In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die SAML (Security Assertion Markup Language) Single Sign-On (SSO) für Cisco Unified Communications Manager (CUCM) konfiguriert und verifiziert wird.
Damit SAML SSO funktioniert, müssen Sie die richtige NTP-Konfiguration installieren und sicherstellen, dass die Zeitdifferenz zwischen dem Identity Provider (IdP) und den Unified Communications-Anwendungen drei Sekunden nicht überschreitet.
Bei zeitlicher Abweichung zwischen CUCM und IdP wird folgender Fehler angezeigt: "Ungültige SAML-Antwort." Dieser Fehler kann auftreten, wenn die Zeit zwischen den CUCM- und IDP-Servern nicht synchronisiert ist. Damit SAML SSO funktioniert, müssen Sie die richtige NTP-Konfiguration installieren und sicherstellen, dass die Zeitdifferenz zwischen der IDP und den Unified Communications-Anwendungen drei Sekunden nicht überschreitet.
Weitere Informationen zur Synchronisierung von Uhren finden Sie im Abschnitt "NTP Settings" (NTP-Einstellungen) im Administratorleitfaden für das Cisco Unified Communications-Betriebssystem.
Unified Communications-Anwendungen können DNS verwenden, um vollständig qualifizierte Domänennamen (FQDNs) in IP-Adressen aufzulösen. Die Service Provider und die IdP müssen vom Browser auflösbar sein.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Vorsicht: Dieses Dokument basiert auf einem neu installierten CUCM. Wenn Sie SAML SSO auf einem bereits in der Produktion befindlichen Server konfigurieren, müssen Sie möglicherweise einige der Schritte entsprechend überspringen. Wenn Sie die Schritte auf dem Produktionsserver durchführen, müssen Sie auch die Auswirkungen auf den Dienst verstehen. Es wird empfohlen, dieses Verfahren außerhalb der Geschäftszeiten durchzuführen.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
SAML ist ein XML-basiertes, auf offenen Standards basierendes Datenformat, das Administratoren den nahtlosen Zugriff auf bestimmte Cisco Collaboration-Anwendungen ermöglicht, nachdem sie sich bei einer dieser Anwendungen angemeldet haben. SAML SSO erstellt beim Austausch von Metadaten im Rahmen des Bereitstellungsprozesses zwischen dem IdP und dem Service Provider einen Circle of Trust (CoT). Der Service Provider vertraut den Benutzerinformationen der ID, um den Zugriff auf die verschiedenen Dienste oder Anwendungen zu ermöglichen.
Hinweis: Service Provider sind nicht mehr an der Authentifizierung beteiligt. SAML Version 2.0 delegiert die Authentifizierung von den Service Providern und den IdPs. Der Client authentifiziert sich anhand der IdP, und der IdP gewährt dem Client eine Assertion. Der Client stellt dem Dienstanbieter die Assertion dar. Da ein CoT eingerichtet ist, vertraut der Service Provider der Assertion und gewährt dem Client Zugriff.
Tipp: Wenn Sie LDAP über SSL konfigurieren möchten, laden Sie das LDAP-Verzeichniszertifikat auf CUCM hoch. Informationen zum Synchronisierungsmechanismus für bestimmte LDAP-Produkte und allgemeine Best Practices für die LDAP-Synchronisierung finden Sie im LDAP-Verzeichnisinhalt in Cisco Unified Communications Manager SRND.
Hinweis: Vergewissern Sie sich, dass der Cisco DirSync-Dienst auf der Webseite Serviceability aktiviert ist, bevor Sie auf Save (Speichern) klicken.
Hinweis: Dieses Konfigurationsbeispiel basiert auf selbstsignierten CUCM- und AD FS-Zertifikaten. Falls Sie Zertifikate der Zertifizierungsstelle (Certificate Authority, CA) verwenden, müssen entsprechende Zertifikate sowohl auf AD FS als auch auf CUCM installiert sein. Weitere Informationen finden Sie unter Zertifikatsverwaltung und -validierung.
Hinweis: Wenn Sie alle XML-Metadaten-Dateien aller Knoten auf IdP konfigurieren und die SSO-Operation auf einem Knoten aktivieren, ist die SAML SSO auf allen Knoten im Cluster aktiviert.
Tipp: Sie sollten auch Cisco Unity Connection und CUCM IM and Presence für SAML SSO konfigurieren, wenn Sie die SAML SSO-Erfahrung für Cisco Jabber-Clients verwenden möchten.
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Hinweis: SAML SSO ermöglicht keinen Zugriff auf folgende Seiten:
- Prime Licensing Manager
- Betriebssystemverwaltung
- Disaster Recovery System
Wenn Sie SAML nicht aktivieren können und sich nicht anmelden können, verwenden Sie die neue Option unter Installierte Anwendungen mit dem Namen Recovery URL, um Single Sign-on (SSO) zu umgehen, die verwendet werden kann, um sich mit den Anmeldeinformationen anzumelden, die während der Installation erstellt wurden, oder mit lokal erstellten CUCM Administrative Benutzern.
Weitere Informationen zur Fehlerbehebung finden Sie unter Problembehandlung bei SAML SSO für Collaboration-Produkte 10.x.