Configurez Automatique-remplir user-id sur la page de connexion FS d'AD pour UCCE SSO
Contenu
Introduction
Ce document décrit comment l'expérience utilisateur dans la procédure de connexion simple de l'ouverture de session d'Unified Contact Center Enterprise (UCCE) (SSO) peut être améliorée. Ceci peut être amélioré, si le l'utilisateur n'est pas forcé pour écrire son ID de connexion pendant une deuxième fois sur la page de connexion de fournisseur d'identité (IDP).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Procédure de connexion-écoulement et AD FS UCCE SSO
- Hypertexte Transfer Protocol (HTTP)
- Langage de balisage d'hypertexte (HTML)
- Langage SAML 2.0 (SAMLv2)
- Ouvrez l'autorisation 2.0 (OAuthv2)
- Connaissance de Windows PowerShell (picoseconde)
- Connaissance du Javascript (JS)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- UCCE 11.5(1) et en haut
- Finesse 11.5(1) et en haut
- Centre d'intelligence de Cisco Unified (CUIC) 11.5(1) et en haut.
- Microsoft Active Directory (AD) - AD installé sur des Windows Server
- AD FS 2.0/3.0
- Windows Server 2012 R2
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Dans une procédure de connexion UCCE SSO, l'utilisateur doit écrire leur ID de connexion deux fois : d'abord sur la page de connexion d'application UCCE (finesse, CUIC, par exemple) et en second lieu sur la page de connexion d'IDP (si une méthode d'authentification de formes est utilisée). Dans l'exemple dans ce document, le service de fédération de Répertoire actif (AD FS) est utilisé comme IDP.
Quand SSO est activé dans UCCE, après que l'ID de connexion soit écrit et le bouton de soumission/procédure de connexion est appuyé sur sur CUIC/Finesse, l'ID de connexion écrit est enregistré dans le cc_username de Témoin et préservé pour les redirect to le serveur d'identité (id) et puis à l'IDP. Il est possible d'utiliser ce Témoin sur la page de connexion d'IDP pour remplir automatiquement ID de connexion.
Pour l'examen, voici un exemple HTTP/SAML l'organigramme où l'utilisateur est un agent de finesse et l'application UCCE est un serveur de finesse.
C'est un exemple des en-têtes de demande de HTTP de l'étape 4c envoyées par le navigateur Web d'utilisateur à l'AD FS (l'IDP).
Request URL: https://dc01.omozol.lab/adfs/ls/?SAMLRequest=tZTBjtowEIbv%2BxSR... Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate, br Accept-Language: en-US,en;q=0.9 Cache-Control: no-cache Connection: keep-alive Cookie: cc_username=agent1%40omozol.lab Host: dc01.omozol.lab Pragma: no-cache Referer: https://fns01p.omozol.lab/desktop/container/landing.jsp?locale=en_US Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Configurer
Avec l'AD FS 3.0 comme IDP, la configuration est réalisée par la modification du fichier onload.js, que l'AD FS injecte dans la page HTML renvoyée à l'utilisateur en réponse à la demande à https:// <AD FS FQDN>/adfs/ls/.
Étape 1. Afin de modifier le fichier onload.js, exportez le fichier par l'intermédiaire du cmdlet de PowerShell au système de fichiers :
Picoseconde C:\ > exportation-AdfsWebTheme – Par défaut de nom – DirectoryPath c:\temp\adfs\
Le fichier onload.js est placé dans ce répertoire :
C:\temp\adfs\script
Étape 2. Selon le format de procédure de connexion, ajoutez le snippet de code approprié JS n'importe quel endroit dans le fichier dehors des structures déjà actuelles de code/logique. Pour la facilité, ajoutez-la au bas du fichier.
Par défaut, la page de connexion présentée aux utilisateurs SSO par l'AD FS dans les Windows Server 2012 R2 exige un nom d'utilisateur qui est une forme de l'userPrincipleName (UPN). C'est un format comme une email, par exemple, user@cisco.com. À un centre de contact simple de domaine, la page de connexion FS d'AD peut être modifiée pour permettre un ID simple de sAMAccountNameUser (UID) qui n'inclut pas un nom de domaine en tant qu'élément du nom d'utilisateur.
Si un nom d'utilisateur UPN doit être entré sur la page de connexion FS d'AD, utilisez ce snippet de code :
// Get cc_username as login ID from HTTP Cookie header
if (document.cookie) {
// If the position of cc_username in the cookie is the first position, 0...
if (document.cookie.indexOf('cc_username') == 0) {
// Split the cookie into an array with the delimitor being '='
var cookies = document.cookie.split('=');
// If the first element of the array is cc_username then...
if (cookies[0] == 'cc_username') {
// ...the second element will be the actual username and we should save that.
var cc_login_name = cookies[1];
}
// Customize Login page: add domain if needed as AD FS by default require login ID in UPN form
// If the parsed login is not null, do the following logic
if (cc_login_name != null) {
// If %40 (encoded '=') does not exist in the login name...
if (cc_login_name.indexOf('%40') == -1) {
// ...then add '@domain.com' to ensure a UPN format is input
var userNameValue = cc_login_name + '@' + 'domain.com';
// Populate the UPN into the userNameInput of the page, and put the focus
// on the password.
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
} else {
// Otherwise, if %40 does exist in the username, replace it with the @ sign
// and populate the UPN into the userNameInput of the page, and put the
// focus on the password.
var userNameValue = cc_login_name.replace('%40', '@');
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
}
}
}
}
Dans cette ligne, domain.com doit être modifié pour apparier le domaine des agents UCCE si un UPN est utilisé comme UID de procédure de connexion.
var userNameValue = cc_login_name + '@' + 'domain.com';
Si un nom d'utilisateur du sAMAccountName (UID sans le domaine) si est entré sur la page de connexion FS d'AD, utilisez ce snippet de code :
// Get cc_username as login ID from HTTP Cookie header
if (document.cookie) {
// If the position of cc_username in the cookie is the first position, 0...
if (document.cookie.indexOf('cc_username') == 0) {
// Split the cookie into an array with the delimitor being '='
var cookies = document.cookie.split('=');
// If the first element of the array is cc_username then...
if (cookies[0] == 'cc_username') {
// ...the second element will be the actual username and we should save that.
var cc_login_name = cookies[1];
}
// Customize Login page: remove domain if needed to use login ID in sAMAccount form
// If the parsed login is not null, do the following logic
if (cc_login_name != null) {
// If %40 (encoded '=') DOES exist in the login name...
if (cc_login_name.indexOf('%40') != -1) {
// ...then split the login into an array about the @ sign and only keep the username.
var domainLogin = cc_login_name.replace('%40', '@')
var noDomainLogin = domainLogin.split('@');
var userNameValue = noDomainLogin[0];
// Populate the sAMAccountName into the userNameInput of the page, and put the focus
// on the password.
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
} else {
// Otherwise, if %40 does not exist in the username, there is no "@domain",
// so populate the sAMAccountName into the userNameInput of the page,
// and put the focus on the password.
document.getElementById("userNameInput").value = cc_login_name;
document.getElementById("passwordInput").focus();
}
}
}
}
Étape 3. Sauvegardez onload.js et rechargez-le sur un nouveau thème de Web FS d'AD avec ces commandes de PowerShell :
Créez un thème fait sur commande FS d'AD avec le modèle du thème par défaut :
Picoseconde C:\ > nouveau-AdfsWebTheme – Coutume de nom – Par défaut de SourceName
Placez le thème fait sur commande FS d'AD en tant qu'active :
Picoseconde C:\ > positionnement-AdfsWebConfig - Coutume d'ActiveThemeName
Chargez le fichier modifié onload.js au thème fait sur commande :
Picoseconde C:\ > positionnement-AdfsWebTheme - Coutume de TargetName - AdditionalFileResource @ {Uri='/adfs/portal/script/onload.js ; path= " c:\temp\adfs\script\onload.js »}
Vérifiez
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
La procédure de connexion à la finesse ou au CUIC avec un compte SSO-activé avec le sAMAccountName ou les UPN comme ID de connexion (dépend de la configuration FS d'AD) et observent que sur la page de connexion FS d'AD l'user-id est automatiquement rempli avec le foyer sur le champ d'invite du mot de passe. Seulement le mot de passe doit être entré pour que la procédure de connexion poursuive.
Dépanner
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
En cas de questions, les outils pour développeurs de navigateur Web sont utilisés pour vérifier si les modifications de l'onload.js sont injectées dans la page HTML renvoyée et si des erreurs sont observées dans la console de navigateur Web.
Informations connexes
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)