Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration du fournisseur d'identité (IdP) pour activer l'authentification unique (SSO).
Modèles de déploiement Cisco IdS
Product (produit) | Déploiement |
UCCX | Corésident |
PCCE | Corésident avec CUIC (Cisco Unified Intelligence Center) et LD (Live Data) |
UCCE | Corésident avec CUIC et LD pour les déploiements de 2000. Autonome pour les déploiements 4k et 12k. |
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Note: Ce document fait référence à UCCX dans les captures d'écran et dans les exemples, mais la configuration est similaire en ce qui concerne le service d'identification Cisco (UCCX/UCCE/PCCE) et l'IDP.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cisco fournit de nombreux services sous différentes formes et en tant qu'utilisateur final, vous ne souhaitez vous connecter qu'une seule fois pour avoir accès à tous les services Cisco. Si vous souhaitez rechercher et gérer des contacts à partir de n'importe quelle application et de n'importe quel périphérique Cisco, en exploitant toutes les sources possibles (Répertoire d'entreprise, Outlook, Contacts mobiles, Facebook, LinkedIn, Historique), et en les rendant d'une manière commune et cohérente qui fournit les informations nécessaires pour connaître leur disponibilité et la meilleure façon de les contacter.
SSO utilisant le langage SAML (Security Assertion Markup Language) cible cette exigence. SAML/SSO permet aux utilisateurs de se connecter à plusieurs périphériques et services via un compte et une identité d'autorisation communs appelés IdP. La fonctionnalité SSO est disponible dans UCCX/UCCE/PCCE 11.5 à partir de.
Cisco Identity Service prend uniquement en charge l'authentification basée sur les formulaires du fournisseur d'identités.
Reportez-vous à ces articles MSDN pour savoir comment activer l'authentification de formulaire dans ADFS.
Note: Cisco Identity Service 11.6 et versions ultérieures prend en charge l'authentification basée sur les formulaires et l'authentification Kerberos. Pour que l'authentification Kerberos fonctionne, vous devez désactiver l'authentification basée sur formulaire.
Pour l'intégration et l'activation des applications pour utiliser Cisco Identity Service pour l'authentification unique, effectuez l'échange de métadonnées entre Identity Service (IdS) et IdP.
Il s'agit de la procédure permettant de télécharger les métadonnées IdS et d'ajouter des règles de revendication. Ceci est décrit pour ADFS 2.0 et 3.0
Étape 1. Dans le serveur ADFS, accédez à, Démarrer > Tous les programmes > Outils d'administration > Gestion AD FS 2.0, comme indiqué dans l'image :
Étape 2. Naviguez jusqu'à Ajouter AD FS 2.0 > Relation de confiance > Approbation de la partie de confiance, comme illustré dans l'image :
Étape 3. Comme l'illustre l'image, sélectionnez l'option Importer les données relatives à la partie de confiance à partir d'un fichier.
Étape 4. Terminer l'établissement de la fiducie de la partie de confiance.
Étape 5. Dans les propriétés de l'approbation de partie de confiance, sélectionnez l'onglet Identificateur.
Étape 6. Définissez l'identificateur en tant que nom d'hôte complet de Cisco Identity Server à partir duquel sp.xml est téléchargé.
Étape 7. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Modifier les règles de demande.
Vous devez ajouter deux règles de revendication, l'une étant lorsque les attributs LDAP (Lightweight Directory Access Protocol) sont mis en correspondance tandis que l'autre est effectuée par le biais de règles de revendication personnalisées.
uid : cet attribut est nécessaire pour que les applications puissent identifier l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par Cisco Identity Service pour identifier le domaine de l'utilisateur authentifié.
Demande Rrègle 1:
Ajouter une règle par nom NameID de type (Envoyer les valeurs de l'attribut LDAP en tant que revendications) :
Exemple de configuration lorsque SamAccountName doit être utilisé comme ID utilisateur :
Exemple de configuration lorsque UPN doit être utilisé comme ID utilisateur -
Exemple de configuration lorsque PhoneNumber doit être utilisé comme ID utilisateur -
Note: Nous devons nous assurer que l'attribut LDAP configuré pour l'ID utilisateur sur la synchronisation LDAP de CUCM doit correspondre à ce qui est configuré comme l'attribut LDAP pour uid dans la règle de revendication ADFS NameID. Il s'agit du bon fonctionnement de Cisco Unified Intelligence Center (CUIC) et de la connexion Finesse.
Note: Ce document fait référence à des contraintes sur le nom de la règle de revendication et les noms d'affichage tels que NameID, FQDN d'UCCX, etc. Bien que des champs et des noms personnalisés puissent s'appliquer à différentes sections, les noms de la règle de revendication et les noms d'affichage sont conservés de manière standard tout au long du processus afin de maintenir la cohérence et pour les meilleures pratiques en matière de convention de dénomination.
Règle de réclamatione 2::
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Étape 8. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Propriétés et sélectionnez l'onglet avancé, comme illustré dans l'image.
Étape 9. Comme l'illustre l'image, sélectionnez SHA-256 (Secure Hash Algorithm).
Étape 10. Click OK.
Étape 1. Dans le serveur ADFS, accédez à, Gestionnaire de serveur > Outils > Gestion AD FS.
Étape 2. Accédez à AD FS > Trust Relationship > Relation de confiance de la partie de confiance.
Étape 3. Sélectionnez l'option Importer des données sur la partie de confiance à partir d'un fichier.
Étape 4. Terminer l'établissement de la fiducie de la partie de confiance.
Étape 5. Dans les propriétés de l'approbation de partie de confiance, sélectionnez l'onglet Identificateur.
Étape 6. Définissez l'identificateur en tant que nom d'hôte complet de Cisco Identity Server à partir duquel sp.xml est téléchargé.
Étape 7. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Modifier les règles de demande.
Vous devez ajouter deux règles de revendication, l'une étant lorsque les attributs LDAP (Lightweight Directory Access Protocol) sont mis en correspondance tandis que l'autre est effectuée par le biais de règles de revendication personnalisées.
uid : cet attribut est nécessaire pour que les applications puissent identifier l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par Cisco Identity Service pour identifier le domaine de l'utilisateur authentifié.
Demande Rrègle 1:
Ajouter une règle par nom NameID de type (Envoyer les valeurs de l'attribut LDAP en tant que revendications) :
Exemple de configuration lorsque SamAccountName doit être utilisé comme ID utilisateur :
Exemple de configuration lorsque UPN doit être utilisé comme ID utilisateur -
Exemple de configuration lorsque PhoneNumber doit être utilisé comme ID utilisateur -
Note: Nous devons nous assurer que l'attribut LDAP configuré pour l'ID utilisateur sur la synchronisation LDAP de CUCM doit correspondre à ce qui est configuré comme l'attribut LDAP pour uid dans la règle de revendication ADFS NameID. Il s'agit du bon fonctionnement de Cisco Unified Intelligence Center (CUIC) et de la connexion Finesse.
Note: Ce document fait référence à des contraintes sur le nom de la règle de revendication et les noms d'affichage tels que NameID, FQDN d'UCCX, etc. Bien que des champs et des noms personnalisés puissent s'appliquer à différentes sections, les noms de la règle de revendication et les noms d'affichage sont conservés de manière standard tout au long du processus afin de maintenir la cohérence et pour les meilleures pratiques en matière de convention de dénomination.
Règle de réclamatione 2::
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Étape 8. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Propriétés et sélectionnez l'onglet avancé
Étape 9. Comme l'illustre l'image, sélectionnez SHA-256 (Secure Hash Algorithm).
Étape 10 - Cliquez sur OK.
Ces étapes sont obligatoires après l'étape 10.
Étape 1. Cliquez sur Démarrer et entrez powershell pour ouvrir windows powershell.
Étape 2. Ajoutez ADFS CmdLet à powershell en exécutant la commande Add-PSSnapin Microsoft.Adfs.Powershell.
Étape 3 - Exécutez la commande Set-ADFSRelyingPartyTrust -TargetName <Nom de l'approbation de la partie de confiance>
-SamlResponseSignature « MessageAndAssertion ».
Note: L'étape 2 n'est peut-être pas nécessaire si vous utilisez ADFS 3.0 car le CmdLet est déjà installé dans le cadre de l'ajout des rôles et des fonctionnalités.
Note: L'<Identificateur de confiance de la partie de confiance> est sensible à la casse. Il correspond donc (y compris la casse) à ce qui est défini dans l'onglet Identificateur des propriétés de confiance de la partie de confiance.
Note: Le démarrage d'UCCX version 12.0 de Cisco Identity Service prend en charge SHA-256. L'approbation de la partie de confiance utilise SHA-256 pour signer la demande SAML et s'attend à ce que ADFS fasse de même dans la réponse.
Dans le cas de Federation dans ADFS, où un ADFS dans un domaine particulier fournit une authentification SAML fédérée pour les utilisateurs dans d'autres domaines configurés, il s'agit des configurations supplémentaires nécessaires.
Pour cette section, le terme ADFS principal fait référence aux ADFS qui doivent être utilisés dans les IDS. Le terme Federated ADFS indique ces ADFS, dont les utilisateurs sont autorisés à se connecter via IdS et, par conséquent, est le principal ADFS.
Dans chacun des ADFS fédérés, l'approbation de partie de confiance doit être créée pour les ADFS principaux et les règles de revendication configurées comme indiqué dans la section précédente.
Pour le système ADFS principal, à l'exception de l'approbation de la partie de confiance pour les IDS, la configuration supplémentaire suivante est nécessaire.
Ajoutez Trust Provider avec le système ADFS auquel la fédération doit être configurée.
Dans l'approbation du fournisseur de revendications, assurez-vous que les règles Transférer ou Filtrer une revendication entrante sont configurées avec l'option Transférer toutes les valeurs de revendication comme option
Dans l'approbation de la partie de confiance pour les IDS, ajoutez Pass through ou Filtrer une règle de revendication entrante avec passer par toutes les valeurs de revendication comme option.
L'authentification Windows intégrée (IWA) fournit un mécanisme d'authentification des utilisateurs, mais ne permet pas la transmission des informations d'identification sur le réseau. Lorsque vous activez l'authentification Windows intégrée, fonctionne sur la base de tickets pour permettre aux noeuds communiquant sur un réseau non sécurisé de prouver leur identité les uns aux autres de manière sécurisée. Il permet aux utilisateurs de se connecter à un domaine après s'être connectés à leurs machines Windows.
Remarque : l'authentification Kerberos est prise en charge uniquement à partir de la version 11.6 et ultérieure.
Les utilisateurs du domaine qui sont déjà connectés au contrôleur de domaine (DC) seront connectés en toute transparence aux clients SSO sans avoir à saisir à nouveau les informations d'identification. Pour les utilisateurs non-domaine, IWA revient à NTLM (New Technology Local Area Network Manager) et la boîte de dialogue de connexion apparaît. La qualification pour les IDS avec l'authentification IWA est effectuée avec Kerberos par rapport à ADFS 3.0.
Étape 1. Ouvrez l'invite de commandes Windows et exécutez-la en tant qu'utilisateur Admin pour enregistrer le service http à l'aide de la commande setspn
setspn -s http/<URL ADFS> <domaine>\<nom du compte> .
Étape 2. Désactivez l'authentification de formulaire et activez l'authentification Windows pour les sites intranet. Accédez à ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit. Sous Intranet, assurez-vous que seule l'authentification Windows est cochée (Décochez l'authentification du formulaire).
Étape 1. Assurez-vous que Internet Explorer > Advanced > Enable Integrated Windows Authentication est coché.
Étape 2. L'URL ADFS doit être ajoutée à Security >Intranet zones > Sites (winadcom215.uccx116.com est une URL ADFS)
Étape 3. Assurez-vous que Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon est configuré afin d'utiliser les informations d'identification de connexion pour les sites intranet.
Étape 1. Passez en mode de configuration pour Firefox. Ouvrez Firefox et entrez about:config sur l'URL. Acceptez l'énoncé des risques.
Étape 2. Recherchez ntlm et activez network.Automatic-ntlm-auth.allow-non-fqdn et affectez la valeur true.
Étape 3. Définissez network.Automatic-ntlm-auth.trust-uris sur le domaine ou explicitement l'URL ADFS.
Google Chrome dans Windows utilise les paramètres d'Internet Explorer, donc configurez dans la boîte de dialogue Outils > Options Internet d'Internet Explorer, ou à partir du Panneau de configuration sous Options Internet dans la sous-catégorie Réseau et Internet.
Ce document décrit la configuration de l'aspect IdP pour SSO à intégrer à Cisco Identity Service. Pour plus d'informations, reportez-vous aux guides de configuration de chaque produit :
Cette procédure permet de déterminer si l'approbation de la partie de confiance est établie correctement entre les ID Cisco et le PCI.
Note: La page Liste de contrôle qui apparaît dans le cadre du processus de vérification n'est pas une erreur, mais une confirmation que la confiance est correctement établie.
Pour le dépannage, reportez-vous à https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
24-Aug-2021 |
Première publication |