Unified Communications Manager Version 10.5 SAML SSO - Konfigurationsbeispiel

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. März 2018
Dokument-ID:118770

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument wird beschrieben, wie die SAML (Security Assertion Markup Language) Single Sign-On (SSO) für Cisco Unified Communications Manager (CUCM) konfiguriert und verifiziert wird.

Voraussetzungen

Anforderungen

Network Time Protocol (NTP)-Einrichtung

Damit SAML SSO funktioniert, müssen Sie die richtige NTP-Konfiguration installieren und sicherstellen, dass die Zeitdifferenz zwischen dem Identity Provider (IdP) und den Unified Communications-Anwendungen drei Sekunden nicht überschreitet.

Bei zeitlicher Abweichung zwischen CUCM und IdP wird folgender Fehler angezeigt: "Ungültige SAML-Antwort." Dieser Fehler kann auftreten, wenn die Zeit zwischen den CUCM- und IDP-Servern nicht synchronisiert ist. Damit SAML SSO funktioniert, müssen Sie die richtige NTP-Konfiguration installieren und sicherstellen, dass die Zeitdifferenz zwischen der IDP und den Unified Communications-Anwendungen drei Sekunden nicht überschreitet.

Weitere Informationen zur Synchronisierung von Uhren finden Sie im Abschnitt "NTP Settings" (NTP-Einstellungen) im Administratorleitfaden für das Cisco Unified Communications-Betriebssystem.

DNS-Einrichtung (Domain Name Server)

Unified Communications-Anwendungen können DNS verwenden, um vollständig qualifizierte Domänennamen (FQDNs) in IP-Adressen aufzulösen. Die Service Provider und die IdP müssen vom Browser auflösbar sein.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Active Directory Federation Service (AD FS) Version 2.0 als IDP
  • CUCM-Version 10.5 als Service Provider
  • Microsoft Internet Explorer 10

Vorsicht: Dieses Dokument basiert auf einem neu installierten CUCM. Wenn Sie SAML SSO auf einem bereits in der Produktion befindlichen Server konfigurieren, müssen Sie möglicherweise einige der Schritte entsprechend überspringen. Wenn Sie die Schritte auf dem Produktionsserver durchführen, müssen Sie auch die Auswirkungen auf den Dienst verstehen. Es wird empfohlen, dieses Verfahren außerhalb der Geschäftszeiten durchzuführen.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

SAML ist ein XML-basiertes, auf offenen Standards basierendes Datenformat, das Administratoren den nahtlosen Zugriff auf bestimmte Cisco Collaboration-Anwendungen ermöglicht, nachdem sie sich bei einer dieser Anwendungen angemeldet haben. SAML SSO erstellt beim Austausch von Metadaten im Rahmen des Bereitstellungsprozesses zwischen dem IdP und dem Service Provider einen Circle of Trust (CoT). Der Service Provider vertraut den Benutzerinformationen der ID, um den Zugriff auf die verschiedenen Dienste oder Anwendungen zu ermöglichen.

Hinweis: Service Provider sind nicht mehr an der Authentifizierung beteiligt. SAML Version 2.0 delegiert die Authentifizierung von den Service Providern und den IdPs. Der Client authentifiziert sich anhand der IdP, und der IdP gewährt dem Client eine Assertion. Der Client stellt dem Dienstanbieter die Assertion dar. Da ein CoT eingerichtet ist, vertraut der Service Provider der Assertion und gewährt dem Client Zugriff.

Konfigurieren

Netzwerkdiagramm

118770-configure-cucm-00-00.png

Verzeichniseinrichtung

  1. Wählen Sie Cisco Unified CM Administration > System > LDAP > LDAP System aus.

    118770-configure-cucm-00-01.png



  2. Klicken Sie auf Neu hinzufügen.

  3. Servertyp und -attribut für das Lightweight Directory Access Protocol (LDAP) konfiguriert.

  4. Wählen Sie Synchronisierung vom LDAP-Server aktivieren aus.

    118770-configure-cucm-00-02.png



  5. Wählen Sie Cisco Unified CM Administration > System > LDAP > LDAP Directory aus.

  6. Konfigurieren Sie diese Elemente:

    • Kontoeinstellungen für LDAP-Verzeichnisse
    • Zu synchronisierende Benutzerattribute
    • Synchronisierungsplan
    • Hostname oder IP-Adresse des LDAP-Servers und Portnummer


    118770-configure-cucm-00-03.png



  7. Deaktivieren Sie SSL verwenden, wenn Sie Secure Socket Layer (SSL) nicht verwenden möchten, um mit dem LDAP-Verzeichnis zu kommunizieren.

    Tipp: Wenn Sie LDAP über SSL konfigurieren möchten, laden Sie das LDAP-Verzeichniszertifikat auf CUCM hoch. Informationen zum Synchronisierungsmechanismus für bestimmte LDAP-Produkte und allgemeine Best Practices für die LDAP-Synchronisierung finden Sie im LDAP-Verzeichnisinhalt in Cisco Unified Communications Manager SRND.



  8. Klicken Sie auf Speichern und führen Sie die vollständige Synchronisierung jetzt aus.

    Hinweis: Vergewissern Sie sich, dass der Cisco DirSync-Dienst auf der Webseite Serviceability aktiviert ist, bevor Sie auf Save (Speichern) klicken.


    118770-configure-cucm-00-04.png




  9. Navigieren Sie zu Benutzerverwaltung > Endbenutzer, und wählen Sie einen Benutzer aus, dem Sie die CUCM-Verwaltungsrolle zuweisen möchten (in diesem Beispiel wird SSO für Benutzer ausgewählt).

