Configure el proveedor de la identidad para que el servicio de la identidad de Cisco active SSO

Introducción

Este documento describe la configuración en el proveedor de la identidad (IdP) para activar la sola muestra encendido (SSO).

Modelos de despliegue de los IdS de Cisco

Producto	Despliegue
UCCX	Co-residente
PCCE	Co-residente con CUIC (centro unificado Cisco de la inteligencia) y LD (datos vivos)
UCCE	Co-residente con CUIC y el LD para las implementaciones 2k. Independiente para las implementaciones 4k y 12k.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Versión 11.5 del Cisco Unified Contact Center Express (UCCX) o versión 11.5 del Cisco Unified Contact Center Enterprise o versión embalada 11.5 de la empresa del Centro de contacto (PCCE) como aplicables.
• Microsoft Active Directory - ANUNCIO instalado en el Servidor Windows
• Versión 2.0/3.0 del servicio de la federación del Active Directory (ADFS)

Nota: Este documento se refiere a UCCX a las capturas de pantalla y a los ejemplos, no obstante la configuración es similar en cuanto al servicio de Cisco Identitify (UCCX/UCCE/PCCE) y al IdP.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Descripción de SSO

Cisco proporciona muchos servicios en diversas formas y como usuario final, usted quiere ingresar solamente una vez para tener el acceso a todos los Servicios de Cisco. Si usted quiere encontrar y manejar los contactos de la aplicación de Cisco ua de los y de los dispositivos, leveraging todas las fuentes posibles (los contactos Corporate Directory (Directorio corporativo), de la perspectiva, del móvil, Facebook, LinkedIn, historial), y las hace rendir en un campo común y una manera coherente que proporcione a la información requerida para conocer su Disponibilidad y cómo mejor entrarlas en contacto con.

SSO usando SAML (lenguaje de marcado de la aserción de la Seguridad) apunta este requisito. SAML/SSO proporciona a la capacidad para que los usuarios registren en los dispositivos múltiples y los servicios con una identidad común de la cuenta y de la autorización llamada el IdP. Las funciones SSO están disponibles en UCCX/UCCE/PCCE 11.5 hacia adelante.

Información general sobre la configuración 

Configurar

Tipos de Autenticación

Los soportes del servicio de la identidad de Cisco forman solamente la autenticación basada del proveedor de la identidad.

Refiera por favor estos artículos MSDN para aprender cómo activar la autenticación de la forma en ADFS.

• Para ADFS 2.0 refieren a este artículo del TechNet de Microsoft,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Para el 3.0 ADFS refiérase refieren a este artículo del TechNet de Microsoft,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Nota: El servicio 11.6 de la identidad de Cisco y arriba utiliza la autenticación y la autenticación de Kerberos basadas forma. Para que la autenticación de Kerberos trabaje, usted debe inhabilitar la forma basada autenticación.

Establezca la relación de confianza 

Para onboarding y permitir a las aplicaciones utilizar el servicio de la identidad de Cisco para solo Muestra-en, realice el intercambio de los meta datos entre el servicio de la identidad (IdS) e IdP.

• Descargue el archivo de metadatos sp.xml SP de SAML.
• De las configuraciones, navegue a la tabulación de la confianza de los IdS en la página de la Administración del servicio de la identidad.

• Descargue el archivo de metadatos de IdP del IdP del URL:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• En la identidad mantenga la página de la Administración, cargan por teletratamiento el archivo de metadatos del proveedor de la identidad que fue descargado en el paso anterior.

Éste es el procedimiento para cargar por teletratamiento los meta datos de los IdS y para agregar las reglas de la demanda. Esto se resume para ADFS 2.0 y el 3.0

ADFS 2.0:

Paso 1. En el servidor ADFS navegue a, comienzo > todos los programas > las herramientas administrativas > Administración FS 2.0 del ANUNCIO, tal y como se muestra en de la imagen:

Paso 2. Navegue para agregar el ANUNCIO FS 2.0 > relación de confianza > confianza de confianza del partido, tal y como se muestra en de la imagen:

Paso 3. Tal y como se muestra en de la imagen, seleccione los datos de la importación de la opción sobre el partido de confianza de un fichero.

