Guest

Configurez le fournisseur d'identité pour UCCX basé sur SSO

Options de téléchargement

  • PDF     (3.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (3.8 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 janvier 2017
ID du document:200612
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la configuration sur le fournisseur d'identité (IDP) pour activer simple se connectent (SSO).

Modèles de déploiement d'id de Cisco

Produit Déploiement
UCCX Co-résident
PCCE Co-résident avec CUIC (centre d'intelligence de Cisco Unified) et LD (données vivantes)
UCCE

Co-résident avec CUIC et LD pour les déploiements 2k.

Autonome pour les déploiements 4k et 12k.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Version 11.5 de version 11.5 ou de Cisco Unified Contact Center Enterprise du Cisco Unified Contact Center Express (UCCX) ou version 11.5 emballée du Contact Center Enterprise (PCCE) comme applicable.
  • Microsoft Active Directory - AD installé sur des Windows Server
  • Version 2.0/3.0 du service de fédération de Répertoire actif (ADFS)

Remarque: Ce document met en référence UCCX dans les captures d'écran et les exemples, toutefois la configuration est semblable en ce qui concerne le service de Cisco Identitify (UCCX/UCCE/PCCE) et l'IDP.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Aperçu de SSO

Cisco fournit beaucoup de services dans différentes formes et en tant qu'utilisateur final, vous voulez se connecter seulement une fois pour avoir l'accès à tous les Services Cisco. Si vous voulez trouver et gérer des contacts d'application et de périphériques l'uns des de Cisco, accroissant toutes les sources possibles (des contacts de répertoire d'entreprise, d'Outlook, de mobile, Facebook, LinkedIn, historique), et les faites rendre dans une manière commune et cohérente qui fournit l'information nécessaire pour connaître leur Disponibilité et comment mieux entrer en contact avec elles.

SSO utilisant SAML (Langage SAML) vise cette condition requise. SAML/SSO fournit la capacité pour que les utilisateurs se connectent dans de plusieurs périphériques et services par une identité commune de compte et d'autorisation appelée l'IDP. La fonctionnalité SSO est disponible dans UCCX/UCCE/PCCE 11.5 en avant.

?

Configuration en un mot

?

Configurez

Types d'authentification

Les supports de gestion d'identité de Cisco forment seulement l'authentification basée du fournisseur d'identité.

Veuillez se référer ces articles MSDN pour apprendre comment activer l'authentification de forme dans l'AD FS.

Établissez les relations de confiance 


Pour onboarding et permettre à des applications d'utiliser la gestion d'identité de Cisco pour l'ouverture de session simple, exécutez l'échange de métadonnées entre la gestion d'identité (id) et l'IDP.

  • Téléchargez le fichier sp.xml de métadonnées de fournisseur de services SAML.
  • Des configurations, naviguez vers des id font confiance à l'onglet à la page de Gestion de gestion d'identité.

?

  • Téléchargez les métadonnées d'IDP classent de l'IDP de l'URL :
    https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml
  • À la page de Gestion de gestion d'identité, téléchargez le fournisseur d'identité que les métadonnées classent qui a été téléchargé dans l'étape précédente.

?


C'est la procédure pour télécharger les métadonnées d'id et pour ajouter des règles de demande. Ceci est tracé les grandes lignes pour l'AD FS 2.0 et 3.0

AD FS 2.0 :


Étape 1. Dans le serveur FS d'AD naviguez vers, début > tous les programmes > outils d'administration > Gestion FS d'AD, suivant les indications de l'image :

??


Étape 2. Naviguez pour ajouter l'AD FS2.0 > relations de confiance > confiance comptante d'interlocuteur, suivant les indications de l'image :

?

Étape 3. Suivant les indications de l'image, sélectionnez les données d'importation d'option au sujet de l'interlocuteur comptant à partir d'un fichier.

?

?



?

?

Étape 4. Terminez-vous l'établissement de la confiance comptante d'interlocuteur.

?

Étape 5. Dans les propriétés de la confiance comptante d'interlocuteur, sélectionnez l'onglet d'identifiant.

??

?

Étape 6. Placez l'identifiant comme entièrement - adresse Internet qualifiée de serveur d'identité de Cisco de laquelle sp.xml est téléchargé.

?

Étape 7. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction des règles de demande Edit.

Vous devez ajouter deux règles de demande, une est quand les attributs de LDAP (protocole LDAP) sont appariés tandis que le deuxième est par des règles faites sur commande de demande.

uid - Cet attribut est nécessaire pour que les applications identifient l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par gestion d'identité de Cisco pour identifier le royaume de l'utilisateur authentifié.

Règle 1 de demande :

Ajoutez une règle de nom NameID de type (envoyez les valeurs de l'attribut de LDAP comme demandes) :

  • Mémoire choisie d'attribut comme Répertoire actif.
  • Utilisateur-Principal-nom d'attribut de LDAP de carte à user_principal (minuscule).
  • Choisissez l'attribut de LDAP qui doit être utilisé comme ID utilisateur pour que des utilisateurs d'application l'ouvrent une session et pour tracent à l'uid (minuscule)


Exemple de configuration quand SamAccountName doit être utilisé comme user-id :

  • Tracez l'attribut SamAccountName de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Exemple de configuration quand UPN doit être utilisé comme user-id -

  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.
                 

Exemple de configuration quand PhoneNumber doit être utilisé comme user-id -

  • Tracez le telephoneNumber d'attribut de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

??



?

?

Remarque: Nous devons nous assurer que l'attribut de LDAP configuré pour l'user-id sur le sync de LDAP CUCM devrait apparier ce qui est configuré comme attribut de LDAP pour l'uid dans la règle NameID de demande FS d'AD. C'est pour le fonctionnement approprié de la procédure de connexion du centre (CUIC) et de la finesse d'intelligence de Cisco Unified.

?

Règle 2 de demande :

  • Ajoutez une autre règle de règle faite sur commande de demande de type avec le nom comme entièrement - adresse Internet qualifiée (FQDN) de serveur d'identité de Cisco et ajoutez ce texte de règle.
                                   
       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<AD FS Server FQDN>/AD FS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  • Dans la batterie de serveur d'identité de Cisco, tous entièrement - les adresses Internet qualifiées sont celle du serveur d'identité de Cisco primaire ou du noeud d'éditeur.

  • < entièrement - l'adresse Internet qualifiée de l'identité Server> de Cisco distingue les majuscules et minuscules, ainsi elle s'assortit exactement (cas y compris) avec le FQDN de serveur d'identité de Cisco.

  • Le serveur FQDN> <AD FS distingue les majuscules et minuscules, ainsi il s'assortit exactement (cas y compris) avec le FQDN FS d'AD.

?

?


Étape 8. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction Properties et sélectionnent l'onglet avancé, suivant les indications de l'image.

?


Étape 9. Suivant les indications de l'image, Algorithme de hachage sûr (SHA) choisi comme SHA-1.

?


Étape 10. Cliquez sur OK.

AD FS 3.0 :

Étape 1. Dans le serveur FS d'AD naviguez vers, gestionnaire du serveur > outils > Gestion FS d'AD.

??

Étape 2. Naviguez vers l'AD FS > relations de confiance > confiance comptante d'interlocuteur.

?

Étape 3. Sélectionnez les données d'importation d'option au sujet de l'interlocuteur comptant à partir d'un fichier.

?

?

?

?

?

?

Étape 4. Terminez-vous l'établissement de la confiance comptante d'interlocuteur.

?

Étape 5. Dans les propriétés de la confiance comptante d'interlocuteur, sélectionnez l'onglet d'identifiant.

??

Étape 6. Placez l'identifiant comme entièrement - adresse Internet qualifiée de serveur d'identité de Cisco de laquelle sp.xml est téléchargé.

