Introducción
Este documento describe cómo resolver algunos problemas comunes que se presentan al realizar la integración de UCCE SSO con Microsoft Azure IdP.
Colaborado por Anurag Atul Agarwal, ingeniero del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Lenguaje de marcado de aserción de seguridad (SAML) 2.0
- Cisco Unified/Packaged Contact Center Enterprise UCCE/PCCE
- Inicio de sesión único (SSO)
- Servicio de identidad de Cisco (IdS)
- Proveedor de identidad (IdP)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Azure IdP
- UCCE 12.0.1
- IdS de Cisco 12.0.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Este documento describe algunos de los problemas comunes que se han planteado durante la integración de Cisco Identity Service (IdS) e Identity Provider (IdP) para Azure Based SSO y sus posibles soluciones. Siempre se recomienda recopilar estos registros para resolver problemas con la integración de SSO:
- Registros de Cisco IdS: Enlace a la colección: Registros IDS
- Registros de consola del navegador
- Cualquier registro de IdP
Problema: El certificado no coincide
El SSO de prueba falla con el mensaje 'IdS no pudo procesar la respuesta SAML aunque la autenticación fue exitosa' y los registros de IdS imprimen el mensaje de error: "Error en el procesamiento de la respuesta SAML con exception com.sun.identity.saml2.common.SAML2Excepción: El certificado de firma no coincide con lo definido en los metadatos de la entidad'"
Solución
Verifique el certificado y la configuración Signing Algorithm en Azure. Asegúrese de que coincida con el algoritmo hash soportado basado en la versión de IdS. Consulte el Capítulo 'Inicio de sesión único' en Guía de funciones y verifique el algoritmo hash seguro soportado. Descargue el último archivo de metadatos IdP y cárguelo en Cisco IdS a través de la interfaz de usuario de Identity Service Management.
Problema: AADSTS900235 - Problema de contexto de autenticación
Probar SSO redirige a la página de Microsoft y falla con el mensaje: "Lo siento, pero tenemos problemas para iniciar sesión".
AADSTS900235: El valor de Comparación de RequestedAuthenticationContext de la solicitud de autenticación SAML debe ser Exact. Valor recibido: Mínimo
Solución
AuthContext podría ser necesario sintonizar como se describe en el bug CSCvm69290
. Póngase en contacto con el TAC de Cisco para realizar la solución temporal en IdS.
Problema: La respuesta de SAML no está firmada
El SSO de prueba falla con el mensaje, el IdS no pudo procesar la respuesta SAML aunque la autenticación fue exitosa' y los registros de IdS imprimen el mensaje de error: "Error en el procesamiento de la respuesta SAML con exception com.sun.identity.saml2.common.SAML2Excepción: La respuesta no está firmada".
Solución
Azure IdP debe enviar una afirmación firmada a IdS. Modifique la configuración de Azure para tener la opción de firma: Firmar respuesta y afirmación de SAML
Problema: Problema con las reglas de reclamación
El SSO de prueba falla con el mensaje 'Error de configuración de IdP : Falló el procesamiento de SAML. No se pudo recuperar el principal del usuario de la respuesta SAML.' y los registros de IdS imprimen el mensaje de error: "Error en el procesamiento de la respuesta SAML con exception com.sun.identity.saml.common.SAMLException: No se pudo recuperar el principal del usuario de la respuesta SAML".
Solución
Este error apunta a un error en 'Claim names' configurado en Azure. Esto podría ocurrir con otros atributos como UID, NameID, etc. y se generan errores similares con nombres de atributo diferentes. Para corregir esto, busque cualquier atributo en Azure con este formato, 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribute_name>'. Elimine todo antes del nombre real del atributo.
Esta sección proporciona el ejemplo de configuración para ADFS en la guía de características y que debe replicarse en Azure.
Ejemplo de Configuración de ADFS
Problema: AADSTS50011 - La URL de respuesta no coincide
Probar SSO redirige a la página de Microsoft y falla con el mensaje: "Lo siento, pero tenemos problemas para iniciar sesión.
AADSTS50011: La URL de respuesta especificada en la solicitud no coincide con la URL de respuesta configurada para la aplicación"
Solución
Póngase en contacto con el TAC de Cisco. El parámetro 'Servicio de consumidor de afirmación' se debe proteger en la raíz en el nodo IdS donde esto falla. Si el parámetro es correcto, Microsoft Azure tiene que resolver este problema.