Paso 4. Complete el establecimiento de la confianza de confianza del partido.

Paso 5. En las propiedades de la confianza de confianza del partido, seleccione el identificador cuadro.

Paso 6. Fije el identificador como el hostname calificado completamente del servidor de la identidad de Cisco del cual se descarga sp.xml.

Paso 7. Haga clic derecho en la confianza de confianza del partido y después haga clic en corrigen las reglas de la demanda.

Usted necesita agregar dos reglas de la demanda, una es cuando se corresponden con los atributos LDAP (protocolo lightweight directory access) mientras que el segundo está con las reglas de encargo de la demanda.

uid - Este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_principal - Este atributo es necesitado por el servicio de la identidad de Cisco para identificar el reino del usuario autenticado.

Regla 1 de la demanda:

Agregue una regla por nombre NameID de tipo (envíe los valores del atributo LDAP como demandas):

• Seleccione el almacén del atributo como Active Directory.
• Asocie el Usuario-Principal-nombre del atributo de Ldap a user_principal (minúsculo).
• Elija el atributo LDAP que tiene que ser utilizado como userId para que los usuarios de la aplicación lo abran una sesión y asocien al uid (minúsculo)

Ejemplo de configuración cuando SamAccountName debe ser utilizado como identificación del usuario:

• Asocie el atributo SamAccountName LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Ejemplo de configuración cuando UPN tiene que ser utilizado como identificación del usuario -

• Asocie el Usuario-Principal-nombre del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.
               

Ejemplo de configuración cuando PhoneNumber tiene que ser utilizado como identificación del usuario -

• Asocie el telephoneNumber del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Nota: Necesitamos asegurarnos de que el atributo LDAP configurado para la identificación del usuario en la sincronización CUCM LDAP haga juego qué se configura como el atributo LDAP para el uid en la regla NameID de la demanda ADFS. Esto está para el funcionamiento apropiado de Cisco unificó la clave del centro (CUIC) y de la delicadeza de la inteligencia.

Nota: Este documento se refiere a los apremios en los nombres del nombre y de la visualización de la regla de la demanda tales como NameID, FQDN de UCCX, del etc. Aunque los campos y los nombres de encargo pueden ser aplicables en las diversas secciones, los nombres de la regla de la demanda y los nombres de la visualización se mantienen estándar en todas partes para mantener el estado coherente y para las mejores prácticas en la convención para nombres.

Regla 2 de la demanda:

• Agregue otra regla del tipo regla de encargo de la demanda con el nombre como el hostname calificado completamente (FQDN) del servidor de la identidad de Cisco y agregue este texto de la regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de servidor de la identidad de Cisco, todos los hostname calificado completamente son el del servidor de la identidad de Cisco primario o del nodo del editor.
  
  
• < el hostname calificado completamente de la identidad Server> de Cisco es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el servidor FQDN de la identidad de Cisco.
  
  
• El servidor FQDN> <ADFS es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el ADFS FQDN.

Paso 8. Haga clic derecho en la confianza de confianza del partido y entonces haga clic en las propiedades y seleccione la tabulación avanzada, tal y como se muestra en de la imagen.

Paso 9. Tal y como se muestra en de la imagen, seleccione el Secure Hash Algorithm (SHA) como SHA-1.

Paso 10. AUTORIZACIÓN del tecleo.

3.0 ADFS:

Paso 1. En el servidor ADFS navegue a, administrador de servidor > las herramientas > Administración FS del ANUNCIO.

Paso 2. Navegue al ANUNCIO FS > relación de confianza > confianza de confianza del partido.

Paso 3. Seleccione los datos de la importación de la opción sobre el partido de confianza de un fichero.

Paso 4. Complete el establecimiento de la confianza de confianza del partido.

Paso 5. En las propiedades de la confianza de confianza del partido, seleccione el identificador cuadro.

Paso 6. Fije el identificador como el hostname calificado completamente del servidor de la identidad de Cisco del cual se descarga sp.xml.

Paso 7. Haga clic derecho en la confianza de confianza del partido y después haga clic en corrigen las reglas de la demanda.

Usted necesita agregar dos reglas de la demanda, una es cuando se corresponden con los atributos LDAP (protocolo lightweight directory access) mientras que el segundo está con las reglas de encargo de la demanda.

uid - Este atributo es necesario para que las aplicaciones identifiquen al usuario autenticado.
user_principal - Este atributo es necesitado por el servicio de la identidad de Cisco para identificar el reino del usuario autenticado.

Regla 1 de la demanda:

Agregue una regla por nombre NameID de tipo (envíe los valores del atributo LDAP como demandas):

• Seleccione el almacén del atributo como Active Directory.
• Asocie el Usuario-Principal-nombre del atributo de Ldap a user_principal (minúsculo).
• Elija el atributo LDAP que tiene que ser utilizado como userId para que los usuarios de la aplicación lo abran una sesión y asocien al uid (minúsculo)

Ejemplo de configuración cuando SamAccountName debe ser utilizado como identificación del usuario:

• Asocie el atributo SamAccountName LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Ejemplo de configuración cuando UPN tiene que ser utilizado como identificación del usuario -

• Asocie el Usuario-Principal-nombre del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.
               

Ejemplo de configuración cuando PhoneNumber tiene que ser utilizado como identificación del usuario -

• Asocie el telephoneNumber del atributo LDAP al uid.
• Asocie el Usuario-Principal-nombre del atributo LDAP a user_principal.

Nota: Necesitamos asegurarnos de que el atributo LDAP configurado para la identificación del usuario en la sincronización CUCM LDAP haga juego qué se configura como el atributo LDAP para el uid en la regla NameID de la demanda ADFS. Esto está para el funcionamiento apropiado de Cisco unificó la clave del centro (CUIC) y de la delicadeza de la inteligencia.

Nota: Este documento se refiere a los apremios en los nombres del nombre y de la visualización de la regla de la demanda tales como NameID, FQDN de UCCX, del etc. Aunque los campos y los nombres de encargo pueden ser aplicables en las diversas secciones, los nombres de la regla de la demanda y los nombres de la visualización se mantienen estándar en todas partes para mantener el estado coherente y para las mejores prácticas en la convención para nombres.

Regla 2 de la demanda:

• Agregue otra regla del tipo regla de encargo de la demanda con el nombre como el hostname calificado completamente (FQDN) del servidor de la identidad de Cisco y agregue este texto de la regla.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• En el clúster de servidor de la identidad de Cisco, todos los hostname calificado completamente son el del servidor de la identidad de Cisco primario o del nodo del editor.
  
  
• < el hostname calificado completamente de la identidad Server> de Cisco es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el servidor FQDN de la identidad de Cisco.
  
  
• El servidor FQDN> <ADFS es con diferenciación entre mayúsculas y minúsculas, así que hace juego exactamente (caso incluyendo) con el ADFS FQDN.

Paso 8. Haga clic derecho en la confianza de confianza del partido y entonces haga clic en las propiedades y seleccione la tabulación avanzada

Paso 9. Tal y como se muestra en de la imagen, seleccione el Secure Hash Algorithm (SHA) como SHA-1.

Paso 10 - AUTORIZACIÓN del tecleo.

Estos pasos son obligatorios después del paso 10.

Aserciones firmadas permiso de SAML para la confianza de confianza del partido (servicio de la identidad de Cisco)

Paso 1. Haga clic el comienzo y ingrese el powershell al powershell de las ventanas abiertas.

Paso 2. Agregue ADFS CmdLet al powershell funcionando con el comando agregan-PSSnapin Microsoft.Adfs.Powershell.

Paso de 3 carreras el comando, conjunto-ADFSRelyingPartyTrust - Confianza <Relying Name> del partido de TargetName

- SamlResponseSignature “MessageAndAssertion”.

          

Nota: El paso 2 puede no ser necesario si usted está utilizando el 3.0 ADFS puesto que el CmdLet está instalado ya como parte de que agrega los papeles y las características.

Nota: La confianza <Relying Identifier> del partido es con diferenciación entre mayúsculas y minúsculas, así que hace juego (caso incluyendo) con qué se fija en la tabulación del identificador de las propiedades de confianza de confianza del partido.

Nota: Soportes del servicio SHA-1 de la identidad de Cisco. Las aplicaciones de confianza SHA-1 de la confianza del partido para firmar la petición de SAML y esperan que ADFS haga lo mismo en la respuesta.

Para una configuración del Multi-dominio para ADFS federado

En caso de la federación en ADFS, donde un dominio ADFS particularmente proporciona a la autenticación federada de SAML para los usuarios en otros dominios configurados, éstas son las configuraciones adicionales que son necesarias.

Para esto las secciones, el término ADFS primario refieren al ADFS que tiene que ser utilizado en los IdS. El ADFS federado término indica esos ADFS, cuyos se permite a usuarios abrirse una sesión vía los IdS y así, es el ADFS primario.

Configuración federada ADFS

En cada uno del ADFS federado, la confianza de confianza del partido tiene que ser creada para ADFS primario y las reglas de la demanda configuradas como se menciona en la sección anterior.

Configuración primaria ADFS

Para ADFS primario, aparte de la confianza de confianza del partido para los IdS, la configuración adicional siguiente es necesaria.

Agregue la confianza del proveedor de la demanda con el ADFS al cual la federación tiene que ser puesta.

En la confianza del proveedor de la demanda, asegúrese de que el paso a través o filtre las reglas entrantes de una demanda se configuran con el paso con todos los valores de la demanda como la opción

• Nombre la identificación
• Elija la identificación del nombre del tipo entrante cuadro de la demanda del descenso
• Elija el transeúnte como la opción para el formato entrante de NameID
• uid: Esto es una demanda de encargo. Ingrese el uid del valor en el tipo entrante rectángulo de la demanda del descenso.
• user_principal: Esto es una demanda de encargo. Pulse el valor user_principal en el tipo entrante cuadro de la demanda del descenso.

En la confianza de confianza del partido para los IdS, agregue el paso sin embargo o filtre las reglas entrantes de una demanda con el paso con todos los valores de la demanda como la opción.

• NameIDFromSubdomain
• Elija la identificación del nombre del tipo entrante cuadro de la demanda del descenso
• Elija el transeúnte como la opción para el formato entrante de NameID
• uid: Esto es una demanda de encargo. Pulse el uid del valor en el tipo entrante cuadro de la demanda del descenso
• user_principal: Esto es una demanda de encargo. Pulse el valor user_principal en el tipo entrante cuadro de la demanda del descenso

Renovación automática del certificado ADFS

• La renovación automática del certificado se utiliza para UCCX 11.6.1 y arriba. [Esto fue fijada en UCCX 11.6 actualizando la biblioteca de Fedlet a la versión 14.0]

Autenticación de Kerberos (autenticación de Windows integrada)

La autenticación de Windows integrada (AIT) proporciona al mecanismo para la autenticación de los usuarios, pero no permite que las credenciales sean transmitidas sobre la red. Cuando usted activa la autenticación de Windows integrada, trabaja en base de los boletos para permitir los Nodos que comunican sobre una red no-segura para probar su identidad a otra en una forma segura. Permite que los usuarios se abran una sesión a un dominio después de la clave en sus máquinas de las ventanas. 

Nota: La autenticación de Kerberos se utiliza solamente a partir del 11.6 y arriba.

Registrarán a los Domain User que se registran ya en el regulador del dominio (DC) inconsútil en los clientes SSO sin la necesidad de entrar las credenciales de nuevo.  Para los usuarios del no-dominio, el AIT recurre a NTLM (encargado de red de área local de la tecnología nueva) y el diálogo de la clave aparece. La calificación para los IdS con la autenticación AIT se hace con el Kerberos contra el 3.0 ADFS.

Paso 1. Ventanas abiertas comando prompt y funcionamiento como usuario Admin de registrar el servicio HTTP con el comando del setspn 

             setspn - <domain> del url> s http/<ADFS \ name> del <account.

Paso 2. Inhabilite la autenticación de la forma y active la autenticación de Windows para los sitios del Intranet. Vaya a la Administración > a las políticas de autenticación > a la autenticación primaria > a las configuraciones globales ADFS > corrigen. Bajo el Intranet, asegúrese de que solamente la autenticación de Windows esté controlada (Uncheck la autenticación de la forma).

Configuración para Microsoft Internet Explorer para la ayuda AIT

Paso 1. Asegúrese de que el Internet Explorer > avanzara > autenticación de Windows integrada permiso esté controlado.

Paso 2. El URL ADFS necesita ser agregado a las zonas del >Intranet de la Seguridad > a los sitios (winadcom215.uccx116.com es URL ADFS)

Paso 3. Asegúrese de que > Security (Seguridad) de Exporer de Internet > las configuraciones > autenticación de usuario locales del > Security (Seguridad) del Intranet - el inicio se configura para utilizar las credenciales abiertas una sesión para los sitios del intranet.

Configuración requerida para Mozilla Firefox para la ayuda AIT

Paso 1. Ingrese en el modo de la configuración para Firefox. Abra Firefox y ingrese alrededor: config en el URL. Valide la declaración de los riesgos.

Paso 2. Busque para el ntlm y active el network.automatic-ntlm-auth.allow-non-fqdn y fíjelo para verdad.

Paso 3. Fije el network.automatic-ntlm-auth.trusted-uris al dominio o explícitamente al ADFS URL.

Configuración requerida para Google Chrome para la ayuda AIT

Google Chrome en Windows utiliza las configuraciones del Internet Explorer, así que configure dentro del diálogo de opciones del >Internet de las herramientas del Internet Explorer, o del panel de control bajo opciones de Internet dentro de la red y de Internet de la subcategoría.

Fomente la configuración para SSO:

Este documento describe la configuración del aspecto de IdP para que SSO integre con el servicio de la identidad de Cisco. Para otros detalles, refiera a las guías de configuración de producto individual:

• UCCX
• UCCE
• PCCE

Verificación

Este procedimiento se utiliza para determinar si la confianza de confianza del partido se establece correctamente entre los IdS de Cisco e IDP.

• ¿Del broswer ingrese el URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx? loginToRp=<IDS_FQDN>
• ADFS proporcionará al formulario de inicio de sesión. Esto estará disponible cuando la configuración antedicha correcta.
• En la autenticación satisfactoria, el navegador debe reorientar a https://<IDS_FQDN>:8553/ids/saml/response y una página de la lista de verificación aparecerá.

Nota: La página de la lista de verificación que aparece pues una parte del proceso de verificación es un no error sino una confirmación que la confianza está establecida correctamente.

Troubleshooting

Para el Troubleshooting refiera - el https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

Puente UCCX SSO/recuperación URL

• El URL para Cisco unificó la administración CCX: https:// <IP_or_FQDN>/appadmin/recovery_login.htm
• El URL para Cisco unificó la utilidad CCX: https:// <IP_or_FQDN>/uccxservice/recovery_login.htm

Inhabilitar SSO

• GUI: Navegue CCX a la administración > solo Muestra-en (SSO) > neutralización
• CLI: fije el non_sso del authmode (este comando debe inhabilitar SSO para el Pub y el submarino - puede ser ejecutado de cualquiera en los Nodos UCCX en caso de un racimo de gran disponibilidad (ha))

Capturas de pantalla

CCX la administración - Non_SSO:

CCX la administración - SSO activado:

Clave de la delicadeza - No--SSO:

Clave de la delicadeza - SSO activado:

CUIC - Non_SSO:

CUIC - SSO activado: