU IM/P OS Admin, IM/P DRS) 
                                  3) Cisco Client Profile Agent
                                  4) RTMT 
                                  5) Cisco Unified IM and Presence User Options (CUCM IM/P User options)
                                  Do you want to enable SSO for Cisco Unified CM IM and Presence Administration (CUCM IM/P Admin, CU IM/P Serviceability, CU IM/P Reporting) (yes/no): yes 
                                  Do you want to enable SSO for Cisco Unified IM and Presence Operating System Administration (CU IM/P OS Admin, IM/P DRS) 
                                  (yes/no): yes 
                                  Do you want to enable SSO for Cisco Client Profile Agent (yes/no):yes
                                  Do you want to enable SSO for RTMT (yes/no):yes
                                  Do you want to enable SSO for Cisco Unified CM IM and Presence User Options (CUCM IM/P User options) (yes/no):yes
                                  Enter URL of the Open Access Manager (OpenAM) server: 
                                  https://gwydlvm971.corp28.com:8443/opensso 
                                  Enter the relative path where the policy agent should be deployed: agentapp 
                                  Enter the name of the profile configured for this policy agent: gwydlvm396-j2ee-agent 
                                  Enter the password of the profile name: ******** 
                                  Enter the login module instance name configured for Windows Desktop SSO: IMPKRB
                                  Validating connectivity and profile with Open Access Manager (OpenAM) Server: 
                                  https://gwydlvm971.corp28.com:8443/opensso 
                                  Valid profile
                                  Valid module name
                                  Enabling SSO ... This will take up to 5 minutes
                                  SSO Enable Success
                                  

                                  シングル サインオンのディセーブル化

                                  GUI を使用したシングル サインオンのディセーブル化

                                  次の手順に従って、Cisco Unified IM and Presence オペレーティング システムの管理の GUI を使用して SSO 機能をディセーブルにできます。

                                  手順
                                    ステップ 1   [Cisco Unified OS の管理(Cisco Unified OS Administration)] > [セキュリティ(Security)] > [シングル サインオン(Single Sign On)] の順に進みます。
                                    ステップ 2   SSO 用にイネーブルされたすべてのアプリケーションを選択解除します。
                                    ステップ 3   [保存(Save)] をクリックします。
                                    ステップ 4   [確認(Confirmation)] ダイアログボックスで、[OK] をクリックして Tomcat を再起動します。

                                    CLI を使用したシングル サインオンのディセーブル化

                                    次の手順に従って、Cisco Unified IM and Presence オペレーティング システムの管理の CLI を使用して SSO 機能をディセーブルにできます。

                                    手順
                                      ステップ 1   Cisco Unified IM and Presence オペレーティング システムの管理の CLI へのアクセス
                                      ステップ 2   次のコマンドを実行します。utils sso disable
                                      ステップ 3   適宜プロンプト メッセージに応答して、現在イネーブルにされている SSO アプリケーションのすべてをディセーブルにします。

                                      OpenAM の削除

                                      Linux での OpenAM のアンインストール

                                      手順
                                        ステップ 1   /root/apachetomcat-<latest version>/bin ディレクトリの下で shutdown.sh コマンドを実行して、OpenAM サーバで動作している Tomcat を停止します。
                                        ステップ 2   次のディレクトリおよびその内容をすべて削除します。
                                        • ConfigurationDirectory は、OpenAM インスタンスがコンフィギュレータを使用して最初に設定されたときに作成されたディレクトリです。 デフォルト ディレクトリは、コンフィギュレータを実行しているユーザのホーム ディレクトリの opensso です。 コンフィギュレータがルートで実行されている場合、ConfigurationDirectory はルート ホーム ディレクトリ、/root に作成されます。
                                        • user-home-directory.openssocfguser-home-directory は、opensso.war ファイルを展開したユーザのホーム ディレクトリです。 このユーザがルートの場合、ディレクトリは /.openssocfg です。
                                        ステップ 3   Tomcat の webapps ディレクトリから opensso.war ファイルを削除します。 たとえば、/root/ apache-tomcat-<latest version>/webapps です
                                        ステップ 4   /root/ apache-tomcat-<latest version>/bin ディレクトリの下にある startup.sh を実行して、OpenAM サーバで Tomcat を起動します。

                                        Windows での OpenAM のアンインストール

                                        手順
                                          ステップ 1   OpenAM サーバで Tomcat サービスが実行されている場合に停止するには、[管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat <最新バージョン>] > [停止(Stop)] を選択します。
                                          ステップ 2   ユーザ ホーム ディレクトリから opensso および .openssocfg フォルダを削除します。
                                          ステップ 3   Tomcat の webapps フォルダから opensso.war ファイルを削除します。

                                          例:c:\Program Files\Apache Software Foundation\Tomcat <latest version>\webapps

                                          ステップ 4   [管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat <最新バージョン>] > [開始(Start)] を選択して、Tomcat サービスを開始します。

                                          デバッグ レベルの設定

                                          追加のデバッグ情報は、適宜 J2EE Policy Agent のログ レベルを設定して IM and Presence ノードから収集できます。 このコンポーネントにログ レベルは、OpenAM サーバ自体に設定されます。 デフォルトのログ レベルは [エラー(Error)] です。 ログ レベルを [メッセージ(Message)] に変えて、追加のデバッグ情報を提供することができます。 関連付けられたログ ファイルのサイズは非常に大きくなる可能性があるため、[メッセージ(Message)] ログ レベルは、短い間だけ使用することを推奨します。

                                          手順
                                            ステップ 1   Web ブラウザ(たとえば、Mozilla Firefox)から OpenAM(https://<OpenAM FQDN>:8443/opensso)にサインインします。
                                            ステップ 2   [アクセス コントロール(Access Control)] メニューから、[トップ レベルのレルム(Top Level Realm)] > [エージェント(Agents)] > [J2EE] を選択します。
                                            ステップ 3   目的の J2EE エージェントを選択します。
                                            ステップ 4   [全般(General)] リンクを選択します。
                                            ステップ 5   [エージェント デバッグ レベル(Agent Debug Level)] で、目的のレベル([メッセージ(Message)] または[エラー(Error)] を選択します。
                                            ステップ 6   [保存(Save)] をクリックします。
                                            ステップ 7   IM and Presence ノードで、Cisco Tomcat サービスを再起動します。
                                            1. IM and Presence 管理の CLI にアクセスします。
                                            2. 次のコマンドを実行します。utils service restart Cisco Tomcat
                                            ステップ 8   Cisco SSO コンポーネントのログを参照およびダウンロードして、IM and Presence の Cisco Unified Real Time Monitoring Tool を使用したログを取得します。

                                            シングル サインオンのトラブルシューティング

                                            セキュリティ信頼エラー メッセージ

                                            問題    シングル サイン オン機能をイネーブルにすると、「セキュリティ信頼エラー(Security trust error)」メッセージが表示されます。
                                            考えられる原因    IM and Presence ノードが OpenAM ノードを信頼しなくなるセキュリティ証明書の問題がある可能性があります。
                                            解決法    次の証明書が IM and Presence ノードにアップロードされ、IM and Presence ノードの Tomcat サービスが再起動したことを確認してください。Java のインストールの項で選択されたアプローチである場合は、OpenAM 自己署名証明書、Java のインストールの項で選択されたアプローチの場合は、OpenAM 証明書に署名したルート証明書および任意の中間証明書。 SSO をイネーブルにする際、正しい OpenAM URL が GUI または CLI で指定されていることも確認する必要があります。 OpenAM URL は、ポート番号との完全修飾ドメイン名である必要があります。 たとえば、https://openam-01.corp28.com:8443/opensso を使用します。

                                            無効なプロファイル クレデンシャル メッセージ

                                            問題    シングル サイン オンをイネーブルにすると、「無効なプロファイル クレデンシャル(Invalid profile credentials)」メッセージが表示されます。
                                            考えられる原因    IM and Presence ノードの J2EE エージェントで正しくない名前とパスワードを指定している可能性があります。
                                            解決法    OpenAM サーバでの J2EE エージェント プロファイルの設定の項を参照し、入力された名前とパスワード値を確認してください。 SSO をイネーブルにするときに、これらの値を指定する必要があります。

                                            「モジュール名が無効である」メッセージ

                                            問題    シングル サイン オンをイネーブルにすると、「モジュール名が無効である(Module Name is Invalid)」メッセージが表示されます。
                                            考えられる原因    SSO モジュール インスタンスに正しくない名前を指定している可能性があります。
                                            解決法    SSO モジュール インスタンスの設定の項を参照し、手順を確認してください。

                                            無効な OpenAM Access Manager(Openam)サーバ URL メッセージ

                                            問題    シングル サイン オンをイネーブルにすると、「無効な Open Access Manager(OpenAM)サーバの URL(Invalid Open Access Manager (OpenAM) server URL)」メッセージが表示されます。
                                            考えられる原因    SSO をイネーブルにするときに、GUI または CLI で指定された OpenAM URL が正しくなかった可能性があります。
                                            解決法    SSO をイネーブルにする際、正しい OpenAM URL が GUI または CLI で指定されていることを確認します。 OpenAM URL は、ポート番号との完全修飾ドメイン名である必要があります。 たとえば、https://openam-01.corp28.com:8443/opensso を使用します。 OpenAM サーバが使用可能で稼働中であり、OpenAM 管理の GUI にアクセスできることも確認してください。

                                            Web ブラウザが 401 エラーを示す

                                            問題    IM and Presence ノードのシングル サインオン(SSO)対応 Web アプリケーションにアクセスすると、Web ブラウザが HTTP 401 エラー コードを表示します。
                                            考えられる原因    ユーザのブラウザ設定の問題が考えられます。
                                            解決法    シングル サインオン用のクライアント ブラウザ設定の項を参照し、手順を確認してください。

                                            Web ブラウザが 403 エラーを示し、空白画面を表示する

                                            問題    IM and Presence ノードのシングル サインオン(SSO)対応 Web アプリケーションにアクセスすると、Web ブラウザが HTTP 403 エラー コードを示すか、空白画面が表示されます。
                                            考えられる原因    この IM and Presence ノードの OpenAM ポリシー設定の問題が考えられます。
                                            解決法    この IM and Presence ノードに 6 つのポリシー ルールを追加し、すべてのポリシー ルールが GET/POST アクションでイネーブルにされており、[許可(Allow)] に設定されていることを確認します。 また、[件名(Subject)] がポリシーに追加されている必要もあります。 詳細については、OpenAM サーバのポリシーの設定の項を参照してください。

                                            「ユーザはこの機能を行う権限がありません」エラー

                                            問題    Web アプリケーションにアクセスし、このページにアクセスしようとすると、次のメッセージが表示されます。「ユーザはこの機能を行う権限がありません(User is not authorized to perform this function)」
                                            考えられる原因    IM and Presence のユーザに割り当てられている権限の問題が考えられます。
                                            解決法    ユーザ オプション Web アプリケーションへのアクセスが失敗する場合、ユーザが対応する Cisco Unified Communications Manager ノードの [標準 CCM エンド ユーザ(Standard CCM End Users)] グループのメンバーであることを確認します。 他の IM and Presence Web アプリケーションへのアクセスに失敗した場合、ユーザが [標準 CCM エンド ユーザ(Standard CCM End Users)] グループまたはこの IM and Presence ノードの同等ロールのグループのメンバーであることを確認します。

                                            Web ブラウザが HTTP 404 エラーを示す

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザが HTTP 404 エラー コードを表示します。
                                            考えられる原因    この IM and Presence ノードで OpenAM ポリシー設定または OpenAM J2EE エージェント設定のいずれかの設定で問題がある可能性があります。
                                            解決法    ホスト名のみを含む URL を使用してこの IM and Presence ノードにアクセスしようとしていないことを確認します。SSO が Web アプリケーションでイネーブルにされている場合、これはサポートされていません。 OpenAM サーバのポリシーの設定の項を参照し、IM and Presence ノードのポリシー ルールを確認します。 OpenAM サーバでの J2EE エージェント プロファイルの設定の項を参照し、[ログイン処理(Login Processing)] に関連するステップを確認してください。 OpenAM サーバのこの IM and Presence ノードの J2EE エージェント設定に [ログイン処理(Login Processing)] URI を追加したことを確認します。

                                            Web ブラウザが HTTP 500 エラーを示し、空白画面を表示する

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザが HTTP 500 エラー コードを示すか、空白画面が表示されます。
                                            考えられる原因    この IM and Presence ノードの OpenAM J2EE エージェント設定の問題が考えられます。
                                            解決法    OpenAM サーバでの J2EE エージェント プロファイルの設定の項を参照し、次のタスクを実行します。 この IM/P ノードに対して J2EE エージェントの [ログイン処理(Login Processing)] URI を追加し、[OpenAM サービス(OpenAM Services)] タブに [ログイン処理(Login Processing)] を追加し、他のすべての [ログイン処理(Login Processing)] を削除したことを確認します。

                                            「認証に失敗しました」メッセージ

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザは「認証に失敗しました(Authentication Failed)」メッセージを OpenAM ログイン画面に表示します。
                                            考えられる原因    WindowsDesktopSSO ログイン モジュールの問題が考えられます。
                                            解決法    SSO モジュール インスタンスの設定の項を参照し、手順を確認して、すべてのモジュール インスタンスの設定が正しく、キータブ ファイルが指定されたディレクトリに存在し、ユーザの Windows PC、Active Directory、OpenAM サーバおよび IM and Presence ノードのクロックが同期されているようにします。

                                            Web ブラウザが OpenAM ログイン画面を表示する

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザが OpenAM ログイン画面を表示します。
                                            考えられる原因    この IM and Presence ノードの OpenAM J2EE エージェント設定の問題が考えられます。
                                            解決法    OpenAM サーバでの J2EE エージェント プロファイルの設定の項を参照し、[OpenAM サービス(OpenAM Services)] タブに [ログイン URL(Login URL)] を追加し、他のすべての [ログイン URL(Login URL)] を削除したしたことを確認します。

                                            Web ブラウザが IM and Presence ログイン画面を表示する

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザが Web アプリケーション ログ画面を表示します。
                                            考えられる原因    この IM and Presence ノードの OpenAM J2EE エージェント設定の問題が考えられます。
                                            解決法    OpenAM サーバでの J2EE エージェント プロファイルの設定の項を参照し、この IM and Presence ノードの J2EE エージェントに対して [ログイン処理(Login Processing)] URI を追加したことを確認します。

                                            Internet Explorer がユーザ名とパスワードを要求する

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Internet Explorer Web ブラウザがユーザ名とパスワードを要求します。
                                            考えられる原因    ユーザのブラウザ設定の問題が考えられます。
                                            解決法    シングル サインオン用のクライアント ブラウザ設定の項を参照し、手順を確認してください。

                                            「この組織にはユーザに対するプロファイルがありません」メッセージ

                                            問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザは「この組織でユーザに対するプロファイルがありません(user has no profile on this organization)」メッセージを OpenAM ログイン画面に表示します。
                                            考えられる原因    [ユーザ プロファイル(User Profile)] が、[無視(Ignored)] に設定されていない可能性があります。
                                            解決法    GUI コンフィギュレータを使用した OpenAM の設定の項を参照してください。

                                            SSO のイネーブル化で問題が発生する

                                            問題    シングル サインオン機能をイネーブルにすることができません。
                                            考えられる原因    OpenAM サーバが展開されている Tomcat インスタンスが応答不能になるか、突然シャットダウンする場合は、IM and Presence の SSO 機能のイネーブル化が影響を受ける可能性があります。 IM and Presence で SSO を正常にイネーブルにするには、OpenAM が動作している必要があります。 IM and Presence は、OpenAM Tomcat インスタンスを監視しません。 その結果、このような発生に対して IM and Presence アラームまたは通知は生成されません。
                                            解決法    Cisco Unified IM and Presence オペレーティング システムの管理の GUI または IM and Presence 管理の CLI から SSO をイネーブルにするときに問題が発生する場合は、Tomcat が OpenAM サーバで実行されていることを確認します。 Tomcat が OpenAM サーバで実行されていることを確認しても問題が解決しない場合は、OpenAM サーバで Tomcat が実行されていることを確認し、OpenAM サーバで Tomcat を再起動し、SSO を再度イネーブルにしてください。