    118770-configure-cucm-00-05.png



  10. Blättern Sie nach unten zu den Berechtigungsinformationen, und klicken Sie auf Zu Zugriffskontrollgruppe hinzufügen. Wählen Sie Standard CCM Super Users aus, klicken Sie auf Auswahl hinzufügen, und klicken Sie auf Speichern.

    118770-configure-cucm-00-06.png

SAML SSO aktivieren

  1. Melden Sie sich bei der Benutzeroberfläche der CUCM-Verwaltung an.

  2. Wählen Sie System > SAML Single Sign-On, und das Fenster SAML Single Sign-On Configuration wird geöffnet.

    118770-configure-cucm-00-07.png



  3. Um die SAML-SSO für den Cluster zu aktivieren, klicken Sie auf SAML-SSO aktivieren.

    118770-configure-cucm-00-08.png



  4. Klicken Sie im Fenster Warnung zurücksetzen auf Weiter.

    118770-configure-cucm-00-09.png



  5. Klicken Sie auf dem SSO-Bildschirm auf Durchsuchen, um die XML-Datei IDP (FederationMetadata.xml)-Metadaten mit dem Schritt IdP-Metadaten zu importieren.

    118770-configure-cucm-00-10.png



  6. Klicken Sie nach dem Hochladen der Metadatendatei auf IDP-Metadaten importieren, um die IDP-Informationen in CUCM zu importieren. Bestätigen Sie, dass der Import erfolgreich war, und klicken Sie auf Weiter, um fortzufahren.

    118770-configure-cucm-00-11.png



    118770-configure-cucm-00-12.png



  7. Klicken Sie auf Trust Metadata File herunterladen (optional), um die CUCM- und CUCM IM- und Presence-Metadaten in einem lokalen Ordner zu speichern, und gehen Sie zu Add CUCM as Relying Party Trust. Wenn die AD FS-Konfiguration abgeschlossen ist, fahren Sie mit Schritt 8 fort.

    118770-configure-cucm-00-13.png



  8. Wählen Sie SSO als Administrator aus, und klicken Sie auf SSO-Test ausführen.

    118770-configure-cucm-00-14.png



  9. Zertifikatswarnungen ignorieren und weiter fortfahren Wenn Sie zur Eingabe der Anmeldeinformationen aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Benutzer-SSO ein und klicken Sie auf OK.

    118770-configure-cucm-00-15.png



    Hinweis: Dieses Konfigurationsbeispiel basiert auf selbstsignierten CUCM- und AD FS-Zertifikaten. Falls Sie Zertifikate der Zertifizierungsstelle (Certificate Authority, CA) verwenden, müssen entsprechende Zertifikate sowohl auf AD FS als auch auf CUCM installiert sein. Weitere Informationen finden Sie unter Zertifikatsverwaltung und -validierung.



  10. Nach Abschluss aller Schritte wurde der SSO-Test erfolgreich durchgeführt. wird angezeigt. Klicken Sie auf Schließen und Beenden, um fortzufahren. Sie haben nun die Konfigurationsaufgaben erfolgreich abgeschlossen, um SSO auf CUCM mit AD FS zu aktivieren.

    118770-configure-cucm-00-16.png



  11. Da CUCM IM und Presence wie der CUCM-Subscriber agieren, müssen Sie CUCM IM und Presence als Relying Party Trust konfigurieren und anschließend SSO-Test ausführen, um SAML SSO von der CUCM SAML-SSO-Seite selbst zu aktivieren.

    Hinweis: Wenn Sie alle XML-Metadaten-Dateien aller Knoten auf IdP konfigurieren und die SSO-Operation auf einem Knoten aktivieren, ist die SAML SSO auf allen Knoten im Cluster aktiviert.



    AD FS muss für alle Knoten von CUCM und CUCM IM und Presence in einem Cluster als Relay Party (Weiterleitungsgruppe) konfiguriert werden.

    Tipp: Sie sollten auch Cisco Unity Connection und CUCM IM and Presence für SAML SSO konfigurieren, wenn Sie die SAML SSO-Erfahrung für Cisco Jabber-Clients verwenden möchten.

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

  1. Öffnen Sie einen Webbrowser, und geben Sie den FQDN für CUCM ein.

  2. Klicken Sie auf Cisco Unified Communications Manager.

  3. Wählen Sie die Webanwendung (CM Administration/Unified Serviceability/Cisco Unified Reporting) aus, und drücken Sie Go, um vom AD FS zur Eingabe der Anmeldeinformationen aufgefordert zu werden. Sobald Sie die Anmeldeinformationen des Benutzers SSO eingegeben haben, werden Sie erfolgreich bei der ausgewählten Webanwendung angemeldet (CM Administration-Seite, Unified Serviceability-Seite, Cisco Unified Reporting).

    118770-configure-cucm-00-17.png



    Hinweis: SAML SSO ermöglicht keinen Zugriff auf folgende Seiten:
               - Prime Licensing Manager
               - Betriebssystemverwaltung
               - Disaster Recovery System

Fehlerbehebung

Wenn Sie SAML nicht aktivieren können und sich nicht anmelden können, verwenden Sie die neue Option unter Installierte Anwendungen mit dem Namen Recovery URL, um Single Sign-on (SSO) zu umgehen, die verwendet werden kann, um sich mit den Anmeldeinformationen anzumelden, die während der Installation erstellt wurden, oder mit lokal erstellten CUCM Administrative Benutzern.

118770-configure-cucm-00-18.png

Weitere Informationen zur Fehlerbehebung finden Sie unter Problembehandlung bei SAML SSO für Collaboration-Produkte 10.x.

TAC Authored

Beiträge von Cisco Ingenieuren

  • A M Mahesh Babu
    Cisco TAC

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.