Configure el proveedor de identidad para Cisco Identity Service para habilitar SSO

Introducción

Este documento describe la configuración en el proveedor de identidad (IdP) para habilitar el inicio de sesión único (SSO).

Modelos de implementación de Cisco IdS

Producto	Implementación
UCCX	Coresidente
PCCE	Coresidente con CUIC (Cisco Unified Intelligence Center) y LD (datos en directo)
UCCE	Coresidente con CUIC y LD para implementaciones de 2k. Independiente para implementaciones de 4000 y 12 000

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco Unified Contact Center Express (UCCX) versión 11.5 o Cisco Unified Contact Center Enterprise versión 11.5 o Packaged Contact Center Enterprise (PCCE) versión 11.5, según corresponda.
• Microsoft Active Directory - AD instalado en Windows Server
• Servicio de federación de Active Directory (ADFS) versión 2.0/3.0

Nota: Este documento hace referencia a UCCX en las capturas de pantalla y ejemplos; sin embargo, la configuración es similar con respecto al Servicio de identificación de Cisco (UCCX/UCCE/PCCE) y al IdP.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

Descripción General de SSO

Cisco proporciona muchos servicios de diferentes formas y, como usuario final, solo desea iniciar sesión una vez para tener acceso a todos los servicios de Cisco. Si desea buscar y administrar contactos desde cualquiera de las aplicaciones y dispositivos de Cisco, aprovechando todas las fuentes posibles (Directorio corporativo, Outlook, Contactos móviles, Facebook, LinkedIn, Historial) y hacerlos representar de una manera común y uniforme que proporcione la información necesaria para conocer su disponibilidad y la mejor forma de ponerse en contacto con ellos.

SSO que utiliza SAML (Security Assertion Markup Language) se dirige a este requisito. SAML/SSO proporciona a los usuarios la posibilidad de iniciar sesión en varios dispositivos y servicios a través de una cuenta común y una identidad de autorización denominada IdP. La funcionalidad SSO está disponible en UCCX/UCCE/PCCE 11.5 en adelante.

Información general sobre configuración 

Configurar

Tipos de Autenticación

Cisco Identity Service sólo admite la autenticación basada en formularios del proveedor de identidad.

Consulte estos artículos de MSDN para saber cómo habilitar la autenticación de formularios en ADFS.

• Para ADFS 2.0 consulte este artículo de Microsoft TechNet,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Para ADFS 3.0 consulte este artículo de Microsoft TechNet,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Nota: Cisco Identity Service 11.6 y posterior admite autenticación basada en formularios y autenticación Kerberos. Para que funcione la autenticación Kerberos, debe inhabilitar la autenticación basada en Form.

Establecer una relación de confianza 

Para incorporar y habilitar aplicaciones para que utilicen Cisco Identity Service para el inicio de sesión único, realice el intercambio de metadatos entre Identity Service (IdS) e IdP.

• Descargue el archivo de metadatos SAML SP sp.xml.
• Desde Settings, navegue hasta la ficha IdS Trust en la página Identity Service Management.

• Descargue el archivo de metadatos IdP del IdP desde la URL:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• En la página Identity Service Management (Administración de servicios de identidad), cargue el archivo de metadatos del proveedor de identidad que se descargó en el paso anterior.

Este es el procedimiento para cargar los metadatos de IdS y agregar reglas de reclamación. Esto se describe para ADFS 2.0 y 3.0

ADFS 2.0:

Paso 1. En el servidor ADFS, navegue hasta, Inicio > Todos los programas > Herramientas administrativas > Administración de AD FS 2.0, como se muestra en la imagen:

Paso 2. Navegue hasta Agregar AD FS 2.0 > Relación de confianza > Confianza de parte confiable, como se muestra en la imagen:

Paso 3. Como se muestra en la imagen, seleccione la opción Importar datos de la persona que confía en un archivo.

Paso 4. Complete el establecimiento del fideicomiso.

Paso 5. En las propiedades de Confianza del Fijador, seleccione la ficha Identificador.

Paso 6. Establezca el identificador como el nombre de host completo de Cisco Identity Server desde el que se descarga sp.xml.

Paso 7. Haga clic con el botón derecho del ratón en Confiar en el Destino y después haga clic en Editar Reglas de Reclamación.

Debe agregar dos reglas de reclamación, una es cuando los atributos LDAP (protocolo ligero de acceso a directorios) coinciden mientras que la segunda es a través de reglas de reclamación personalizadas.

uid: este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_main - Cisco Identity Service necesita este atributo para identificar el rango del usuario autenticado.

