Introducción
Este documento describe cómo configurar el inicio de sesión único (SSO) en Cisco Unified Communications Manager (CUCM) y el servicio de federación de Active Directory (AD FS). Se proporciona el procedimiento para AD FS 2.0 con Windows Server 2008 R2. Estos pasos también funcionan para AD FS 3.0 en Windows Server 2016.
Contribuido por Scott Kiewert, ingeniero del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Unified Communications Manager
- Conocimiento básico de AD FS
Para habilitar SSO en su entorno de laboratorio, necesita esta configuración:
- Windows Server con AD FS instalado
- CUCM con sincronización LDAP configurada
- Un usuario final con la función de superusuarios de CCM estándar seleccionada
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Windows Server con AD FS 2.0
- CUCM 10.5.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Descargue e instale AD FS 2.0 en su servidor Windows
Paso 1. Navegue hasta https://www.microsoft.com/en-us/download/details.aspx?id=10909 y haga clic en Continuar.
Paso 2. Asegúrese de seleccionar la descarga adecuada en función de su Windows Server.
Paso 3. Mueva el archivo descargado a Windows Server.
Paso 4. Continúe con la instalación:
Paso 5. Cuando se le solicite, seleccione Servidor de federación:

Paso 6. Algunas dependencias se instalan automáticamente; una vez que haya terminado, haga clic en Finalizar.
Ahora que ha instalado AD FS 2.0 en el servidor, debe agregar alguna configuración.
Configurar AD FS 2.0 en su servidor Windows
Paso 1. Si la ventana AD FS 2.0 no se abrió automáticamente después de la instalación, puede hacer clic en Inicio y buscar AD FS 2.0 Management para abrirla manualmente.
Paso 2. Seleccione Asistente para la configuración del servidor de federación AD FS 2.0.

Paso 3. A continuación, haga clic en Crear un nuevo servicio de federación.

Paso 4. Para la mayoría de los entornos, el servidor de federación independiente es suficiente.

Paso 5. A continuación, se le solicita que seleccione un certificado. Este campo se rellena automáticamente siempre que el servidor tenga un certificado.

Paso 6. Si ya tiene una base de datos AD FS en el servidor, debe quitarla para continuar.
Paso 7. Por último, se encuentra en una pantalla de resumen en la que puede hacer clic en Siguiente.
Importar los metadatos Idp a CUCM / Descargar los metadatos de CUCM
Paso 1. Actualice la URL con el nombre de host/FQDN del servidor de Windows y descargue los metadatos del servidor de AD FS: https://hostname/federationmetadata/2007-06/federationmetadata.xml
Paso 2. Vaya a Administración de Cisco Unified CM > Sistema > Inicio de sesión único de SAML.
Paso 3. Haga clic en Habilitar SSO SAML.
Paso 4. Si recibe una alerta sobre las conexiones del servidor Web, haga clic en Continuar.
Paso 5. A continuación, CUCM le indica que descargue el archivo de metadatos de su IdP. En este escenario, su servidor AD FS es el IdP, y descargamos los metadatos en el Paso 1, así que haga clic en Siguiente.
Paso 6. Haga clic en Browse > Select the .xml from Step 1 > Click Import IdP Metadata.
Paso 7. Un mensaje indica que la importación se realizó correctamente:

Paso 8. Haga clic en Next (Siguiente)
Paso 9. Ahora que tiene los metadatos de IdP importados en CUCM, debe importar los metadatos de CUCM a su IdP.
Paso 10. Haga clic en Descargar archivo de metadatos de confianza.
Paso 11. Haga clic en Next (Siguiente)
Paso 12. Mueva el archivo .zip a Windows Server y extraiga el contenido a una carpeta.
Importar CUCM Metatdata al servidor AD FS 2.0 y crear reglas de reclamación
Paso 1. Haga clic en Inicio y busque AD FS 2.0 Management.
Paso 2. Haga clic en Requerido: Agregar una persona de confianza
Nota: Si no ve esta opción, debe cerrar la ventana y abrirla de nuevo.
Paso 3. Una vez que haya abierto el Asistente para agregar confianza de terceros, haga clic en Inicio.
Paso 4. Aquí, debe importar los archivos XML que ha extraído en el paso 12. Seleccione Importar datos de la parte que confía en un archivo y busque los archivos de carpeta y seleccione el XML del editor.
Nota: Siga los pasos anteriores para cualquier servidor de Unified Collaboration en el que desee utilizar SSO.

Paso 5. Haga clic en Next (Siguiente)
Paso 6. Edite el Nombre mostrado y haga clic en Siguiente.
Paso 7. Seleccione Permitir que todos los usuarios accedan a esta persona de confianza y haga clic en Siguiente.
Paso 8. Haga clic en Next nuevamente.
Paso 9. En esta pantalla, asegúrese de que ha abierto el diálogo Editar reglas de reclamación para esta confianza de la parte de confianza cuando el asistente cierre y, a continuación, haga clic en Cerrar.
Paso 10. Se abre la ventana Editar reglas de reclamación:

Paso 11. En esta ventana, haga clic en Agregar regla.
Paso 12. Para la plantilla de regla de reclamación, seleccione Enviar atributos LDAP como reclamaciones y haga clic en Siguiente.
Paso 13. En la página siguiente, ingrese NameID para el nombre de regla de reclamación.
Paso 14. Seleccione Active Directory para el almacén de atributos.
Paso 15. Seleccione SAM-Account-Name para el atributo LDAP.
Paso 16. Ingrese uid para el tipo de reclamación saliente.
Nota: uid no es una opción de la lista desplegable; debe introducirse manualmente.

Paso 17. Haga clic en Finish (Finalizar)
Paso 18. La primera regla ya está terminada. Haga clic en Agregar regla de nuevo.
Paso 19. Seleccione Enviar justificantes de venta mediante una regla personalizada.
Paso 20. Introduzca un nombre de regla de reclamación.
Paso 21. En el campo Regla personalizada, pegue este texto:
c:[Tipo == "http://schemas.microsoft.com/ws/2008/06/identity/reclamaciones/nombre de cuenta de ventana"]
=> problema(Tipo = "http://schemas.xmlsoap.org/ws/2005/05/identity/claim/name identificador", Emisor = c.Emisor, OriginalEmisor = c.OriginalEmisor, Valor = c.Value, ValueType = c.ValueType, Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/clariproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transitoriont", Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/Claproperties/nameQualifier"] = "http://ADFS_FEDERATION_SERVICE_NAME/com/adfs/service/trust", Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/reclamproperties/spnamecalifier"] = "CUCM_ENTITY_ID");
Paso 22. Asegúrese de cambiar AD_FS_SERVICE_NAME y CUCM_ENTITY_ID por los valores adecuados.
Nota: Si no está seguro del nombre de servicio de AD FS, puede seguir los pasos para encontrarlo. La ID de entidad de CUCM se puede extraer de la primera línea del archivo de metadatos de CUCM. Hay un IdEntidad en la primera línea del archivo que se parece a esto, EntityID="1cucm1052.sckiewer.lab", debe introducir el valor subrayado en la sección apropiada de la regla de reclamación.

Paso 23. Haga clic en Finish (Finalizar)
Paso 24. Haga clic en OK (Aceptar).
Nota: Las reglas de reclamación son necesarias para cualquier servidor de Unified Collaboration en el que desee utilizar SSO.
Finalizar Habilitación SSO En CUCM Y Ejecutar La Prueba SSO
Paso 1. Ahora que el servidor AD FS está completamente configurado, puede volver a CUCM.
Paso 2. Nos fuimos a la página de configuración final:

Paso 3. Seleccione su usuario final que tenga la función Superusuarios de CCM estándar seleccionada y haga clic en Ejecutar prueba de SSO...
Paso 4. Asegúrese de que el explorador permite las ventanas emergentes e introduzca sus credenciales en el mensaje.

Paso 5. Haga clic en Cerrar en la ventana emergente y, a continuación, Finalizar.
Paso 6. Después de un breve reinicio de las aplicaciones web, se habilita SSO.
Troubleshoot
Establecer registros SSO para depurar
Para configurar los registros de SSO en debug, debe ejecutar este comando en la CLI de CUCM: set samltrace level debug
Los registros SSO se pueden descargar desde RTMT. El nombre del conjunto de registros es Cisco SSO.
Buscar el nombre del servicio de federación
Para encontrar el nombre del servicio de federación, haga clic en Inicio y busque AD FS 2.0 Management.
· Haga clic en Editar propiedades del servicio de federación...
· En la ficha General, busque el nombre del Servicio de federación
Nombre De Servicio De Certificado Y Federación Sin Dotación
Si recibe este mensaje de error en el asistente de configuración de AD FS, debe crear un nuevo certificado.
El certificado seleccionado no se puede utilizar para determinar el nombre del servicio de federación porque el certificado seleccionado tiene un nombre de asunto sin puntos (nombre corto) (por ejemplo, pkinane). Seleccione otro certificado sin un nombre de asunto sin puntos (nombre corto) (por ejemplo, fs.pkinane.com) y vuelva a intentarlo.
Paso 1. Haga clic en Inicio y busque y, a continuación, abra el Administrador de Servicios de Internet Information Server (IIS).

Paso 2. Haga clic en el nombre del servidor

Paso 3. Haga clic en Server Certificates (Certificados de servidor)

Paso 4. Haga clic en Crear certificado firmado automáticamente

Paso 5. Introduzca el nombre que desea para el alias del certificado

El tiempo no está sincronizado entre los servidores CUCM y IDP.
Si recibe este error cuando ejecuta la prueba SSO de CUCM, debe configurar Windows Server para utilizar los mismos servidores NTP que CUCM.
Respuesta SAML no válida. Esto puede deberse a que el tiempo no está sincronizado entre Cisco Unified Communications Manager y los servidores IDP. Verifique la configuración de NTP en ambos servidores. Ejecute "utils ntp status" desde la CLI para comprobar este estado en Cisco Unified Communications Manager.
Una vez que Windows Server tiene los servidores NTP correctos especificados, debe realizar otra prueba SSO y ver si el problema persiste. En algunos casos, es necesario sesgar el período de validez de la afirmación. Más detalles sobre ese proceso aquí.
Información Relacionada