Configuración del inicio de sesión único con CUCM y AD FS 2.0

Opciones de descarga

  • PDF     (914.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (756.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (824.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de marzo de 2022
ID del documento:211302

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar el inicio de sesión único (SSO) en Cisco Unified Communications Manager (CUCM) y el servicio de federación de Active Directory (AD FS). Se proporciona el procedimiento para AD FS 2.0 con Windows Server 2008 R2. Estos pasos también funcionan para AD FS 3.0 en Windows Server 2016.

    Contribuido por Scott Kiewert, ingeniero del TAC de Cisco.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Cisco Unified Communications Manager
    • Conocimiento básico de AD FS

    Para habilitar SSO en su entorno de laboratorio, necesita esta configuración:

    • Windows Server con AD FS instalado
    • CUCM con sincronización LDAP configurada
    • Un usuario final con la función de superusuarios de CCM estándar seleccionada

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Windows Server con AD FS 2.0
    • CUCM 10.5.2

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Descargue e instale AD FS 2.0 en su servidor Windows

    Paso 1. Navegue hasta https://www.microsoft.com/en-us/download/details.aspx?id=10909 y haga clic en Continuar.

    Paso 2. Asegúrese de seleccionar la descarga adecuada en función de su Windows Server.

    Paso 3. Mueva el archivo descargado a Windows Server.

    Paso 4. Continúe con la instalación:

    Paso 5. Cuando se le solicite, seleccione Servidor de federación:

    SSO with CUCM and AD FS - Install AD FS 2.0 - Select the Federation Server option

    Paso 6.  Algunas dependencias se instalan automáticamente; una vez que haya terminado, haga clic en Finalizar.

    Ahora que ha instalado AD FS 2.0 en el servidor, debe agregar alguna configuración.

    Configurar AD FS 2.0 en su servidor Windows

    Paso 1. Si la ventana AD FS 2.0 no se abrió automáticamente después de la instalación, puede hacer clic en Inicio y buscar AD FS 2.0 Management para abrirla manualmente.

    Paso 2. Seleccione Asistente para la configuración del servidor de federación AD FS 2.0.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select AD FS 2.0 Federation Server Configuration Wizard

    Paso 3.  A continuación, haga clic en Crear un nuevo servicio de federación.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Create a New Federation Service option

    Paso 4. Para la mayoría de los entornos, el servidor de federación independiente es suficiente.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Stand-alone Federation Server option

    Paso 5. A continuación, se le solicita que seleccione un certificado. Este campo se rellena automáticamente siempre que el servidor tenga un certificado.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Specify the Federation Server Name

    Paso 6. Si ya tiene una base de datos AD FS en el servidor, debe quitarla para continuar.

    Paso 7. Por último, se encuentra en una pantalla de resumen en la que puede hacer clic en Siguiente.

      

    Importar los metadatos Idp a CUCM / Descargar los metadatos de CUCM

    Paso 1. Actualice la URL con el nombre de host/FQDN del servidor de Windows y descargue los metadatos del servidor de AD FS: https://hostname/federationmetadata/2007-06/federationmetadata.xml

    Paso 2. Vaya a Administración de Cisco Unified CM > Sistema > Inicio de sesión único de SAML.

    Paso 3. Haga clic en Habilitar SSO SAML.

    Paso 4. Si recibe una alerta sobre las conexiones del servidor Web, haga clic en Continuar.

    Paso 5. A continuación, CUCM le indica que descargue el archivo de metadatos de su IdP.  En este escenario, su servidor AD FS es el IdP, y descargamos los metadatos en el Paso 1, así que haga clic en Siguiente.

    Paso 6. Haga clic en Browse > Select the .xml from Step 1 > Click Import IdP Metadata.

    Paso 7. Un mensaje indica que la importación se realizó correctamente:

    SSO with CUCM and AD FS - Import IdP Metadata - Import succeeded

    Paso 8. Haga clic en Next (Siguiente)

    Paso 9. Ahora que tiene los metadatos de IdP importados en CUCM, debe importar los metadatos de CUCM a su IdP.

