Instalar y configurar el proveedor de identidad de Shibboleth (IdP) para Cisco Identity Service (IdS) para habilitar SSO
Opciones de descarga
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Contenido
Introducción
Este documento describe la configuración en OpenAM Identity Provider (IdP) para habilitar el inicio de sesión único (SSO).
Modelos de implementación de Cisco IdS
| Producto | Implementación |
| UCCX | Copresidente |
| PCCE | Coresidente con CUIC (Cisco Unified Intelligence Center) y LD (Live Data) |
| UCCE | Coresidente con CUIC y LD para implementaciones 2k. Independiente para implementaciones de 4000 y 12 000. |
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Unified Contact Center Express (UCCX) versión 11.6 o Cisco Unified Contact Center Enterprise versión 11.6 o Packaged Contact Center Enterprise (PCCE) versión 11.6, según corresponda.
Nota: Este documento hace referencia a la configuración con respecto a Cisco Identity Service (IdS) y el Identity Provider (IdP). El documento hace referencia a UCCX en las capturas de pantalla y los ejemplos, sin embargo la configuración es similar con respecto a Cisco Identity Service (UCCX/UCCE/PCCE) y el IdP.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Instalar
Shibboleth es un proyecto de código abierto que proporciona capacidades de inicio de sesión único y permite a los sitios tomar decisiones de autorización informadas para el acceso individual de recursos en línea protegidos de una manera que preserva la privacidad. Es compatible con el lenguaje de marcado de aserción de seguridad (SAML2). IdS es un cliente SAML2 y se espera que soporte Shibboleth con cambios mínimos o nulos en IdS. En 11.6, IdS está calificado para trabajar con Shibboleth IdP.
Nota: Este documento hace referencia a la versión 3.3.0 de Shibboleth como parte de la calificación con SSO
Requisitos del sistema
| Componente | Detalles |
| versión de Shibboleth | v3.3.0 |
| Ubicación de descarga | http://shibboleth.net/downloads/identity-provider/ |
| Instalar plataforma | Ubuntu 14.0.4 java versión "1.8.0_121" |
| Versión del protocolo ligero de acceso a directorios (LDAP) | Active Directory 2.0 |
| servidor web Shibboleth | Apache Tomcat/8.5.12 |
Por favor, consulte la wiki para la instalación de Shibboleth
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
Configurar
Integración con un servidor LDAP
Para integrar un servidor LDAP con shibboleth, los campos deben actualizarse en $shibboleth_home/conf/ldap.properties donde$shibboleth_home(el valor predeterminado es /opt/shibboleth-idp) se refiere al directorio de instalación que se utiliza en la instalación de shibboleth.
| Campo | Valor esperado | Descripción |
| idp.authn.LDAP.trustCertificates | Recurso desde el que cargar delimitadores de confianza, normalmente un archivo local en ${idp.home}/credentials donde idp.home es una variable de entorno exportada como JAVA_OPTS en setenv.sh |
%{idp.home}/credentials/ldap-server.crt |
| idp.authn.LDAP.trustStore | Un recurso para cargar un almacén de claves Java que contiene anclajes de confianza, normalmente un archivo local en %{idp.home}/credentials | %{idp.home}/credentials/ldap-server.truststore |
| idp.authn.LDAP.returnAttributes | La lista separada por comas de LDAPAttributes que se debe devolver. Si desea devolver todos los atributos, agregue "*". |
* |
| idp.authn.LDAP.baseDN | El DN base en el que se debe realizar la búsqueda LDAP | CN=users,DC=cisco,DC=com |
| idp.authn.LDAP.subtreeSearch | Si se debe buscar recursivamente | verdadero |
| idp.authn.LDAP.userFilter | Filtro de búsqueda LDAP | (sAMAccountName={user})* |
| idp.authn.LDAP.bindDN | DN con el que enlazar cuando se realiza la búsqueda | administrator@cisco.com |
| idp.authn.LDAP.bindDNCredential | Contraseña con la que se enlazará cuando se realice la búsqueda | |
| idp.authn.LDAP.dnFormat | Una cadena de formato para generar los DN de usuario que se autenticarán | %s@adfsserver.cisco.com (%s@domainname) |
| idp.authn.LDAP.authenticator | Controla el flujo de trabajo para determinar cómo se produce la autenticación en el LDAP | bindSearchAuthenticator |
| idp.authn.LDAP.ldapURL | URI de conexión para el directorio LDAP |
Para obtener más información, consulte:
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
Archivo de configuración de ejemplo
# Tiempo de espera en milisegundos pararespuestas
#idp.authn.LDAP.responseTimeout = PT3S
## Configuración SSL, ya sea jvmTrust, certificateTrust o keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
## Si utiliza certificateTrust, establezca la ruta del certificado de confianza
idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
## Si utiliza keyStoreTrust arriba, establezca la ruta del almacén de confianza
idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
## Devolver atributos durante la autenticación
#idp.authn.LDAP.returnAttributes = nombrePrincipalUsuario, nombreCuentaSAM
idp.authn.LDAP.returnAttributes = *
## Propiedades de resolución DN ##
# Resolución de DN de búsqueda, utilizada por anonSearchAuthenticator, bindSearchAuthenticator
# paraANUNCIO: CN=Usuarios,DC=ejemplo,DC=org
idp.authn.LDAP.baseDN = CN=users,DC=cisco,DC=com
idp.authn.LDAP.subtreeSearch = verdadero
*idp.authn.LDAP.userFilter = (sAMAccountName={user})*
# bind search configuration
# paraANUNCIO: idp.authn.LDAP.bindDN=adminuser@domain.com
idp.authn.LDAP.bindDN = administrador@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# Resolución de formato DN, utilizada por directAuthenticator, adAuthenticator
# paraAD usa idp.authn.LDAP.dnFormat=%s@domain.com
#idp.authn.LDAP.dnFormat = %s@adfsserver.cisco.com
# Configuración de atributos LDAP, consulte attribute-resolver.xml
# Nota: estees probable que no se aplique al uso de configuraciones de resolución V2 antiguas
idp.attribute.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
idp.attribute.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
idp.attribute.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS:verdadero}
idp.attribute.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
Permitir solicitudes de todos los clientes
Para garantizar que las solicitudes de todos los clientes lleguen a , se requieren cambios en "$shibboleth_home/conf/access-control.xml"
<entry key="AccessByIPAddress">
<bean id="AccessByIPAddress" parent="shibboleth.IPRangeAccessControl"
p:allowedRanges="#{ {'127.0.0.1/32','0.0.0.0/0', '::1/128', '10.78.93.103/32'} }" />
</entry>
Agregue '0.0.0.0/0' a los intervalos permitidos. Esto permite solicitudes desde cualquier rango de IP.
Configurar Shibboleth para integrarlo con IdS
Configuración de algoritmo hash seguro (SHA1) y cifrado en IdS
Para configurar los IdS de forma predeterminada en SHA1, abra "$shibboleth_home/conf/idp.properties" y establezca:
idp.signing.config = shibboleth.SigningConfiguration.SHA1
Esta configuración también se puede cambiar:
idp.encryption.optional = true
Si lo establece en true, si no se encuentra una clave de cifrado que se va a utilizar, cuando esté habilitada, no se producirá un error en la solicitud. Esta hAyuda a realizar el cifrado "oportunamente", es decir, cifrar siempre que sea posible (se encuentra una clave compatible en los metadatos del par con la que cifrar), pero omitir el cifrado en caso contrario.
Configure uid y user_principal para la respuesta SAML
AttributeDefinition se agrega en "$shibboleth_home/conf/attribute-resolver.xml" para asignar sAMAccountName y userPrincipalName a uid y user_principal en la respuesta SAML.
Además, agregue la configuración del conector ldap con la etiqueta <DataConnector>.
Nota: ReturnAttributes debe especificarse con el valor "sAMAccountName userPrincipalName".
Nota: LDAPProperty es obligatorio en caso de que haya integración con Active Directory (AD).
%{idp.attribute.resolver.LDAP.searchFilter}
sAMAccountName userPrincipalName
Incorpore los cambios en "$shibboleth_home/conf/attribute-filter.xml"
Metadatos de IdP
Los metadatos de IdP están disponibles en la carpeta "$shibboleth_home/metadata" . El archivo idp-metadata.xml se puede cargar a IdS a través de la Interfaz de programación de aplicaciones (API)
PUT https://<idshost>:<idsport>/ids/v1/config/idpmetadata
donde idsport no es una entidad configurable y el valor es "8553"
Advertencia: Los metadatos de Shibboleth pueden contener 2 certificados de firma, el certificado de firma general y el backchannel. Navegue hasta el archivo idp-backchannel.crt en "$shibboleth_home/credentials" para identificar el certificado de backchannel. Si el certificado de back channel está disponible en los metadatos, debe eliminar el certificado de back channel del xml de metadatos antes de cargarlo en IdS. Esto se debe a que la biblioteca de fedlet 12.0 que usa IdS sólo admite un certificado en los metadatos. Si hay más de un certificado de firma disponible, fedlet utiliza el primer certificado disponible.
Configurar proveedores de metadatos
Tenemos que configurar los proveedores de metadatos con la entrada en $shibboleth_home/metadata-providers.xml.
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
donde"id"atributo puede ser cualquier nombre único.
Esta entrada indica que un proveedor de metadatos está registrado con el id. proporcionado y que los metadatos están disponibles en el archivo especificado /opt/shibboleth-idp/SP/sp.xml.
Los metadatos del proveedor de servicios (SP) de IdS deben copiarse en el archivo de metadatos especificado en la entrada.
Nota: Los metadatos SP de IdS se pueden recuperar a través de GET https://<idshost>:<idsport>/ids/v1/config/spmetadata, donde idsport no es una entidad configurable y el valor es "8553".
Configuración adicional para SSO
Este documento describe la configuración desde el aspecto IdP para que SSO se integre con Cisco Identity Service. Para obtener más información, consulte las guías de configuración de productos individuales:
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
17-Aug-2017
|
Versión inicial |
Con la colaboración de ingenieros de Cisco
- Arundeep NagarajCisco TAC
- Balakrishnan DoraisamyCisco Engineering
- Venkatesh VedurumudiCisco Engineering
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)