?

Étape 7. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction des règles de demande Edit.

Vous devez ajouter deux règles de demande, une est quand les attributs de LDAP (protocole LDAP) sont appariés tandis que le deuxième est par des règles faites sur commande de demande.

uid - Cet attribut est nécessaire pour que les applications identifient l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par gestion d'identité de Cisco pour identifier le royaume de l'utilisateur authentifié.

Règle 1 de demande :

Ajoutez une règle de nom NameID de type (envoyez les valeurs de l'attribut de LDAP comme demandes) :

  • Mémoire choisie d'attribut comme Répertoire actif.
  • Utilisateur-Principal-nom d'attribut de LDAP de carte à user_principal (minuscule).
  • Choisissez l'attribut de LDAP qui doit être utilisé comme ID utilisateur pour que des utilisateurs d'application l'ouvrent une session et pour tracent à l'uid (minuscule)


Exemple de configuration quand SamAccountName doit être utilisé comme user-id :

  • Tracez l'attribut SamAccountName de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Exemple de configuration quand UPN doit être utilisé comme user-id -

  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.
                 

Exemple de configuration quand PhoneNumber doit être utilisé comme user-id -

  • Tracez le telephoneNumber d'attribut de LDAP à l'uid.
  • Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

???

?

?

Remarque: Nous devons nous assurer que l'attribut de LDAP configuré pour l'user-id sur le sync de LDAP CUCM devrait apparier ce qui est configuré comme attribut de LDAP pour l'uid dans la règle NameID de demande FS d'AD. C'est pour le fonctionnement approprié de la procédure de connexion du centre (CUIC) et de la finesse d'intelligence de Cisco Unified.

?

Règle 2 de demande :

  • Ajoutez une autre règle de règle faite sur commande de demande de type avec le nom comme entièrement - adresse Internet qualifiée (FQDN) de serveur d'identité de Cisco et ajoutez ce texte de règle.
                                   
       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<AD FS Server FQDN>/AD FS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  • Dans la batterie de serveur d'identité de Cisco, tous entièrement - les adresses Internet qualifiées sont celle du serveur d'identité de Cisco primaire ou du noeud d'éditeur.

  • < entièrement - l'adresse Internet qualifiée de l'identité Server> de Cisco distingue les majuscules et minuscules, ainsi elle s'assortit exactement (cas y compris) avec le FQDN de serveur d'identité de Cisco.

  • Le serveur FQDN> <AD FS distingue les majuscules et minuscules, ainsi il s'assortit exactement (cas y compris) avec le FQDN FS d'AD.

?

?


Étape 8. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction Properties et sélectionnent l'onglet avancé

?


Étape 9. Suivant les indications de l'image, Algorithme de hachage sûr (SHA) choisi comme SHA-1.

?


Étape 10 - Cliquez sur OK.

Ces étapes sont obligatoires après l'étape 10.


Assertions SAML signées par enable pour la confiance comptante d'interlocuteur (gestion d'identité de Cisco)


Étape 1. Cliquez sur le début et écrivez le powershell au powershell de fenêtres ouvertes.

?


Étape 2. Ajoutez l'AD FS CmdLet au powershell en exécutant la commande ajoutent-PSSnapin Microsoft.AD FS.Powershell.

?


Étape 3 - Exécutent la commande, Positionnement-AD FSRelyingPartyTrust - Confiance <Relying Identifier> d'interlocuteur de TargetName

- SamlResponseSignature « MessageAndAssertion ».

?

          

Remarque: Étape 2 peut ne pas être nécessaire si vous utilisez l'AD FS 3.0 puisque le CmdLet est déjà installé comme partie d'ajouter les rôles et les caractéristiques.

Remarque: La confiance <Relying Identifier> d'interlocuteur distingue les majuscules et minuscules, ainsi elle s'assortit (cas y compris) avec ce qui est placé dans l'onglet d'identifiant des propriétés de confiance comptantes d'interlocuteur.

Remarque: Supports de gestion d'identité de Cisco SHA-1. Les utilisations comptantes SHA-1 de confiance d'interlocuteur pour signer la demande SAML et s'attend à ce que l'AD FS fasse la même chose dans la réponse.

Pour une configuration de Multi-domaine pour l'AD fédéré FS


En cas de fédération dans l'AD FS, où un domaine FS d'AD en particulier fournit l'authentification fédérée SAML pour des utilisateurs dans d'autres domaines configurés, ce sont les configurations supplémentaires qui sont nécessaires.

Pour ceci les sections, l'AD primaire le FS de terme se rapporte à l'AD FS qui doit être utilisé dans les id. L'AD fédéré par terme FS indique ces AD FS, dont les utilisateurs sont permis pour ouvrir une session par l'intermédiaire des id et ainsi, est l'AD primaire FS.

Configuration fédérée FS d'AD


Dans chacun de l'AD fédéré FS, la confiance comptante d'interlocuteur doit être créée pour l'AD primaire FS et les règles de demande configurées comme mentionné dans la section précédente.


Configuration primaire FS d'AD

Pour l'AD primaire FS, indépendamment de la confiance comptante d'interlocuteur pour des id, la configuration supplémentaire suivante est nécessaire.

Ajoutez la confiance de fournisseur de demande avec l'AD FS auquel la fédération doit être installée.


En confiance de fournisseur de demande, assurez-vous que le traverser ou filtrez les règles entrantes d'une demande sont configurés avec traversent toutes les valeurs de demande comme option

  • ID de nom
  • Choisissez l'ID de nom de la case entrante de baisse de type de demande
  • Choisissez la coupure comme option pour le format entrant de NameID
  • uid : C'est une demande faite sur commande. Entrez dans l'uid de valeur dans la case entrante de baisse de type de demande.
  • user_principal : C'est une demande faite sur commande. Tapez la valeur user_principal dans la case entrante de baisse de type de demande.



En confiance comptante d'interlocuteur pour des id, ajoutez le passage cependant ou filtrez les règles entrantes d'une demande avec traversent toutes les valeurs de demande comme option.

  • NameIDFromSubdomain
  • Choisissez l'ID de nom de la case entrante de baisse de type de demande
  • Choisissez la coupure comme option pour le format entrant de NameID
  • uid : C'est une demande faite sur commande. Tapez l'uid de valeur dans la case entrante de baisse de type de demande
  • user_principal : C'est une demande faite sur commande. Tapez la valeur user_principal dans la case entrante de baisse de type de demande

Davantage de configuration pour SSO :

Ce document décrit la configuration de l'aspect d'IDP pour que SSO intègre avec la gestion d'identité de Cisco. Pour d'autres détails, référez-vous aux différents guides de configuration de produit :

Vérifiez

Cette procédure est utilisée pour déterminer si la confiance comptante d'interlocuteur est établie correctement entre les id de Cisco et l'IDP.

  • Du broswer écrivez l'URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx ? loginToRp=<IDS_FQDN>
  • L'AD FS fournira la forme de procédure de connexion. Ce sera disponible quand la configuration ci-dessus est exacte.
  • Sur l'authentification réussie, le navigateur le redirect to https://<IDS_FQDN>:8553/ids/saml/response et une page de liste de contrôle apparaît.

Remarque: La page de liste de contrôle qui paraît car une partie du processus de vérification n'est pas une erreur mais une confirmation que la confiance est correctement établie.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


  

TAC Authored

Contribution d’experts de Cisco

  • Arundeep Nagaraj
    Ingénieur TAC Cisco
  • Venkatesh Vedurumudi
    Construction de Cisco

Ce document vous est-il utile?

Commentaires

Laissez-nous vous aider

Ce document s’applique à ces produits