Configurer le fournisseur d'identité pour Cisco Identity Service pour activer SSO

Introduction

Ce document décrit la configuration du fournisseur d'identité (IdP) pour activer l'authentification unique (SSO).

Modèles de déploiement Cisco IdS

Product (produit)	Déploiement
UCCX	Corésident
PCCE	Corésident avec CUIC (Cisco Unified Intelligence Center) et LD (Live Data)
UCCE	Corésident avec CUIC et LD pour les déploiements de 2000. Autonome pour les déploiements 4k et 12k.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Cisco Unified Contact Center Express (UCCX) version 11.5 ou Cisco Unified Contact Center Enterprise version 11.5 ou Packaged Contact Center Enterprise (PCCE) version 11.5, le cas échéant.
• Microsoft Active Directory - Active Directory installé sur Windows Server
• Active Directory Federation Service (ADFS) version 2.0/3.0

Note: Ce document fait référence à UCCX dans les captures d'écran et dans les exemples, mais la configuration est similaire en ce qui concerne le service d'identification Cisco (UCCX/UCCE/PCCE) et l'IDP.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Présentation de SSO

Cisco fournit de nombreux services sous différentes formes et en tant qu'utilisateur final, vous ne souhaitez vous connecter qu'une seule fois pour avoir accès à tous les services Cisco. Si vous souhaitez rechercher et gérer des contacts à partir de n'importe quelle application et de n'importe quel périphérique Cisco, en exploitant toutes les sources possibles (Répertoire d'entreprise, Outlook, Contacts mobiles, Facebook, LinkedIn, Historique), et en les rendant d'une manière commune et cohérente qui fournit les informations nécessaires pour connaître leur disponibilité et la meilleure façon de les contacter.

SSO utilisant le langage SAML (Security Assertion Markup Language) cible cette exigence. SAML/SSO permet aux utilisateurs de se connecter à plusieurs périphériques et services via un compte et une identité d'autorisation communs appelés IdP. La fonctionnalité SSO est disponible dans UCCX/UCCE/PCCE 11.5 à partir de.

Présentation de la configuration 

Configuration

Types d'authentification

Cisco Identity Service prend uniquement en charge l'authentification basée sur les formulaires du fournisseur d'identités.

Reportez-vous à ces articles MSDN pour savoir comment activer l'authentification de formulaire dans ADFS.

• Pour ADFS 2.0, reportez-vous à cet article de Microsoft TechNet :
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Pour ADFS 3.0, reportez-vous à cet article de Microsoft TechNet :
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Note: Cisco Identity Service 11.6 et versions ultérieures prend en charge l'authentification basée sur les formulaires et l'authentification Kerberos. Pour que l'authentification Kerberos fonctionne, vous devez désactiver l'authentification basée sur formulaire.

Établir une relation de confiance 

Pour l'intégration et l'activation des applications pour utiliser Cisco Identity Service pour l'authentification unique, effectuez l'échange de métadonnées entre Identity Service (IdS) et IdP.

• Téléchargez le fichier de métadonnées SP SAML sp.xml.
• Dans Paramètres, accédez à l'onglet Confiance des IDS sur la page Gestion des services d'identité.

• Téléchargez le fichier de métadonnées IdP à partir de l'IDP à partir de l'URL :
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• Sur la page Gestion des services d'identité, téléchargez le fichier de métadonnées du fournisseur d'identité qui a été téléchargé à l'étape précédente.

Il s'agit de la procédure permettant de télécharger les métadonnées IdS et d'ajouter des règles de revendication. Ceci est décrit pour ADFS 2.0 et 3.0

ADFS 2.0 :

Étape 1. Dans le serveur ADFS, accédez à, Démarrer > Tous les programmes > Outils d'administration > Gestion AD FS 2.0, comme indiqué dans l'image :

Étape 2. Naviguez jusqu'à Ajouter AD FS 2.0 > Relation de confiance > Approbation de la partie de confiance, comme illustré dans l'image :

Étape 3. Comme l'illustre l'image, sélectionnez l'option Importer les données relatives à la partie de confiance à partir d'un fichier.

Étape 4. Terminer l'établissement de la fiducie de la partie de confiance.

Étape 5. Dans les propriétés de l'approbation de partie de confiance, sélectionnez l'onglet Identificateur.

Étape 6. Définissez l'identificateur en tant que nom d'hôte complet de Cisco Identity Server à partir duquel sp.xml est téléchargé.

Étape 7. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Modifier les règles de demande.

Vous devez ajouter deux règles de revendication, l'une étant lorsque les attributs LDAP (Lightweight Directory Access Protocol) sont mis en correspondance tandis que l'autre est effectuée par le biais de règles de revendication personnalisées.

uid : cet attribut est nécessaire pour que les applications puissent identifier l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par Cisco Identity Service pour identifier le domaine de l'utilisateur authentifié.

Demande Rrègle 1:

Ajouter une règle par nom NameID de type (Envoyer les valeurs de l'attribut LDAP en tant que revendications) :

• Sélectionnez le magasin d'attributs en tant qu'Active Directory.
• Mapper l'attribut Ldap User-Principal-Name à user_principal (minuscule).
• Choisissez l'attribut LDAP qui doit être utilisé comme userId pour que les utilisateurs de l'application se connectent et le mappent à uid (minuscule)

Exemple de configuration lorsque SamAccountName doit être utilisé comme ID utilisateur :

• Mapper l'attribut LDAP SamAccountName à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.

Exemple de configuration lorsque UPN doit être utilisé comme ID utilisateur -

• Mapper l'attribut LDAP User-Principal-Name à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.
               

Exemple de configuration lorsque PhoneNumber doit être utilisé comme ID utilisateur -

• Mapper l'attribut LDAP phoneNumber à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.

Note: Nous devons nous assurer que l'attribut LDAP configuré pour l'ID utilisateur sur la synchronisation LDAP de CUCM doit correspondre à ce qui est configuré comme l'attribut LDAP pour uid dans la règle de revendication ADFS NameID. Il s'agit du bon fonctionnement de Cisco Unified Intelligence Center (CUIC) et de la connexion Finesse.

Note: Ce document fait référence à des contraintes sur le nom de la règle de revendication et les noms d'affichage tels que NameID, FQDN d'UCCX, etc. Bien que des champs et des noms personnalisés puissent s'appliquer à différentes sections, les noms de la règle de revendication et les noms d'affichage sont conservés de manière standard tout au long du processus afin de maintenir la cohérence et pour les meilleures pratiques en matière de convention de dénomination.

Règle de réclamatione 2::

• Ajoutez une autre règle de type règle de revendication personnalisée avec le nom FQDN (Fully Qualified Hostname) de Cisco Identity Server et ajoutez ce texte de règle.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Dans le cluster Cisco Identity Server, tous les noms d'hôte complets sont ceux du noeud principal ou du noeud éditeur de Cisco Identity Server.
  
  
• Le <nom d'hôte complet de Cisco Identity Server> est sensible à la casse. Il correspond donc exactement (y compris la casse) au nom de domaine complet de Cisco Identity Server.
  
  
• Le <nom de domaine complet du serveur ADFS> est sensible à la casse. Il correspond donc exactement (y compris la casse) au nom de domaine complet ADFS.

Étape 8. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Propriétés et sélectionnez l'onglet avancé, comme illustré dans l'image.

Étape 9. Comme l'illustre l'image, sélectionnez SHA-256 (Secure Hash Algorithm).

Étape 10. Click OK.

ADFS 3.0 :

Étape 1. Dans le serveur ADFS, accédez à, Gestionnaire de serveur > Outils > Gestion AD FS.

Étape 2. Accédez à AD FS > Trust Relationship > Relation de confiance de la partie de confiance.

Étape 3. Sélectionnez l'option Importer des données sur la partie de confiance à partir d'un fichier.

Étape 4. Terminer l'établissement de la fiducie de la partie de confiance.

Étape 5. Dans les propriétés de l'approbation de partie de confiance, sélectionnez l'onglet Identificateur.

Étape 6. Définissez l'identificateur en tant que nom d'hôte complet de Cisco Identity Server à partir duquel sp.xml est téléchargé.

Étape 7. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Modifier les règles de demande.

Vous devez ajouter deux règles de revendication, l'une étant lorsque les attributs LDAP (Lightweight Directory Access Protocol) sont mis en correspondance tandis que l'autre est effectuée par le biais de règles de revendication personnalisées.

uid : cet attribut est nécessaire pour que les applications puissent identifier l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par Cisco Identity Service pour identifier le domaine de l'utilisateur authentifié.

Demande Rrègle 1:

Ajouter une règle par nom NameID de type (Envoyer les valeurs de l'attribut LDAP en tant que revendications) :

• Sélectionnez le magasin d'attributs en tant qu'Active Directory.
• Mapper l'attribut Ldap User-Principal-Name à user_principal (minuscule).
• Choisissez l'attribut LDAP qui doit être utilisé comme userId pour que les utilisateurs de l'application se connectent et le mappent à uid (minuscule)

Exemple de configuration lorsque SamAccountName doit être utilisé comme ID utilisateur :

• Mapper l'attribut LDAP SamAccountName à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.

Exemple de configuration lorsque UPN doit être utilisé comme ID utilisateur -

• Mapper l'attribut LDAP User-Principal-Name à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.
               

Exemple de configuration lorsque PhoneNumber doit être utilisé comme ID utilisateur -

• Mapper l'attribut LDAP phoneNumber à uid.
• Mapper l'attribut LDAP User-Principal-Name à user_principal.

Note: Nous devons nous assurer que l'attribut LDAP configuré pour l'ID utilisateur sur la synchronisation LDAP de CUCM doit correspondre à ce qui est configuré comme l'attribut LDAP pour uid dans la règle de revendication ADFS NameID. Il s'agit du bon fonctionnement de Cisco Unified Intelligence Center (CUIC) et de la connexion Finesse.

Note: Ce document fait référence à des contraintes sur le nom de la règle de revendication et les noms d'affichage tels que NameID, FQDN d'UCCX, etc. Bien que des champs et des noms personnalisés puissent s'appliquer à différentes sections, les noms de la règle de revendication et les noms d'affichage sont conservés de manière standard tout au long du processus afin de maintenir la cohérence et pour les meilleures pratiques en matière de convention de dénomination.

Règle de réclamatione 2::

• Ajoutez une autre règle de type règle de revendication personnalisée avec le nom FQDN (Fully Qualified Hostname) de Cisco Identity Server et ajoutez ce texte de règle.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Dans le cluster Cisco Identity Server, tous les noms d'hôte complets sont ceux du noeud principal ou du noeud éditeur de Cisco Identity Server.
  
  
• Le <nom d'hôte complet de Cisco Identity Server> est sensible à la casse. Il correspond donc exactement (y compris la casse) au nom de domaine complet de Cisco Identity Server.
  
  
• Le <nom de domaine complet du serveur ADFS> est sensible à la casse. Il correspond donc exactement (y compris la casse) au nom de domaine complet ADFS.

Étape 8. Cliquez avec le bouton droit de la souris sur Confiance de la partie de confiance, puis cliquez sur Propriétés et sélectionnez l'onglet avancé

Étape 9. Comme l'illustre l'image, sélectionnez SHA-256 (Secure Hash Algorithm).

Étape 10 - Cliquez sur OK.

Ces étapes sont obligatoires après l'étape 10.

Activer les assertions SAML signées pour l'approbation de la partie de confiance (Cisco Identity Service)

Étape 1. Cliquez sur Démarrer et entrez powershell pour ouvrir windows powershell.

Étape 2. Ajoutez ADFS CmdLet à powershell en exécutant la commande Add-PSSnapin Microsoft.Adfs.Powershell.

Étape 3 - Exécutez la commande Set-ADFSRelyingPartyTrust -TargetName <Nom de l'approbation de la partie de confiance>

-SamlResponseSignature « MessageAndAssertion ».

          

Note: L'étape 2 n'est peut-être pas nécessaire si vous utilisez ADFS 3.0 car le CmdLet est déjà installé dans le cadre de l'ajout des rôles et des fonctionnalités.

Note: L'<Identificateur de confiance de la partie de confiance> est sensible à la casse. Il correspond donc (y compris la casse) à ce qui est défini dans l'onglet Identificateur des propriétés de confiance de la partie de confiance.

Note: Le démarrage d'UCCX version 12.0 de Cisco Identity Service prend en charge SHA-256. L'approbation de la partie de confiance utilise SHA-256 pour signer la demande SAML et s'attend à ce que ADFS fasse de même dans la réponse.

Pour une configuration multidomaine pour ADFS fédéré

Dans le cas de Federation dans ADFS, où un ADFS dans un domaine particulier fournit une authentification SAML fédérée pour les utilisateurs dans d'autres domaines configurés, il s'agit des configurations supplémentaires nécessaires.

Pour cette section, le terme ADFS principal fait référence aux ADFS qui doivent être utilisés dans les IDS. Le terme Federated ADFS indique ces ADFS, dont les utilisateurs sont autorisés à se connecter via IdS et, par conséquent, est le principal ADFS.

Configuration ADFS fédérée

Dans chacun des ADFS fédérés, l'approbation de partie de confiance doit être créée pour les ADFS principaux et les règles de revendication configurées comme indiqué dans la section précédente.

Configuration ADFS principale

Pour le système ADFS principal, à l'exception de l'approbation de la partie de confiance pour les IDS, la configuration supplémentaire suivante est nécessaire.

Ajoutez Trust Provider avec le système ADFS auquel la fédération doit être configurée.

Dans l'approbation du fournisseur de revendications, assurez-vous que les règles Transférer ou Filtrer une revendication entrante sont configurées avec l'option Transférer toutes les valeurs de revendication comme option

• ID du nom
• Choisissez l'ID de nom dans la zone de liste déroulante Type de demande entrante
• Choisissez Transient comme option pour le format NomID entrant
• uid : Il s'agit d'une revendication personnalisée. Entrez la valeur uid dans la zone de liste déroulante Type de demande entrante.
• principal_utilisateur : Il s'agit d'une revendication personnalisée. Tapez la valeur user_principal dans la zone de liste déroulante Type de revendication entrante.

Dans l'approbation de la partie de confiance pour les IDS, ajoutez Pass through ou Filtrer une règle de revendication entrante avec passer par toutes les valeurs de revendication comme option.

• NomIDFromSubdomain
• Choisissez l'ID de nom dans la zone de liste déroulante Type de demande entrante
• Choisissez Transient comme option pour le format NomID entrant
• uid : Il s'agit d'une revendication personnalisée. Tapez la valeur uid dans la zone de liste déroulante Type de demande entrante
• principal_utilisateur : Il s'agit d'une revendication personnalisée. Tapez la valeur user_principal dans la zone de liste déroulante Type de demande entrante

Transfert automatique de certificat ADFS

• Le transfert automatique de certificats est pris en charge pour UCCX 11.6.1 et versions ultérieures. [Ceci a été corrigé dans UCCX 11.6 en mettant à niveau la bibliothèque Fedlet vers la version 14.0]

Authentification Kerberos (authentification Windows intégrée)

L'authentification Windows intégrée (IWA) fournit un mécanisme d'authentification des utilisateurs, mais ne permet pas la transmission des informations d'identification sur le réseau. Lorsque vous activez l'authentification Windows intégrée, fonctionne sur la base de tickets pour permettre aux noeuds communiquant sur un réseau non sécurisé de prouver leur identité les uns aux autres de manière sécurisée. Il permet aux utilisateurs de se connecter à un domaine après s'être connectés à leurs machines Windows. 

Remarque : l'authentification Kerberos est prise en charge uniquement à partir de la version 11.6 et ultérieure.

Les utilisateurs du domaine qui sont déjà connectés au contrôleur de domaine (DC) seront connectés en toute transparence aux clients SSO sans avoir à saisir à nouveau les informations d'identification.  Pour les utilisateurs non-domaine, IWA revient à NTLM (New Technology Local Area Network Manager) et la boîte de dialogue de connexion apparaît. La qualification pour les IDS avec l'authentification IWA est effectuée avec Kerberos par rapport à ADFS 3.0.

Étape 1. Ouvrez l'invite de commandes Windows et exécutez-la en tant qu'utilisateur Admin pour enregistrer le service http à l'aide de la commande setspn 

             setspn -s http/<URL ADFS> <domaine>\<nom du compte> .

Étape 2. Désactivez l'authentification de formulaire et activez l'authentification Windows pour les sites intranet. Accédez à ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit. Sous Intranet, assurez-vous que seule l'authentification Windows est cochée (Décochez l'authentification du formulaire).

Configuration pour la prise en charge de Microsoft Internet Explorer pour IWA

Étape 1. Assurez-vous que Internet Explorer > Advanced > Enable Integrated Windows Authentication est coché.

Étape 2. L'URL ADFS doit être ajoutée à Security >Intranet zones > Sites (winadcom215.uccx116.com est une URL ADFS)

Étape 3. Assurez-vous que Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon est configuré afin d'utiliser les informations d'identification de connexion pour les sites intranet.

Configuration requise pour la prise en charge de Mozilla Firefox pour IWA

Étape 1. Passez en mode de configuration pour Firefox. Ouvrez Firefox et entrez about:config sur l'URL. Acceptez l'énoncé des risques.

Étape 2. Recherchez ntlm et activez network.Automatic-ntlm-auth.allow-non-fqdn et affectez la valeur true.

Étape 3. Définissez network.Automatic-ntlm-auth.trust-uris sur le domaine ou explicitement l'URL ADFS.

Configuration requise pour la prise en charge de Google Chrome pour IWA

Google Chrome dans Windows utilise les paramètres d'Internet Explorer, donc configurez dans la boîte de dialogue Outils > Options Internet d'Internet Explorer, ou à partir du Panneau de configuration sous Options Internet dans la sous-catégorie Réseau et Internet.

Configuration supplémentaire pour SSO :

Ce document décrit la configuration de l'aspect IdP pour SSO à intégrer à Cisco Identity Service. Pour plus d'informations, reportez-vous aux guides de configuration de chaque produit :

• UCCX 
• UCCE
• PCCE

Vérification

Cette procédure permet de déterminer si l'approbation de la partie de confiance est établie correctement entre les ID Cisco et le PCI.

• À partir du navigateur, entrez l'URL https://<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
• ADFS fournira le formulaire de connexion. Ceci sera disponible lorsque la configuration ci-dessus est correcte.
• En cas d'authentification réussie, le navigateur doit rediriger vers https://<IDS_FQDN>:8553/ids/saml/response et une page de liste de contrôle s'affiche.

Note: La page Liste de contrôle qui apparaît dans le cadre du processus de vérification n'est pas une erreur, mais une confirmation que la confiance est correctement établie.

Dépannage

Pour le dépannage, reportez-vous à https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

URL de contournement/récupération UCCX SSO

• URL de Cisco Unified CCX Administration :https://<IP_or_FQDN>/appadmin/recovery_login.htm
• URL de la fonctionnalité de maintenance de Cisco Unified CCX :https://<IP_or_FQDN>/uccxservice/recovery_login.htm

Désactivation de SSO

• IUG: Accédez à CCX Administration> Single Sign-On (SSO) > Disable
• CLI : set authmode non_sso (cette commande doit désactiver SSO pour Pub et Sub - peut être exécutée à partir des noeuds UCCX en cas de cluster haute disponibilité (HA)).

Captures d'écran

Administration CCX - Non_SSO :

Administration CCX - SSO activée :

Finesse Login - Non-SSO :

Connexion Finesse - SSO activée :

CUIC - Non_SSO :

CUIC - SSO activé :