Reclamación Rule 1:

Agregue una regla por nombre NameID de tipo (Enviar los valores del atributo LDAP como reclamaciones):

• Seleccione Almacén de atributos como Active Directory.
• Asignar el atributo Ldap User-Principal-Name a user_main (minúsculas).
• Elija el atributo LDAP que se debe utilizar como userId para que los usuarios de la aplicación inicien sesión y asignarlo a uid (minúsculas)

Ejemplo de configuración cuando SamAccountName se va a utilizar como ID de usuario:

• Asigne el atributo LDAP SamAccountName a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.

Ejemplo de configuración cuando UPN debe utilizarse como ID de usuario -

• Asigne el atributo LDAP User-Principal-Name a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.
               

Ejemplo de configuración cuando PhoneNumber debe utilizarse como ID de usuario -

• Asigne el atributo LDAP phoneNumber a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.

Nota: Debemos asegurarnos de que el atributo LDAP configurado para ID de usuario en la sincronización LDAP de CUCM coincida con lo que se configura como el atributo LDAP para uid en la regla de reclamación de ADFS NameID. Esto es para el correcto funcionamiento de Cisco Unified Intelligence Center (CUIC) e inicio de sesión en Finesse.

Nota: Este documento hace referencia a las restricciones en el nombre de la regla de reclamación y muestra nombres como NameID, FQDN de UCCX, etc. Aunque los campos y nombres personalizados pueden ser aplicables en varias secciones, los nombres de las reglas de reclamación y los nombres mostrados se mantienen estándar en todas las secciones para mantener la uniformidad y para las prácticas recomendadas en la convención de nomenclatura.

Reclamacióne 2:

• Agregue otra regla de tipo regla de reclamación personalizada con el nombre como el nombre de host completo (FQDN) de Cisco Identity Server y agregue este texto de regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de Cisco Identity Server, todos los nombres de host completamente calificados son los del nodo principal o editor de Cisco Identity Server.
  
  
• El <nombre de host completo de Cisco Identity Server> distingue entre mayúsculas y minúsculas, por lo que coincide exactamente (incluido el caso) con el FQDN de Cisco Identity Server.
  
  
• El <FQDN del servidor ADFS> distingue entre mayúsculas y minúsculas, por lo que coincide exactamente (incluido el caso) con el FQDN de ADFS.

Paso 8. Haga clic con el botón derecho del ratón en Confianza de la persona que confía y, a continuación, haga clic en Propiedades y seleccione la ficha avanzada, como se muestra en la imagen.

Paso 9. Como se muestra en la imagen, seleccione Secure Hash Algorithm (SHA) como SHA-256.

Paso 10. Click OK.

ADFS 3.0:

Paso 1. En el servidor ADFS, navegue hasta, Administrador del servidor > Herramientas > Administración de AD FS.

Paso 2. Vaya a AD FS > Trust Relationship > Confiying Party Trust.

Paso 3. Seleccione la opción Importar datos de la parte que confía desde un archivo.

Paso 4. Complete el establecimiento del fideicomiso.

Paso 5. En las propiedades de Confianza del Fijador, seleccione la ficha Identificador.

Paso 6. Establezca el identificador como el nombre de host completo de Cisco Identity Server desde el que se descarga sp.xml.

Paso 7. Haga clic con el botón derecho en Confiar en la Confianza de la Parte y luego haga clic en Editar Reglas de Reclamación.

Debe agregar dos reglas de reclamación, una es cuando los atributos LDAP (protocolo ligero de acceso a directorios) coinciden mientras que la segunda es a través de reglas de reclamación personalizadas.

uid: este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_main - Cisco Identity Service necesita este atributo para identificar el rango del usuario autenticado.

Reclamación Rule 1:

Agregue una regla por nombre NameID de tipo (Enviar los valores del atributo LDAP como reclamaciones):

• Seleccione Almacén de atributos como Active Directory.
• Asignar el atributo Ldap User-Principal-Name a user_main (minúsculas).
• Elija el atributo LDAP que se debe utilizar como userId para que los usuarios de la aplicación inicien sesión y asignarlo a uid (minúsculas)

Ejemplo de configuración cuando SamAccountName se va a utilizar como ID de usuario:

• Asigne el atributo LDAP SamAccountName a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.

Ejemplo de configuración cuando UPN debe utilizarse como ID de usuario -

• Asigne el atributo LDAP User-Principal-Name a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.
               

Ejemplo de configuración cuando PhoneNumber debe utilizarse como ID de usuario -

• Asigne el atributo LDAP phoneNumber a uid.
• Asigne el atributo LDAP User-Principal-Name a user_main.

Nota: Debemos asegurarnos de que el atributo LDAP configurado para ID de usuario en la sincronización LDAP de CUCM coincida con lo que se configura como el atributo LDAP para uid en la regla de reclamación de ADFS NameID. Esto es para el correcto funcionamiento de Cisco Unified Intelligence Center (CUIC) e inicio de sesión en Finesse.

Nota: Este documento hace referencia a las restricciones en el nombre de la regla de reclamación y muestra nombres como NameID, FQDN de UCCX, etc. Aunque los campos y nombres personalizados pueden ser aplicables en varias secciones, los nombres de las reglas de reclamación y los nombres mostrados se mantienen estándar en todas las secciones para mantener la uniformidad y para las prácticas recomendadas en la convención de nomenclatura.

Reclamacióne 2:

• Agregue otra regla de tipo regla de reclamación personalizada con el nombre como el nombre de host completo (FQDN) de Cisco Identity Server y agregue este texto de regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de Cisco Identity Server, todos los nombres de host completamente calificados son los del nodo principal o editor de Cisco Identity Server.
  
  
• El <nombre de host completo de Cisco Identity Server> distingue entre mayúsculas y minúsculas, por lo que coincide exactamente (incluido el caso) con el FQDN de Cisco Identity Server.
  
  
• El <FQDN del servidor ADFS> distingue entre mayúsculas y minúsculas, por lo que coincide exactamente (incluido el caso) con el FQDN de ADFS.

Paso 8. Haga clic con el botón derecho del ratón en Confianza de la persona que confía y, a continuación, haga clic en Propiedades y seleccione la ficha avanzada

Paso 9. Como se muestra en la imagen, seleccione Secure Hash Algorithm (SHA) como SHA-256.

Paso 10: haga clic en Aceptar.

Estos pasos son obligatorios después del paso 10.

Habilitar las afirmaciones de SAML firmadas para el fideicomiso de terceros (Cisco Identity Service)

Paso 1. Haga clic en Start e ingrese powershell para abrir windows powershell.

Paso 2. Agregue el CmdLet de ADFS al powershell ejecutando el comando Add-PSSnapin Microsoft.Adfs.Powershell.

Paso 3 - Ejecute el comando Set-ADFSRelyingPartyTrust -TargetName <Nombre de confianza del receptor>

-SamlResponseSignature "MessageAndAssertion".

          

Nota: Es posible que el paso 2 no sea necesario si utiliza ADFS 3.0, ya que CmdLet ya está instalado como parte de la adición de las funciones y funciones.

Nota: El <Identificador de confianza de la parte que confía> distingue entre mayúsculas y minúsculas, por lo que coincide (incluido el caso) con lo establecido en la ficha Identificador de las propiedades de confianza de la parte que confía.

Nota: Al iniciar UCCX versión 12.0, Cisco Identity Service es compatible con SHA-256. El fideicomiso utiliza SHA-256 para firmar la solicitud SAML y espera que ADFS haga lo mismo en la respuesta.

Para una configuración de varios dominios para Federated ADFS

En el caso de Federation en ADFS, donde un ADFS en particular dominio proporciona autenticación SAML federada para usuarios en otros dominios configurados, estas son las configuraciones adicionales que se necesitan.

Para estas secciones, el término principal ADFS se refiere al ADFS que debe utilizarse en IdS. El término Federated ADFS indica aquellos ADFS, cuyos usuarios pueden iniciar sesión a través de IdS y, por lo tanto, es el ADFS principal.

Configuración de ADFS federada

En cada uno de los ADFS federados, se debe crear la confianza de la parte que confía para el ADFS primario y las reglas de reclamación configuradas como se mencionó en la sección anterior.

Configuración de ADFS principal

Para el ADFS principal, aparte de la confianza de la parte que confía en el IdS, se necesita la siguiente configuración adicional.

Añada Confianza en el proveedor de reclamaciones con el ADFS al que debe configurarse la federación.

En la Confianza del Proveedor de Reclamaciones, asegúrese de que las reglas Pasar o Filtrar una Reclamación Entrante se configuran con todos los valores de reclamación como opción

• ID de nombre
• Elija ID de nombre en el cuadro desplegable Tipo de reclamación entrante
• Elija Transient como opción para el formato de NombreID entrante
• uid: Esta es una reclamación personalizada. Ingrese el valor uid en el cuadro desplegable Tipo de reclamación entrante.
• user_main: Esta es una reclamación personalizada. Escriba el valor user_main en el cuadro de lista desplegable Tipo de reclamación entrante.

En el fideicomiso party trust for IdS, agregue las reglas Pass (Paso a través) o Filter an Incoming Claim (Filtrar una reclamación entrante) con todos los valores de reclamación como opción.