    Paso 10. Haga clic en Descargar archivo de metadatos de confianza.

    Paso 11. Haga clic en Next (Siguiente)

    Paso 12. Mueva el archivo .zip a Windows Server y extraiga el contenido a una carpeta.

    Importar CUCM Metatdata al servidor AD FS 2.0 y crear reglas de reclamación

    Paso 1. Haga clic en Inicio y busque AD FS 2.0 Management.

    Paso 2. Haga clic en Requerido: Agregar una persona de confianza

    Nota: Si no ve esta opción, debe cerrar la ventana y abrirla de nuevo.

    Paso 3. Una vez que haya abierto el Asistente para agregar confianza de terceros, haga clic en Inicio.

    Paso 4. Aquí, debe importar los archivos XML que ha extraído en el paso 12.  Seleccione Importar datos de la parte que confía en un archivo y busque los archivos de carpeta y seleccione el XML del editor.

    Nota: Siga los pasos anteriores para cualquier servidor de Unified Collaboration en el que desee utilizar SSO.

    SSO with CUCM and AD FS - Import CUCM metadata to AD FS server - Select data source

    Paso 5. Haga clic en Next (Siguiente)

    Paso 6. Edite el Nombre mostrado y haga clic en Siguiente.

    Paso 7. Seleccione Permitir que todos los usuarios accedan a esta persona de confianza y haga clic en Siguiente.

    Paso 8. Haga clic en Next nuevamente.

    Paso 9. En esta pantalla, asegúrese de que ha abierto el diálogo Editar reglas de reclamación para esta confianza de la parte de confianza cuando el asistente cierre y, a continuación, haga clic en Cerrar.

    Paso 10. Se abre la ventana Editar reglas de reclamación:

    SSO with CUCM and AD FS - Edit Claim Rules dialog box

    Paso 11. En esta ventana, haga clic en Agregar regla.

    Paso 12. Para la plantilla de regla de reclamación, seleccione Enviar atributos LDAP como reclamaciones y haga clic en Siguiente.

    Paso 13. En la página siguiente, ingrese NameID para el nombre de regla de reclamación.

    Paso 14. Seleccione Active Directory para el almacén de atributos.

    Paso 15. Seleccione SAM-Account-Name para el atributo LDAP.

    Paso 16. Ingrese uid para el tipo de reclamación saliente.

    Nota: uid no es una opción de la lista desplegable; debe introducirse manualmente.

    SSO with CUCM and AD FS - Configure Rule - Enter uid for outgoing claim type

    Paso 17. Haga clic en Finish (Finalizar)

    Paso 18. La primera regla ya está terminada. Haga clic en Agregar regla de nuevo.

    Paso 19. Seleccione Enviar justificantes de venta mediante una regla personalizada.

    Paso 20. Introduzca un nombre de regla de reclamación.

    Paso 21. En el campo Regla personalizada, pegue este texto:

    c:[Tipo == "http://schemas.microsoft.com/ws/2008/06/identity/reclamaciones/nombre de cuenta de ventana"]
     => problema(Tipo = "http://schemas.xmlsoap.org/ws/2005/05/identity/claim/name identificador", Emisor = c.Emisor, OriginalEmisor = c.OriginalEmisor, Valor = c.Value, ValueType = c.ValueType, Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/clariproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transitoriont", Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/Claproperties/nameQualifier"] = "http://ADFS_FEDERATION_SERVICE_NAME/com/adfs/service/trust", Propiedades["http://schemas.xmlsoap.org/ws/2005/05/identity/reclamproperties/spnamecalifier"] = "CUCM_ENTITY_ID");

    Paso 22. Asegúrese de cambiar AD_FS_SERVICE_NAME y CUCM_ENTITY_ID por los valores adecuados.

    Nota: Si no está seguro del nombre de servicio de AD FS, puede seguir los pasos para encontrarlo.  La ID de entidad de CUCM se puede extraer de la primera línea del archivo de metadatos de CUCM.  Hay un IdEntidad en la primera línea del archivo que se parece a esto, EntityID="1cucm1052.sckiewer.lab", debe introducir el valor subrayado en la sección apropiada de la regla de reclamación.

    SSO with CUCM and AD FS - Configure Rule - Define custom rule

    Paso 23. Haga clic en Finish (Finalizar)

    Paso 24. Haga clic en OK (Aceptar).

    Nota: Las reglas de reclamación son necesarias para cualquier servidor de Unified Collaboration en el que desee utilizar SSO.

    Finalizar Habilitación SSO En CUCM Y Ejecutar La Prueba SSO

    Paso 1. Ahora que el servidor AD FS está completamente configurado, puede volver a CUCM.

    Paso 2. Nos fuimos a la página de configuración final:

    SSO with CUCM and AD FS - CUCM Configuration - SAML Single Sign-On Configuration

    Paso 3. Seleccione su usuario final que tenga la función Superusuarios de CCM estándar seleccionada y haga clic en Ejecutar prueba de SSO...

    Paso 4. Asegúrese de que el explorador permite las ventanas emergentes e introduzca sus credenciales en el mensaje.

    SSO with CUCM and AD FS - SAML SSO configuration test succeeded

    Paso 5. Haga clic en Cerrar en la ventana emergente y, a continuación, Finalizar.

    Paso 6. Después de un breve reinicio de las aplicaciones web, se habilita SSO.

    Troubleshoot

    Establecer registros SSO para depurar

    Para configurar los registros de SSO en debug, debe ejecutar este comando en la CLI de CUCM: set samltrace level debug

    Los registros SSO se pueden descargar desde RTMT. El nombre del conjunto de registros es Cisco SSO.


    Buscar el nombre del servicio de federación

    Para encontrar el nombre del servicio de federación, haga clic en Inicio y busque AD FS 2.0 Management.

    · Haga clic en Editar propiedades del servicio de federación...
    · En la ficha General, busque el nombre del Servicio de federación

    Nombre De Servicio De Certificado Y Federación Sin Dotación

    Si recibe este mensaje de error en el asistente de configuración de AD FS, debe crear un nuevo certificado.

    El certificado seleccionado no se puede utilizar para determinar el nombre del servicio de federación porque el certificado seleccionado tiene un nombre de asunto sin puntos (nombre corto) (por ejemplo, pkinane). Seleccione otro certificado sin un nombre de asunto sin puntos (nombre corto) (por ejemplo, fs.pkinane.com) y vuelva a intentarlo.

    Paso 1. Haga clic en Inicio y busque y, a continuación, abra el Administrador de Servicios de Internet Information Server (IIS).

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Search for IIS

    Paso 2. Haga clic en el nombre del servidor

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click server name

    Paso 3. Haga clic en Server Certificates (Certificados de servidor)


    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Server Certificates

    Paso 4. Haga clic en Crear certificado firmado automáticamente

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Create Self-Signed Certificate

    Paso 5. Introduzca el nombre que desea para el alias del certificado

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Specify alias name for certificate

    El tiempo no está sincronizado entre los servidores CUCM y IDP.

    Si recibe este error cuando ejecuta la prueba SSO de CUCM, debe configurar Windows Server para utilizar los mismos servidores NTP que CUCM.

    Respuesta SAML no válida. Esto puede deberse a que el tiempo no está sincronizado entre Cisco Unified Communications Manager y los servidores IDP. Verifique la configuración de NTP en ambos servidores. Ejecute "utils ntp status" desde la CLI para comprobar este estado en Cisco Unified Communications Manager.

    Una vez que Windows Server tiene los servidores NTP correctos especificados, debe realizar otra prueba SSO y ver si el problema persiste.  En algunos casos, es necesario sesgar el período de validez de la afirmación.  Más detalles sobre ese proceso aquí.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    02-Mar-2022
    Eliminando información interna
    2.0
    15-Nov-2021
    Actualización de errores gramaticales y descripción para SEO.
    1.0
    30-May-2017
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Scott Kiewert
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos