Configure el proveedor de la identidad para que el servicio de la identidad de Cisco habilite el SSO

Introducción

Este documento describe la configuración en el proveedor de la identidad (IdP) para habilitar la sola muestra encendido (SSO).

Modelos de despliegue del Cisco IDS

Producto	Despliegue
UCCX	Coresidente
PCCE	Coresidente con CUIC (centro unificado Cisco de la inteligencia) y LD (datos vivos)
UCCE	Coresidente con CUIC y el LD para las implementaciones 2k. Independiente para las implementaciones 4k y 12k.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Versión 11.5 del Cisco Unified Contact Center Express (UCCX) o versión 11.5 del Cisco Unified Contact Center Enterprise o versión embalada 11.5 de la empresa del Centro de contacto (PCCE) como aplicables.
• Microsoft Active Directory - AD instalado en el Servidor Windows
• Versión 2.0/3.0 del servicio de la federación del Active Directory (ADFS)

Nota: Este documento se refiere a UCCX al screenshots y a los ejemplos, no obstante la configuración es similar en cuanto al servicio de Cisco Identitify (UCCX/UCCE/PCCE) y al IdP.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Descripción del SSO

Cisco proporciona muchos servicios en diversas formas y como usuario final, usted quiere ingresar solamente una vez para tener el acceso a todos los Servicios de Cisco. Si usted quiere encontrar y manejar los contactos de la aplicación de Cisco ua de los y de los dispositivos, leveraging todas las fuentes posibles (los contactos Corporate Directory (Directorio corporativo), de la perspectiva, del móvil, Facebook, LinkedIn, historial), y las hace rendir en un campo común y una manera coherente que proporcione la información requerida para conocer su Disponibilidad y cómo mejor entrarlas en contacto.

El SSO usando SAML (lenguaje de marcado de la aserción de la Seguridad) apunta este requisito. SAML/SSO proporciona la capacidad para que los usuarios registren en los dispositivos múltiples y los servicios con una identidad común de la cuenta y de la autorización llamada el IdP. Las funciones SSO están disponibles en UCCX/UCCE/PCCE 11.5 hacia adelante.

Configuración en pocas palabras

Configurar

Tipos de Autenticación

Los soportes del servicio de la identidad de Cisco forman solamente la autenticación basada del proveedor de la identidad.

Refiera por favor estos artículos MSDN para aprender cómo habilitar la autenticación de la forma en ADFS.

• Para ADFS 2.0 refieren a este artículo del TechNet de Microsoft,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Para el 3.0 ADFS refiérase refieren a este artículo del TechNet de Microsoft,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Establezca la relación de confianza 

Para onboarding y habilitar las aplicaciones para utilizar el servicio de la identidad de Cisco para solo Muestra-en, realice el intercambio de los meta datos entre el servicio de la identidad (IdS) e IdP.

• Descargue el archivo de metadatos sp.xml de SAML SP.
• De las configuraciones, navegue a los IdS confían en la lengueta en la página de la Administración del servicio de la identidad.

• Descargue el archivo de metadatos de IdP del IdP del URL:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• En la identidad mantenga la página de la Administración, cargan el archivo de metadatos del proveedor de la identidad que fue descargado en el paso anterior.

Éste es el procedimiento para cargar los meta datos de los IdS y para agregar las reglas de la demanda. Esto se delinea para ADFS 2.0 y el 3.0

ADFS 2.0:

Paso 1. En el servidor ADFS navegue a, comienzo > todos los programas > Administrative Tools > Administración AD FS 2.0, tal y como se muestra en de la imagen:

Paso 2. Navegue para agregar AD FS 2.0 > relación de confianza > confianza de confianza del partido, tal y como se muestra en de la imagen:

Paso 3. Tal y como se muestra en de la imagen, seleccione los datos de la importación de la opción sobre el partido de confianza de un archivo.

Paso 4. Complete el establecimiento de la confianza de confianza del partido.

Paso 5. En las propiedades de la confianza de confianza del partido, seleccione la lengueta del identificador.

Paso 6. Fije el identificador como el nombre de host calificado completamente del servidor de la identidad de Cisco del cual se descarga sp.xml.

Paso 7. Haga clic con el botón derecho del ratón en la confianza de confianza del partido y después haga clic en editan las reglas de la demanda.

Usted necesita agregar dos reglas de la demanda, una es cuando se corresponden con los atributos LDAP (protocolo lightweight directory access) mientras que el segundo está con las reglas de encargo de la demanda.

uid - Este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_principal - Este atributo es necesitado por el servicio de la identidad de Cisco para identificar el reino del usuario autenticado.