• NombreIDFromSubdominio
• Elija ID de nombre en el cuadro desplegable Tipo de reclamación entrante
• Elija Transient como opción para el formato de NombreID entrante
• uid: Esta es una reclamación personalizada. Escriba el valor uid en el cuadro desplegable Tipo de reclamación entrante
• user_main: Esta es una reclamación personalizada. Escriba el valor user_main en el cuadro desplegable Tipo de reclamación entrante

Renovación automática de certificados de ADFS

• La Renovación automática de certificados es compatible con UCCX 11.6.1 y superiores. [Esto se corrigió en UCCX 11.6 mediante la actualización de la biblioteca Fedlet a la versión 14.0]

Autenticación Kerberos (autenticación integrada de Windows)

La autenticación integrada de Windows (IWA) proporciona un mecanismo para la autenticación de los usuarios, pero no permite que las credenciales se transmitan a través de la red. Cuando habilita la autenticación integrada de Windows, funciona sobre la base de las notificaciones para permitir que los nodos que se comunican a través de una red no segura demuestren su identidad unos a otros de forma segura. Permite a los usuarios iniciar sesión en un dominio después de iniciar sesión en sus equipos windows. 

Nota: la autenticación Kerberos sólo se admite desde 11.6 y superiores.

Los usuarios de dominio que ya han iniciado sesión en el controlador de dominio (DC) iniciarán sesión sin problemas en los clientes SSO sin necesidad de volver a introducir las credenciales.  Para los usuarios que no son de dominio, IWA vuelve a NTLM (New Technology Local Area Network Manager) y aparece el diálogo de inicio de sesión. La calificación para IdS con autenticación IWA se realiza con Kerberos contra ADFS 3.0.

Paso 1. Abra el símbolo del sistema de Windows y ejecute como usuario administrador para registrar el servicio http con el comando setspan 

             setspan -s http/<ADFS url> <domain>\<account name> .

Paso 2. Desactive la autenticación de formularios y active la autenticación de Windows para los sitios de Intranet. Vaya a ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit. En Intranet, asegúrese de que sólo esté marcada la autenticación de Windows (Desactive la autenticación del formulario).

Configuración de Microsoft Internet Explorer para soporte de IWA

Paso 1. Asegúrese de que Internet Explorer > Advanced > Enable Integrated Windows Authentication esté marcado.

Paso 2. La url de ADFS debe agregarse a Seguridad > Zonas de Intranet > Sitios (winadcom215.uccx116.com es ADFS url)

Paso 3. Asegúrese de que Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon esté configurado para utilizar las credenciales de inicio de sesión para los sitios de intranet.

Configuración requerida para Mozilla Firefox para el soporte de IWA

Paso 1. Entre en el modo de configuración para Firefox. Abra Firefox e introduzca about:config en la URL. Acepte la declaración de riesgos.

Paso 2. Busque ntlm y habilite network.automatically-ntlm-auth.allow-non-fqdn y establézcalo en true.

Paso 3. Establezca network.automatically-ntlm-auth.trust-uris en el dominio o explícitamente la URL ADFS.

Configuración requerida para Google Chrome para el soporte de IWA

Google Chrome en Windows utiliza la configuración de Internet Explorer, así que configure dentro del diálogo Herramientas > Opciones de Internet de Internet Explorer, o desde el Panel de Control bajo Opciones de Internet dentro de la subcategoría Red e Internet.

Configuración adicional para SSO:

Este documento describe la configuración del aspecto IdP para SSO que se integrará con Cisco Identity Service. Para obtener más información, consulte las guías de configuración de productos individuales:

• UCCX
• UCCE
• PCCE

Verificación

Este procedimiento se utiliza para determinar si la confianza de la parte que confía se establece correctamente entre los IdS de Cisco y los IDP.

• Desde el navegador, introduzca la URL https://<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
• ADFS proporcionará el formulario de inicio de sesión. Esto estará disponible cuando la configuración anterior sea correcta.
• En una autenticación exitosa, el navegador debe redirigir a https://<IDS_FQDN>:8553/ids/saml/response y aparecerá una página de lista de verificación.

Nota: La página Lista de comprobación que aparece como parte del proceso de verificación no es un error, sino una confirmación de que la confianza está establecida correctamente.

Troubleshoot

Para resolver problemas, consulte - https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

URL de Omisión/Recuperación de UCCX SSO

• URL para administración de Cisco Unified CCX:https://<IP_or_FQDN>/appadmin/recovery_login.htm
• URL para la facilidad de mantenimiento de Cisco Unified CCX:https://<IP_or_FQDN>/uccxservice/recovery_login.htm

Inhabilitación de SSO

• GUI: Vaya a CCX Administration> Single Sign-On (SSO) > Disable (Desactivar)
• CLI: set authmode non_sso (este comando debe inhabilitar SSO tanto para Pub como para Sub; se puede ejecutar desde cualquiera de los nodos UCCX en caso de un clúster de alta disponibilidad (HA))

Capturas de pantalla

Administración de CCX - No_SSO:

Administración de CCX: SSO habilitado:

Inicio de sesión Finesse - No SSO:

Inicio de sesión Finesse - SSO habilitado:

CUIC - No_SSO:

CUIC - SSO habilitado: