¿Tiene una cuenta?
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración en el proveedor de identidad (IdP) para habilitar el inicio de sesión único (SSO).
Modelos de implementación de Cisco IdS
Producto | Implementación |
UCCX | Coresidente |
PCCE | Coresidente con CUIC (Cisco Unified Intelligence Center) y LD (datos en directo) |
UCCE | Coresidente con CUIC y LD para implementaciones de 2k. Independiente para implementaciones de 4000 y 12 000 |
Cisco recomienda que tenga conocimiento sobre estos temas:
Nota: Este documento hace referencia a UCCX en las capturas de pantalla y ejemplos; sin embargo, la configuración es similar con respecto al Servicio de identificación de Cisco (UCCX/UCCE/PCCE) y al IdP.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cisco proporciona muchos servicios de diferentes formas y, como usuario final, solo desea iniciar sesión una vez para tener acceso a todos los servicios de Cisco. Si desea buscar y administrar contactos desde cualquiera de las aplicaciones y dispositivos de Cisco, aprovechando todas las fuentes posibles (Directorio corporativo, Outlook, Contactos móviles, Facebook, LinkedIn, Historial) y hacerlos representar de una manera común y uniforme que proporcione la información necesaria para conocer su disponibilidad y la mejor forma de ponerse en contacto con ellos.
SSO que utiliza SAML (Security Assertion Markup Language) se dirige a este requisito. SAML/SSO proporciona a los usuarios la posibilidad de iniciar sesión en varios dispositivos y servicios a través de una cuenta común y una identidad de autorización denominada IdP. La funcionalidad SSO está disponible en UCCX/UCCE/PCCE 11.5 en adelante.
Cisco Identity Service sólo admite la autenticación basada en formularios del proveedor de identidad.
Consulte estos artículos de MSDN para saber cómo habilitar la autenticación de formularios en ADFS.
Nota: Cisco Identity Service 11.6 y posterior admite autenticación basada en formularios y autenticación Kerberos. Para que funcione la autenticación Kerberos, debe inhabilitar la autenticación basada en Form.
Para incorporar y habilitar aplicaciones para que utilicen Cisco Identity Service para el inicio de sesión único, realice el intercambio de metadatos entre Identity Service (IdS) e IdP.
Este es el procedimiento para cargar los metadatos de IdS y agregar reglas de reclamación. Esto se describe para ADFS 2.0 y 3.0
Paso 1. En el servidor ADFS, navegue hasta, Inicio > Todos los programas > Herramientas administrativas > Administración de AD FS 2.0, como se muestra en la imagen:
Paso 2. Navegue hasta Agregar AD FS 2.0 > Relación de confianza > Confianza de parte confiable, como se muestra en la imagen:
Paso 3. Como se muestra en la imagen, seleccione la opción Importar datos de la persona que confía en un archivo.
Paso 4. Complete el establecimiento del fideicomiso.
Paso 5. En las propiedades de Confianza del Fijador, seleccione la ficha Identificador.
Paso 6. Establezca el identificador como el nombre de host completo de Cisco Identity Server desde el que se descarga sp.xml.
Paso 7. Haga clic con el botón derecho del ratón en Confiar en el Destino y después haga clic en Editar Reglas de Reclamación.
Debe agregar dos reglas de reclamación, una es cuando los atributos LDAP (protocolo ligero de acceso a directorios) coinciden mientras que la segunda es a través de reglas de reclamación personalizadas.
uid: este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_main - Cisco Identity Service necesita este atributo para identificar el rango del usuario autenticado.
Reclamación Rule 1:
Agregue una regla por nombre NameID de tipo (Enviar los valores del atributo LDAP como reclamaciones):
Ejemplo de configuración cuando SamAccountName se va a utilizar como ID de usuario:
Ejemplo de configuración cuando UPN debe utilizarse como ID de usuario -
Ejemplo de configuración cuando PhoneNumber debe utilizarse como ID de usuario -
Nota: Debemos asegurarnos de que el atributo LDAP configurado para ID de usuario en la sincronización LDAP de CUCM coincida con lo que se configura como el atributo LDAP para uid en la regla de reclamación de ADFS NameID. Esto es para el correcto funcionamiento de Cisco Unified Intelligence Center (CUIC) e inicio de sesión en Finesse.
Nota: Este documento hace referencia a las restricciones en el nombre de la regla de reclamación y muestra nombres como NameID, FQDN de UCCX, etc. Aunque los campos y nombres personalizados pueden ser aplicables en varias secciones, los nombres de las reglas de reclamación y los nombres mostrados se mantienen estándar en todas las secciones para mantener la uniformidad y para las prácticas recomendadas en la convención de nomenclatura.
Reclamacióne 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Paso 8. Haga clic con el botón derecho del ratón en Confianza de la persona que confía y, a continuación, haga clic en Propiedades y seleccione la ficha avanzada, como se muestra en la imagen.
Paso 9. Como se muestra en la imagen, seleccione Secure Hash Algorithm (SHA) como SHA-256.
Paso 10. Click OK.
Paso 1. En el servidor ADFS, navegue hasta, Administrador del servidor > Herramientas > Administración de AD FS.
Paso 2. Vaya a AD FS > Trust Relationship > Confiying Party Trust.
Paso 3. Seleccione la opción Importar datos de la parte que confía desde un archivo.
Paso 4. Complete el establecimiento del fideicomiso.
Paso 5. En las propiedades de Confianza del Fijador, seleccione la ficha Identificador.
Paso 6. Establezca el identificador como el nombre de host completo de Cisco Identity Server desde el que se descarga sp.xml.
Paso 7. Haga clic con el botón derecho en Confiar en la Confianza de la Parte y luego haga clic en Editar Reglas de Reclamación.
Debe agregar dos reglas de reclamación, una es cuando los atributos LDAP (protocolo ligero de acceso a directorios) coinciden mientras que la segunda es a través de reglas de reclamación personalizadas.
uid: este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_main - Cisco Identity Service necesita este atributo para identificar el rango del usuario autenticado.
Reclamación Rule 1:
Agregue una regla por nombre NameID de tipo (Enviar los valores del atributo LDAP como reclamaciones):
Ejemplo de configuración cuando SamAccountName se va a utilizar como ID de usuario:
Ejemplo de configuración cuando UPN debe utilizarse como ID de usuario -
Ejemplo de configuración cuando PhoneNumber debe utilizarse como ID de usuario -
Nota: Debemos asegurarnos de que el atributo LDAP configurado para ID de usuario en la sincronización LDAP de CUCM coincida con lo que se configura como el atributo LDAP para uid en la regla de reclamación de ADFS NameID. Esto es para el correcto funcionamiento de Cisco Unified Intelligence Center (CUIC) e inicio de sesión en Finesse.
Nota: Este documento hace referencia a las restricciones en el nombre de la regla de reclamación y muestra nombres como NameID, FQDN de UCCX, etc. Aunque los campos y nombres personalizados pueden ser aplicables en varias secciones, los nombres de las reglas de reclamación y los nombres mostrados se mantienen estándar en todas las secciones para mantener la uniformidad y para las prácticas recomendadas en la convención de nomenclatura.
Reclamacióne 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Paso 8. Haga clic con el botón derecho del ratón en Confianza de la persona que confía y, a continuación, haga clic en Propiedades y seleccione la ficha avanzada
Paso 9. Como se muestra en la imagen, seleccione Secure Hash Algorithm (SHA) como SHA-256.
Paso 10: haga clic en Aceptar.
Estos pasos son obligatorios después del paso 10.
Paso 1. Haga clic en Start e ingrese powershell para abrir windows powershell.
Paso 2. Agregue el CmdLet de ADFS al powershell ejecutando el comando Add-PSSnapin Microsoft.Adfs.Powershell.
Paso 3 - Ejecute el comando Set-ADFSRelyingPartyTrust -TargetName <Nombre de confianza del receptor>
-SamlResponseSignature "MessageAndAssertion".
Nota: Es posible que el paso 2 no sea necesario si utiliza ADFS 3.0, ya que CmdLet ya está instalado como parte de la adición de las funciones y funciones.
Nota: El <Identificador de confianza de la parte que confía> distingue entre mayúsculas y minúsculas, por lo que coincide (incluido el caso) con lo establecido en la ficha Identificador de las propiedades de confianza de la parte que confía.
Nota: Al iniciar UCCX versión 12.0, Cisco Identity Service es compatible con SHA-256. El fideicomiso utiliza SHA-256 para firmar la solicitud SAML y espera que ADFS haga lo mismo en la respuesta.
En el caso de Federation en ADFS, donde un ADFS en particular dominio proporciona autenticación SAML federada para usuarios en otros dominios configurados, estas son las configuraciones adicionales que se necesitan.
Para estas secciones, el término principal ADFS se refiere al ADFS que debe utilizarse en IdS. El término Federated ADFS indica aquellos ADFS, cuyos usuarios pueden iniciar sesión a través de IdS y, por lo tanto, es el ADFS principal.
En cada uno de los ADFS federados, se debe crear la confianza de la parte que confía para el ADFS primario y las reglas de reclamación configuradas como se mencionó en la sección anterior.
Para el ADFS principal, aparte de la confianza de la parte que confía en el IdS, se necesita la siguiente configuración adicional.
Añada Confianza en el proveedor de reclamaciones con el ADFS al que debe configurarse la federación.
En la Confianza del Proveedor de Reclamaciones, asegúrese de que las reglas Pasar o Filtrar una Reclamación Entrante se configuran con todos los valores de reclamación como opción
En el fideicomiso party trust for IdS, agregue las reglas Pass (Paso a través) o Filter an Incoming Claim (Filtrar una reclamación entrante) con todos los valores de reclamación como opción.
La autenticación integrada de Windows (IWA) proporciona un mecanismo para la autenticación de los usuarios, pero no permite que las credenciales se transmitan a través de la red. Cuando habilita la autenticación integrada de Windows, funciona sobre la base de las notificaciones para permitir que los nodos que se comunican a través de una red no segura demuestren su identidad unos a otros de forma segura. Permite a los usuarios iniciar sesión en un dominio después de iniciar sesión en sus equipos windows.
Nota: la autenticación Kerberos sólo se admite desde 11.6 y superiores.
Los usuarios de dominio que ya han iniciado sesión en el controlador de dominio (DC) iniciarán sesión sin problemas en los clientes SSO sin necesidad de volver a introducir las credenciales. Para los usuarios que no son de dominio, IWA vuelve a NTLM (New Technology Local Area Network Manager) y aparece el diálogo de inicio de sesión. La calificación para IdS con autenticación IWA se realiza con Kerberos contra ADFS 3.0.
Paso 1. Abra el símbolo del sistema de Windows y ejecute como usuario administrador para registrar el servicio http con el comando setspan
setspan -s http/<ADFS url> <domain>\<account name> .
Paso 2. Desactive la autenticación de formularios y active la autenticación de Windows para los sitios de Intranet. Vaya a ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit. En Intranet, asegúrese de que sólo esté marcada la autenticación de Windows (Desactive la autenticación del formulario).
Paso 1. Asegúrese de que Internet Explorer > Advanced > Enable Integrated Windows Authentication esté marcado.
Paso 2. La url de ADFS debe agregarse a Seguridad > Zonas de Intranet > Sitios (winadcom215.uccx116.com es ADFS url)
Paso 3. Asegúrese de que Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon esté configurado para utilizar las credenciales de inicio de sesión para los sitios de intranet.
Paso 1. Entre en el modo de configuración para Firefox. Abra Firefox e introduzca about:config en la URL. Acepte la declaración de riesgos.
Paso 2. Busque ntlm y habilite network.automatically-ntlm-auth.allow-non-fqdn y establézcalo en true.
Paso 3. Establezca network.automatically-ntlm-auth.trust-uris en el dominio o explícitamente la URL ADFS.
Google Chrome en Windows utiliza la configuración de Internet Explorer, así que configure dentro del diálogo Herramientas > Opciones de Internet de Internet Explorer, o desde el Panel de Control bajo Opciones de Internet dentro de la subcategoría Red e Internet.
Este documento describe la configuración del aspecto IdP para SSO que se integrará con Cisco Identity Service. Para obtener más información, consulte las guías de configuración de productos individuales:
Este procedimiento se utiliza para determinar si la confianza de la parte que confía se establece correctamente entre los IdS de Cisco y los IDP.
Nota: La página Lista de comprobación que aparece como parte del proceso de verificación no es un error, sino una confirmación de que la confianza está establecida correctamente.
Para resolver problemas, consulte - https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
24-Aug-2021 |
Versión inicial |