Regla 1 de la demanda:

Agregue una regla por nombre NameID de tipo (envíe los valores del atributo LDAP como demandas):

• Seleccione el almacén del atributo como Active Directory.
• Asocie el Usuario-Principal-nombre del atributo del ldap a user_principal (minúsculo).
• Elija el atributo LDAP que tiene que ser utilizado como userId para que los usuarios de la aplicación lo inicien sesión y asocien al uid (minúsculo)

Ejemplo de configuración cuando SamAccountName debe ser utilizado como identificación del usuario:

• Asocie el atributo SamAccountName LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Ejemplo de configuración cuando el UPN tiene que ser utilizado como identificación del usuario -

• Asocie el Usuario-Principal-nombre del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.
               

Ejemplo de configuración cuando PhoneNumber tiene que ser utilizado como identificación del usuario -

• Asocie el telephoneNumber del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Nota: Necesitamos asegurarnos de que el atributo LDAP configurado para la identificación del usuario en CUCM LDAP sincronice haga juego qué se configura como el atributo LDAP para el uid en la regla NameID de la demanda ADFS. Esto está para el funcionamiento apropiado de Cisco unificó el login del centro (CUIC) y de la delicadeza de la inteligencia.

Nota: Este documento se refiere a los apremios en los nombres del nombre y de la visualización de la regla de la demanda tales como NameID, FQDN de UCCX, del etc. Aunque los campos y los nombres de encargo pueden ser aplicables en las diversas secciones, los nombres de la regla de la demanda y los nombres de la visualización se mantienen estándar en todas partes para mantener el estado coherente y para las mejores prácticas en la convención para nombres.

Regla 2 de la demanda:

• Agregue otra regla de regla de encargo de la demanda del tipo con el nombre como el nombre de host calificado completamente (FQDN) del servidor de la identidad de Cisco y agregue este texto de la regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de servidor de la identidad de Cisco, todos los nombres de host calificado completamente son el del servidor de la identidad de Cisco primario o del nodo del editor.
  
  
• < el nombre de host calificado completamente del server> de la identidad de Cisco es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el servidor FQDN de la identidad de Cisco.
  
  
• El servidor FQDN> <ADFS es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el ADFS FQDN.

Paso 8. Haga clic con el botón derecho del ratón en la confianza de confianza del partido y entonces haga clic en las propiedades y seleccione la ficha de opciones avanzadas, tal y como se muestra en de la imagen.

Paso 9. Tal y como se muestra en de la imagen, seleccione el Secure Hash Algorithm (SHA) como SHA-1.

Paso 10. Haga Click en OK.

3.0 ADFS:

Paso 1. En el servidor ADFS navegue a, administrador de servidor > las herramientas > Administración AD FS.

Paso 2. Navegue al AD FS > relación de confianza > confianza de confianza del partido.

Paso 3. Seleccione los datos de la importación de la opción sobre el partido de confianza de un archivo.

Paso 4. Complete el establecimiento de la confianza de confianza del partido.

Paso 5. En las propiedades de la confianza de confianza del partido, seleccione la lengueta del identificador.

Paso 6. Fije el identificador como el nombre de host calificado completamente del servidor de la identidad de Cisco del cual se descarga sp.xml.

Paso 7. Haga clic con el botón derecho del ratón en la confianza de confianza del partido y después haga clic en editan las reglas de la demanda.

Usted necesita agregar dos reglas de la demanda, una es cuando se corresponden con los atributos LDAP (protocolo lightweight directory access) mientras que el segundo está con las reglas de encargo de la demanda.

uid - Este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_principal - Este atributo es necesitado por el servicio de la identidad de Cisco para identificar el reino del usuario autenticado.

Regla 1 de la demanda:

Agregue una regla por nombre NameID de tipo (envíe los valores del atributo LDAP como demandas):

• Seleccione el almacén del atributo como Active Directory.
• Asocie el Usuario-Principal-nombre del atributo del ldap a user_principal (minúsculo).
• Elija el atributo LDAP que tiene que ser utilizado como userId para que los usuarios de la aplicación lo inicien sesión y asocien al uid (minúsculo)

Ejemplo de configuración cuando SamAccountName debe ser utilizado como identificación del usuario:

• Asocie el atributo SamAccountName LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Ejemplo de configuración cuando el UPN tiene que ser utilizado como identificación del usuario -

• Asocie el Usuario-Principal-nombre del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.
               

Ejemplo de configuración cuando PhoneNumber tiene que ser utilizado como identificación del usuario -

• Asocie el telephoneNumber del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Nota: Necesitamos asegurarnos de que el atributo LDAP configurado para la identificación del usuario en CUCM LDAP sincronice haga juego qué se configura como el atributo LDAP para el uid en la regla NameID de la demanda ADFS. Esto está para el funcionamiento apropiado de Cisco unificó el login del centro (CUIC) y de la delicadeza de la inteligencia.

Nota: Este documento se refiere a los apremios en los nombres del nombre y de la visualización de la regla de la demanda tales como NameID, FQDN de UCCX, del etc. Aunque los campos y los nombres de encargo pueden ser aplicables en las diversas secciones, los nombres de la regla de la demanda y los nombres de la visualización se mantienen estándar en todas partes para mantener el estado coherente y para las mejores prácticas en la convención para nombres.

Regla 2 de la demanda:

• Agregue otra regla de regla de encargo de la demanda del tipo con el nombre como el nombre de host calificado completamente (FQDN) del servidor de la identidad de Cisco y agregue este texto de la regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de servidor de la identidad de Cisco, todos los nombres de host calificado completamente son el del servidor de la identidad de Cisco primario o del nodo del editor.
  
  
• < el nombre de host calificado completamente del server> de la identidad de Cisco es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el servidor FQDN de la identidad de Cisco.
  
  
• El servidor FQDN> <ADFS es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el ADFS FQDN.

Paso 8. Haga clic con el botón derecho del ratón en la confianza de confianza del partido y entonces haga clic en las propiedades y seleccione la ficha de opciones avanzadas

Paso 9. Tal y como se muestra en de la imagen, seleccione el Secure Hash Algorithm (SHA) como SHA-1.

Paso 10 - Haga Click en OK.

Estos pasos son obligatorios después del paso 10.

SAML aserciones firmadas permiso para la confianza de confianza del partido (servicio de la identidad de Cisco)

Paso 1. Haga clic el comienzo y ingrese el powershell al powershell de las ventanas abiertas.

Paso 2. Agregue ADFS CmdLet al powershell funcionando con el comando agregan-PSSnapin Microsoft.Adfs.Powershell.

Paso de 3 carreras el comando, conjunto-ADFSRelyingPartyTrust - Name> <Relying de la confianza del partido de TargetName

- SamlResponseSignature “MessageAndAssertion”.

          

Nota: El paso 2 puede no ser necesario si usted está utilizando el 3.0 ADFS puesto que el CmdLet está instalado ya como parte de que agrega los papeles y las características.

Nota: La confianza <Relying Identifier> del partido es con diferenciación entre mayúsculas y minúsculas, así que hace juego (caso incluyendo) con qué se fija en la lengueta del identificador de las propiedades de confianza de confianza del partido.

Nota: Soportes del servicio SHA-1 de la identidad de Cisco. Las aplicaciones de confianza SHA-1 de la confianza del partido para firmar la petición de SAML y esperan que ADFS haga lo mismo en la respuesta.

Para una configuración del Multi-dominio para ADFS federado

En caso de la federación en ADFS, donde un dominio ADFS particularmente proporciona SAML federada la autenticación para los usuarios en otros dominios configurados, éstas son las configuraciones adicionales que son necesarias.

Para esto las secciones, el término ADFS primario refieren al ADFS que tiene que ser utilizado en los IdS. El ADFS federado término indica esos ADFS, cuyos se permite a usuarios iniciar sesión vía los IdS y así, es el ADFS primario.

Configuración federada ADFS

En cada uno del ADFS federado, la confianza de confianza del partido tiene que ser creada para ADFS primario y las reglas de la demanda configuradas como se menciona en la sección anterior.

Configuración primaria ADFS

Para ADFS primario, aparte de la confianza de confianza del partido para los IdS, la configuración adicional siguiente es necesaria.

Agregue la confianza del proveedor de la demanda con el ADFS al cual la federación tiene que ser puesta.

En la confianza del proveedor de la demanda, asegúrese de que el paso a través o filtre las reglas entrantes de una demanda se configuran con el paso con todos los valores de la demanda como la opción

• Nombre el ID
• Elija el nombre ID del cuadro entrante del descenso del tipo de la demanda
• Elija el transeúnte como la opción para el formato entrante de NameID
• uid: Esto es una demanda de encargo. Ingrese el uid del valor en el rectángulo entrante del descenso del tipo de la demanda.
• user_principal: Esto es una demanda de encargo. Teclee el valor user_principal en el cuadro entrante del descenso del tipo de la demanda.

En la confianza de confianza del partido para los IdS, agregue el paso sin embargo o filtre las reglas entrantes de una demanda con el paso con todos los valores de la demanda como la opción.

• NameIDFromSubdomain
• Elija el nombre ID del cuadro entrante del descenso del tipo de la demanda
• Elija el transeúnte como la opción para el formato entrante de NameID
• uid: Esto es una demanda de encargo. Teclee el uid del valor en el cuadro entrante del descenso del tipo de la demanda
• user_principal: Esto es una demanda de encargo. Teclee el valor user_principal en el cuadro entrante del descenso del tipo de la demanda

Autenticación de Kerberos (autenticación de Windows integrada)

La autenticación de Windows integrada (AIT) proporciona el mecanismo para autenticación de los usuarios, pero no permite que las credenciales sean transmitidas sobre la red. Cuando usted habilita la autenticación de Windows integrada, trabaja en base de los boletos para permitir los Nodos que comunican sobre una red NON-segura para probar su identidad a otra en una forma segura. Permite que los usuarios inicien sesión a un dominio después del login en sus máquinas de las ventanas. 

Los Domain User que se registran ya en el controlador de dominio (DC) serán seamlessly registrado en los clientes SSO sin la necesidad de entrar las credenciales de nuevo.  Para los usuarios del NON-dominio, las caídas AIT de nuevo a NTLM (administrador de red de área local de la tecnología nueva) y el diálogo del login aparece. La calificación para los IdS con la autenticación AIT se hace con el Kerberos contra el 3.0 ADFS.

Paso 1. Ventanas abiertas comando prompt y funcionamiento como Usuario administrador de registrar el servicio HTTP con el comando del setspn 

             setspn - url> s http/<ADFS <domain> \ name> del <account.

Paso 2. Inhabilite la autenticación de la forma y habilite la autenticación de Windows para los sitios del Intranet. Vaya a la Administración > a las políticas de autenticación > a la autenticación primaria > a las configuraciones globales ADFS > editan. Bajo el Intranet, asegúrese de que solamente la autenticación de Windows esté marcada (desmarque la autenticación de la forma).

Configuración para Microsoft Internet Explorer para el soporte AIT

Paso 1. Asegúrese de que el Internet Explorer > avanzara > autenticación de Windows integrada permiso esté marcado.

Paso 2. El URL ADFS necesita ser agregado a las zonas del >Intranet de la Seguridad > a los sitios (winadcom215.uccx116.com es URL ADFS)

Paso 3. Asegúrese de que > Security (Seguridad) de Exporer de Internet > las configuraciones > autenticación de usuario del > Security (Seguridad) de la Local Intranet (Intranet local) - el inicio se configura para utilizar las credenciales abiertas una sesión para los sitios del intranet.

Configuración requerida para el Mozilla Firefox para el soporte AIT

Paso 1. Ingrese en el modo de configuración para Firefox. Abra Firefox y ingrese alrededor: config en el URL. Valide la declaración de los riesgos.

Paso 2. Busque para el ntlm y habilite el network.automatic-ntlm-auth.allow-non-fqdn y fíjelo para verdad.

Paso 3. Fije el network.automatic-ntlm-auth.trusted-uris al dominio o explícitamente al ADFS URL.

Configuración requerida para Google Chrome para el soporte AIT

Google Chrome en Windows utiliza las configuraciones del Internet Explorer, así que la configuración dentro del diálogo de opciones del >Internet de las herramientas del Internet Explorer, o del panel de control bajo opciones de Internet dentro de la red y de Internet de la subcategoría.

Configuración adicional para el SSO:

Este documento describe la configuración del aspecto de IdP para que el SSO integre con el servicio de la identidad de Cisco. Para otros detalles, refiera a las guías de configuración del producto individual:

• UCCX
• UCCE
• PCCE

Verificación

Este procedimiento se utiliza para determinar si la confianza de confianza del partido se establece correctamente entre el Cisco IDS e IDP.

• ¿Del broswer ingrese el URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx? loginToRp=<IDS_FQDN>
• ADFS proporcionará el formulario de inicio de sesión. Esto estará disponible cuando la configuración antedicha correcta.
• En la autenticación satisfactoria, el navegador debe reorientar a https://<IDS_FQDN>:8553/ids/saml/response y una página de la lista de verificación aparecerá.

Nota: La página de la lista de verificación que aparece pues una parte del proceso de verificación es un no error sino una confirmación que la confianza está establecida correctamente.

Troubleshooting

Para el Troubleshooting refiera - el https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html