Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager Version 10.5

Версия диспетчера 10.5 унифицированной связи Пример конфигурации SSO SAML

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить и проверить Единую точку входа (SSO) Языка разметки утверждений безопасности (SAML) для Cisco Unified Communications Manager (CUCM).

Внесенный А.М.Мэхешем Бэбу, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Настройка протокола NTP

Для SSO SAML для работы необходимо установить корректную настройку NTP и удостовериться, что разница во времени между Идентификационным Поставщиком (IdP) и Унифицированными коммуникационными приложениями не превышает три секунды.

Если существует несоответствие времени между CUCM и IdP, вы получаете эту ошибку: "Недопустимый ответ SAML". Когда время испытывает недостаток синхронизования между серверами IdP и CUCM, эта ошибка могла бы быть вызвана. Проверьте конфигурацию NTP на обоих серверах. Если CUCM перед IdP к 10 минутам или одной секунде позади IdP, это может вызвать проблемы. Минимальная разница во времени составляет десять минут.

Для получения информации о том, как синхронизировать часы, обратитесь к разделу Параметров настройки NTP в Руководстве по администрированию Операционной системы Унифицированной связи Cisco.

Настройка сервера доменных имен (DNS)

Унифицированные коммуникационные приложения могут использовать DNS для решения Полных доменных имен (FQDNs) к IP-адресам. Поставщики услуг и IdP должны быть разрешимыми браузером.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Сервис федерации Active Directory (AD FS) версия 2.0 как IdP
  • Версия 10.5 CUCM как поставщик услуг
  • Microsoft Internet Explorer 10

Внимание.  : Этот документ основывается на недавно установленном CUCM. При настройке SSO SAML на уже в производственном сервере вам, возможно, придется пропустить некоторые шаги соответственно. Необходимо также понять сервисное влияние при выполнении шагов в производственный сервер. Рекомендуется выполнить эту процедуру во время нерабочих часов.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

SAML на основе XML, формат данных открытого стандарта, который позволяет администраторам обратиться к определенному набору приложений Cisco Collaboration эффективно после того, как они подписываются в одно из тех приложений. SSO SAML устанавливает Круг доверия (CoT), когда он обменивается метаданными как частью процесса инициализации между IdP и Поставщиком услуг. Поставщик услуг доверяет сведениям о пользователе IdP для обеспечения доступа к различным сервисам или приложениям.

Примечание: Поставщики услуг больше не вовлекаются в аутентификацию. Версия 2.0 SAML делегирует аутентификацию далеко от Поставщиков услуг и к IdPs. Клиент подтверждает подлинность против IdP, и IdP предоставляет Утверждение клиенту. Клиент представляет Утверждение Поставщику услуг. С тех пор существует установленный CoT, Поставщик услуг доверяет Утверждение и предоставляет доступ клиенту.

Настройка

Схема сети

Установка каталога

  1. Выберите Cisco Unified CM Administration> System> LDAP> LDAP System.



  2. Нажать Add New.

  3. Настройте тип сервера Протокола LDAP и атрибут.

  4. Выберите Enable Synchronizing from LDAP Server.



  5. Выберите Cisco Unified CM Administration> System> LDAP> LDAP Directory.

  6. Настройте эти элементы:

    • Настройки учетной записи каталога LDAP
    • Атрибуты пользователя, которые будут синхронизироваться
    • Список синхронизации
    • Имя хоста сервера LDAP или IP-адрес и номер порта




  7. Анчек SSL Использования, если вы не хотите использовать Протокол SSL для передачи с каталогом LDAP.

    Совет: Если вы хотите настроить LDAP через SSL, загрузите сертификат каталога LDAP на CUCM. Посмотрите содержание каталога LDAP в Cisco Unified Communications Manager SRND для получения информации о механизме синхронизации учетной записи для определенных продуктов LDAP и общих оптимальных методах для синхронизации LDAP.



  8. Нажмите Save и затем Выполните Полное Синхронизование Теперь.



    Примечание: Удостоверьтесь, что сервис Cisco DirSync включен в веб-странице Удобства обслуживания перед нажатием Save.



  9. Перейдите к Управлению пользователями> Конечный пользователь и выберите пользователя, которому вы хотите дать Административную роль CUCM (данный пример выбирает пользовательский SSO).



  10. Прокрутите вниз к информации о Разрешениях и нажмите Add к Access Control Group. Выберите Standard CCM Super Users, нажмите Add Выбранный, и нажмите Save.

Включите SSO SAML

  1. Войдите в интерфейс пользователя администрирования CUCM.

  2. Выберите System>, SAML Single Sign-On и SAML Single Sign-On Configuration window открываются.



  3. Для включения SSO SAML на кластере нажмите Enable SAML SSO.



  4. В Окне предупреждения Reset нажмите Continue.



  5. На экране SSO нажмите Browse для импортирования IdP (FederationMetadata.xml) XML-файл метаданных с Загрузками шаг Метаданных IdP.



  6. Как только файл метаданных загружен, нажмите Import IdP Metadata для импортирования информации о IdP к CUCM. Подтвердите, что импорт был успешен, и нажмите Next для продолжения.





  7. Нажмите Download Trust Metadata File (дополнительный), чтобы сохранить CUCM и IM CUCM и метаданные Присутствия к локальному каталогу и перейти, Добавляют CUCM как Полагающийся Партийное Доверие. Как только AD конфигурация FS завершена, продолжитесь к Шагу 8.



  8. Выберите SSO как административного пользователя и нажмите Run SSO Test.



  9. Проигнорируйте Предупреждения Сертификата и продолжитесь далее. Когда вам предложат для учетных данных, введите имя пользователя и пароль для пользовательского SSO и нажмите OK.



    Примечание: Этот пример конфигурации основывается на CUCM и AD подписанных сертификатах FS. В случае, если вы используете сертификаты Центра сертификации (CA), соответствующие сертификаты должны быть установлены и на AD FS и на CUCM. Обратитесь Управление сертификатами и Проверку для получения дополнительной информации.



  10. После того, как все шаги завершены, "Следовавший Тест SSO!" индикаторы сообщения. Нажмите Close и Finish для продолжения. Вы теперь успешно завершили задачи конфигурации для включения SSO на CUCM с AD FS.



  11. Так как IM CUCM и действия Присутствия как Абонент CUCM, которого необходимо настроить, Добавляют IM CUCM и Присутствие как Полагающийся Партийное Доверие и затем запускают Тест SSO Выполнения для включения SSO SAML от самой страницы CUCM SAML SSO.

    Примечание: Если вы настраиваете XML-файлы метаданных всех узлов на IdP, и вы включаете операцию SSO на одном узле, то SSO SAML включен на всех узлах в кластере.



    AD FS должен быть настроен для всех узлов CUCM и IM CUCM и Присутствия в кластере как Передача Стороны.

    Совет: Если вы хотите использовать опыт SSO SAML для Клиентов Cisco Jabber, необходимо также настроить Cisco Unity Connection и IM CUCM и Присутствие для SSO SAML.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

  1. Откройте web-браузер и введите FQDN для CUCM.

  2. Нажмите Cisco Unified Communications Manager.

  3. Выберите webapp (Удобство обслуживания Администрирования CM / Унифицированное Удобство обслуживания / Cisco Унифицированное Создание отчетов) и нажмите Go, тогда необходимо предложить для учетных данных AD FS. Как только вы вводите учетные данные пользовательского SSO, вы успешно зарегистрированы в выбранный webapp (администрирование CM Паг, Унифицированная страница Serviceability, Cisco Унифицированное Создание отчетов).



    Примечание: SSO SAML не включает доступ к этим страницам:
               - Главное лицензирование менеджера
               - Администрирование ОС
               - Система Восстановления после отказа

Устранение неполадок

Если вы не в состоянии включить SAML, и вы не в состоянии войти, использовать новую опцию под Установленными Приложениями под названием URL Восстановления для обхода Единой точки входа (SSO), которая может использоваться для регистрации с учетными данными, созданными во время установки или локально созданных Административных пользователей CUCM.

Для дальнейшего устранения проблем обратитесь к Устранению проблем SSO SAML для Продуктов Совместной работы 10. x .


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.