Configurez le fournisseur d'identité pour que la gestion d'identité de Cisco active SSO

Introduction

Ce document décrit la configuration sur le fournisseur d'identité (IDP) pour activer simple se connectent (SSO).

Modèles de déploiement d'id de Cisco

Produit	Déploiement
UCCX	Co-résident
PCCE	Co-résident avec CUIC (centre d'intelligence de Cisco Unified) et LD (données vivantes)
UCCE	Co-résident avec CUIC et LD pour les déploiements 2k. Autonome pour les déploiements 4k et 12k.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Version 11.5 de version 11.5 ou de Cisco Unified Contact Center Enterprise du Cisco Unified Contact Center Express (UCCX) ou version 11.5 emballée du Contact Center Enterprise (PCCE) comme applicable.
• Microsoft Active Directory - AD installé sur des Windows Server
• Version 2.0/3.0 du service de fédération de Répertoire actif (ADFS)

Remarque: Ce document met en référence UCCX dans les captures d'écran et les exemples, toutefois la configuration est semblable en ce qui concerne le service de Cisco Identitify (UCCX/UCCE/PCCE) et l'IDP.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Vue d'ensemble de SSO

Cisco fournit beaucoup de services dans différentes formes et en tant qu'utilisateur final, vous voulez se connecter seulement une fois pour avoir l'accès à tous les Services Cisco. Si vous voulez trouver et gérer des contacts d'application et de périphériques l'uns des de Cisco, accroissant toutes les sources possibles (des contacts de répertoire d'entreprise, d'Outlook, de mobile, Facebook, LinkedIn, historique), et les faites rendre dans une manière commune et cohérente qui fournit l'information nécessaire pour connaître leur Disponibilité et comment mieux entrer en contact avec elles.

SSO utilisant SAML (Langage SAML) vise cette condition requise. SAML/SSO fournit la capacité pour que les utilisateurs se connectent dans de plusieurs périphériques et services par une identité commune de compte et d'autorisation appelée l'IDP. La fonctionnalité SSO est disponible dans UCCX/UCCE/PCCE 11.5 en avant.

Vue d'ensemble de configuration 

Configurer

Types d'authentification

Les supports de gestion d'identité de Cisco forment seulement l'authentification basée du fournisseur d'identité.

Veuillez se référer ces articles MSDN pour apprendre comment activer l'authentification de forme dans ADFS.

• Pour ADFS 2.0 se rapportent à cet article de TechNet de Microsoft,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Pour ADFS 3.0 se réfèrent se rapportent à cet article de TechNet de Microsoft,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Remarque: La gestion d'identité 11.6 de Cisco et prend en charge en haut l'authentification et l'authentification Kerberos basées par forme. Pour que l'authentification Kerberos fonctionne, vous devez désactiver la forme basée authentification.

Établissez les relations de confiance 

Pour onboarding et permettre à des applications d'utiliser la gestion d'identité de Cisco pour l'ouverture de session simple, exécutez l'échange de métadonnées entre la gestion d'identité (id) et l'IDP.

• Téléchargez le fichier sp.xml de métadonnées de fournisseur de services SAML.
• Des configurations, naviguez vers des id font confiance à l'onglet à la page de Gestion de gestion d'identité.

• Téléchargez les métadonnées d'IDP classent de l'IDP de l'URL :
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• À la page de Gestion de gestion d'identité, téléchargez le fournisseur d'identité que les métadonnées classent qui a été téléchargé dans l'étape précédente.

C'est la procédure pour télécharger les métadonnées d'id et pour ajouter des règles de demande. Ceci est tracé les grandes lignes pour ADFS 2.0 et 3.0

ADFS 2.0 :

Étape 1. Dans le serveur ADFS naviguez vers, début > tous les programmes > outils d'administration > Gestion FS 2.0 d'AD, suivant les indications de l'image :

Étape 2. Naviguez pour ajouter l'AD FS 2.0 > des relations de confiance > confiance comptante d'interlocuteur, suivant les indications de l'image :

Étape 3. Suivant les indications de l'image, sélectionnez les données d'importation d'option au sujet de l'interlocuteur comptant à partir d'un fichier.

Étape 4. Terminez-vous l'établissement de la confiance comptante d'interlocuteur.

Étape 5. Dans les propriétés de la confiance comptante d'interlocuteur, sélectionnez l'onglet d'identifiant.

Étape 6. Placez l'identifiant comme entièrement - adresse Internet qualifiée de serveur d'identité de Cisco de laquelle sp.xml est téléchargé.

Étape 7. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction des règles de demande Edit.

Vous devez ajouter deux règles de demande, une est quand les attributs de LDAP (protocole LDAP) sont appariés tandis que le deuxième est par des règles faites sur commande de demande.

uid - Cet attribut est nécessaire pour que les applications identifient l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par gestion d'identité de Cisco pour identifier le domaine de l'utilisateur authentifié.

Règle 1 de demande :

Ajoutez une règle de nom NameID de type (envoyez les valeurs de l'attribut de LDAP comme demandes) :

• Mémoire choisie d'attribut comme Répertoire actif.
• Utilisateur-Principal-nom d'attribut de LDAP de carte à user_principal (minuscule).
• Choisissez l'attribut de LDAP qui doit être utilisé comme ID utilisateur pour que des utilisateurs d'application l'ouvrent une session et pour tracent à l'uid (minuscule)

Exemple de configuration quand SamAccountName doit être utilisé comme user-id :

• Tracez l'attribut SamAccountName de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Exemple de configuration quand UPN doit être utilisé comme user-id -

• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.
               

Exemple de configuration quand PhoneNumber doit être utilisé comme user-id -

• Tracez le telephoneNumber d'attribut de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Remarque: Nous devons nous assurer que l'attribut de LDAP configuré pour l'user-id sur le sync de LDAP CUCM devrait apparier ce qui est configuré comme attribut de LDAP pour l'uid dans la règle NameID de demande ADFS. C'est pour le fonctionnement approprié de la procédure de connexion du centre (CUIC) et de la finesse d'intelligence de Cisco Unified.

Remarque: Ce document met en référence des contraintes sur les noms de nom et d'affichage de règle de demande tels que NameID, FQDN d'UCCX, etc. Bien que les champs et les noms faits sur commande puissent s'appliquer à de diverses sections, les noms de règle de demande et des noms d'affichage sont maintenus standard partout pour mettre à jour la cohérence et pour des pratiques recommandées en nommant la convention.

Règle 2 de demande :

• Ajoutez une autre règle de règle faite sur commande de demande de type avec le nom comme entièrement - adresse Internet qualifiée (FQDN) de serveur d'identité de Cisco et ajoutez ce texte de règle.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Dans la batterie de serveur d'identité de Cisco, tous entièrement - les adresses Internet qualifiées sont celle du serveur d'identité de Cisco primaire ou du noeud d'éditeur.
  
  
• < entièrement - l'adresse Internet qualifiée de l'identité Server> de Cisco distingue les majuscules et minuscules, ainsi elle s'assortit exactement (cas y compris) avec le FQDN de serveur d'identité de Cisco.
  
  
• Le serveur FQDN> <ADFS distingue les majuscules et minuscules, ainsi il s'assortit exactement (cas y compris) avec le FQDN ADFS.

Étape 8. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction Properties et sélectionnent l'onglet avancé, suivant les indications de l'image.

Étape 9. Suivant les indications de l'image, Algorithme de hachage sûr (SHA) choisi comme SHA-1.

Étape 10. Cliquez sur OK.

ADFS 3.0 :

Étape 1. Dans le serveur ADFS naviguez vers, gestionnaire du serveur > outils > Gestion FS d'AD.

Étape 2. Naviguez vers l'AD FS > relations de confiance > confiance comptante d'interlocuteur.

Étape 3. Sélectionnez les données d'importation d'option au sujet de l'interlocuteur comptant à partir d'un fichier.

Étape 4. Terminez-vous l'établissement de la confiance comptante d'interlocuteur.

Étape 5. Dans les propriétés de la confiance comptante d'interlocuteur, sélectionnez l'onglet d'identifiant.

Étape 6. Placez l'identifiant comme entièrement - adresse Internet qualifiée de serveur d'identité de Cisco de laquelle sp.xml est téléchargé.

Étape 7. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction des règles de demande Edit.

Vous devez ajouter deux règles de demande, une est quand les attributs de LDAP (protocole LDAP) sont appariés tandis que le deuxième est par des règles faites sur commande de demande.

uid - Cet attribut est nécessaire pour que les applications identifient l'utilisateur authentifié.
user_principal - Cet attribut est nécessaire par gestion d'identité de Cisco pour identifier le domaine de l'utilisateur authentifié.

Règle 1 de demande :

Ajoutez une règle de nom NameID de type (envoyez les valeurs de l'attribut de LDAP comme demandes) :

• Mémoire choisie d'attribut comme Répertoire actif.
• Utilisateur-Principal-nom d'attribut de LDAP de carte à user_principal (minuscule).
• Choisissez l'attribut de LDAP qui doit être utilisé comme ID utilisateur pour que des utilisateurs d'application l'ouvrent une session et pour tracent à l'uid (minuscule)

Exemple de configuration quand SamAccountName doit être utilisé comme user-id :

• Tracez l'attribut SamAccountName de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Exemple de configuration quand UPN doit être utilisé comme user-id -

• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.
               

Exemple de configuration quand PhoneNumber doit être utilisé comme user-id -

• Tracez le telephoneNumber d'attribut de LDAP à l'uid.
• Tracez l'Utilisateur-Principal-nom d'attribut de LDAP à user_principal.

Remarque: Nous devons nous assurer que l'attribut de LDAP configuré pour l'user-id sur le sync de LDAP CUCM devrait apparier ce qui est configuré comme attribut de LDAP pour l'uid dans la règle NameID de demande ADFS. C'est pour le fonctionnement approprié de la procédure de connexion du centre (CUIC) et de la finesse d'intelligence de Cisco Unified.

Remarque: Ce document met en référence des contraintes sur les noms de nom et d'affichage de règle de demande tels que NameID, FQDN d'UCCX, etc. Bien que les champs et les noms faits sur commande puissent s'appliquer à de diverses sections, les noms de règle de demande et des noms d'affichage sont maintenus standard partout pour mettre à jour la cohérence et pour des pratiques recommandées en nommant la convention.

Règle 2 de demande :

• Ajoutez une autre règle de règle faite sur commande de demande de type avec le nom comme entièrement - adresse Internet qualifiée (FQDN) de serveur d'identité de Cisco et ajoutez ce texte de règle.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Dans la batterie de serveur d'identité de Cisco, tous entièrement - les adresses Internet qualifiées sont celle du serveur d'identité de Cisco primaire ou du noeud d'éditeur.
  
  
• < entièrement - l'adresse Internet qualifiée de l'identité Server> de Cisco distingue les majuscules et minuscules, ainsi elle s'assortit exactement (cas y compris) avec le FQDN de serveur d'identité de Cisco.
  
  
• Le serveur FQDN> <ADFS distingue les majuscules et minuscules, ainsi il s'assortit exactement (cas y compris) avec le FQDN ADFS.

Étape 8. Le clic droit de la confiance comptante d'interlocuteur et cliquent sur alors en fonction Properties et sélectionnent l'onglet avancé

Étape 9. Suivant les indications de l'image, Algorithme de hachage sûr (SHA) choisi comme SHA-1.

Étape 10 - Cliquez sur OK.

Ces étapes sont obligatoires après l'étape 10.

Assertions SAML signées par enable pour la confiance comptante d'interlocuteur (gestion d'identité de Cisco)

Étape 1. Cliquez sur le début et écrivez le powershell au powershell de fenêtres ouvertes.

Étape 2. Ajoutez ADFS CmdLet au powershell en exécutant la commande ajoutent-PSSnapin Microsoft.Adfs.Powershell.

Étape 3 - Exécutent la commande, positionnement-ADFSRelyingPartyTrust - Confiance <Relying Name> d'interlocuteur de TargetName

- SamlResponseSignature « MessageAndAssertion ».

          

Remarque: Étape 2 peut ne pas être nécessaire si vous utilisez ADFS 3.0 puisque le CmdLet est déjà installé comme partie d'ajouter les rôles et les caractéristiques.

Remarque: La confiance <Relying Identifier> d'interlocuteur distingue les majuscules et minuscules, ainsi elle s'assortit (cas y compris) avec ce qui est placé dans l'onglet d'identifiant des propriétés de confiance comptantes d'interlocuteur.

Remarque: Supports de gestion d'identité de Cisco SHA-1. Les utilisations comptantes SHA-1 de confiance d'interlocuteur pour signer la demande SAML et s'attend à ce qu'ADFS fasse la même chose dans la réponse.

Pour une configuration de Multi-domaine pour ADFS fédéré

En cas de fédération dans ADFS, où un domaine ADFS en particulier fournit l'authentification fédérée SAML pour des utilisateurs dans d'autres domaines configurés, ce sont les configurations supplémentaires qui sont nécessaires.

Pour ceci les sections, le terme ADFS primaire se rapporte à l'ADFS qui doit être utilisé dans les id. L'ADFS fédéré par terme indique ces ADFS, dont les utilisateurs sont permis pour ouvrir une session par l'intermédiaire des id et ainsi, est l'ADFS primaire.

Configuration fédérée ADFS

Dans chacun de l'ADFS fédéré, la confiance comptante d'interlocuteur doit être créée pour ADFS primaire et les règles de demande configurées comme mentionné dans la section précédente.

Configuration primaire ADFS

Pour ADFS primaire, indépendamment de la confiance comptante d'interlocuteur pour des id, la configuration supplémentaire suivante est nécessaire.

Ajoutez la confiance de fournisseur de demande avec l'ADFS auquel la fédération doit être installée.

En confiance de fournisseur de demande, assurez-vous que le traverser ou filtrez les règles entrantes d'une demande sont configurés avec traversent toutes les valeurs de demande comme option

• ID de nom
• Choisissez l'ID de nom de la case entrante de baisse de type de demande
• Choisissez la coupure comme option pour le format entrant de NameID
• uid : C'est une demande faite sur commande. Entrez dans l'uid de valeur dans la case entrante de baisse de type de demande.
• user_principal : C'est une demande faite sur commande. Tapez la valeur user_principal dans la case entrante de baisse de type de demande.

En confiance comptante d'interlocuteur pour des id, ajoutez le passage cependant ou filtrez les règles entrantes d'une demande avec traversent toutes les valeurs de demande comme option.

• NameIDFromSubdomain
• Choisissez l'ID de nom de la case entrante de baisse de type de demande
• Choisissez la coupure comme option pour le format entrant de NameID
• uid : C'est une demande faite sur commande. Tapez l'uid de valeur dans la case entrante de baisse de type de demande
• user_principal : C'est une demande faite sur commande. Tapez la valeur user_principal dans la case entrante de baisse de type de demande

Renversement automatique de certificat ADFS

• Le renversement automatique de certificat est pris en charge pour UCCX 11.6.1 et en haut. [Ceci a été réparé dans UCCX 11.6 en améliorant la bibliothèque de Fedlet à la version 14.0]

Authentification Kerberos (authentification intégrée de Windows)

L'authentification intégrée de Windows (AIB) fournit le mécanisme pour l'authentification des utilisateurs, mais ne permet pas des qualifications à transmettre au-dessus du réseau. Quand vous activez l'authentification intégrée de Windows, cela fonctionne sur la base des tickets pour permettre des Noeuds communiquant au-dessus d'un réseau non-sécurisé pour prouver leur identité à une une autre d'une manière sécurisée. Il permet à des utilisateurs pour ouvrir une session à un domaine après procédure de connexion dans leurs ordinateurs de fenêtres. 

Remarque: L'authentification Kerberos est prise en charge seulement de 11.6 et ci-dessus.

Des utilisateurs de domaine qui sont déjà connectés dans le contrôleur de domaine (C.C) seront sans faille connectés dans des clients SSO sans nécessité de ressaisir les qualifications.  Pour des utilisateurs de non-domaine, l'AIB retombe à NTLM (gestionnaire de réseau local de nouvelle technologie) et la boîte de dialogue de connexion apparaît. La qualification pour des id avec l'authentification AIB est faite avec le Kerberos contre ADFS 3.0.

Étape 1. Ouvrez la demande et le passage de commande Windows comme utilisateur d'admin pour enregistrer le service de HTTP avec la commande de setspn 

             setspn - <domain> d'url&gt; s http/<ADFS \ name> de <account.

Étape 2. Désactivez l'authentification de forme et activez l'authentification de Windows pour des sites d'intranet. Allez à la Gestion > aux stratégies d'authentification ADFS > authentification > paramètres généraux primaires > éditent. Sous l'intranet, assurez-vous que seulement l'authentification de Windows est vérifiée (décochez l'authentification de formulaire).

Configuration pour Microsoft Internet Explorer pour le support AIB

Étape 1. Assurez-vous que l'Internet Explorer > a avancé > authentification de Windows intégrée par enable est vérifié.

Étape 2. L'URL ADFS doit être ajouté aux zones de >Intranet de Sécurité > aux sites (winadcom215.uccx116.com est URL ADFS)

Étape 3. Assurez-vous qu'Internet Exporer > Sécurité > intranet local > paramètres de sécurité > authentification de l'utilisateur - la connexion est configurée afin d'utiliser les qualifications ouvertes une session pour des sites d'intranet.

Configuration requise pour Mozilla Firefox pour le support AIB

Étape 1. Entrez dans le mode de configuration pour Firefox. Ouvrez Firefox et entrez environ : config sur l'URL. Recevez la déclaration de risques.

Étape 2. Recherchez le ntlm et activez le network.automatic-ntlm-auth.allow-non-fqdn et placez-le pour rectifier.

Étape 3. Placez le network.automatic-ntlm-auth.trusted-uris au domaine ou explicitement à l'URL ADFS.

Configuration requise pour Google Chrome pour le support AIB

Google Chrome dans Windows utilise les configurations d'Internet Explorer, ainsi configurez dans les outils de l'Internet Explorer que les options de >Internet dialoguent, ou du panneau de configuration sous des options Internet dans le réseau et l'Internet de sous-catégorie.

Davantage de configuration pour SSO :

Ce document décrit la configuration de l'aspect d'IDP pour que SSO intègre avec la gestion d'identité de Cisco. Pour d'autres détails, référez-vous aux différents guides de configuration de produit :

• UCCX
• UCCE
• PCCE

Vérifiez

Cette procédure est utilisée pour déterminer si la confiance comptante d'interlocuteur est établie correctement entre les id de Cisco et l'IDP.

• Du broswer écrivez l'URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx ? loginToRp=<IDS_FQDN>
• ADFS fournira la forme de procédure de connexion. Ce sera disponible quand la configuration ci-dessus est exacte.
• Sur l'authentification réussie, le navigateur le redirect to https://<IDS_FQDN>:8553/ids/saml/response et une page de liste de contrôle apparaît.

Remarque: La page de liste de contrôle qui paraît car une partie du processus de vérification n'est pas une erreur mais une confirmation que la confiance est correctement établie.

Dépanner

Pour dépannez se réfèrent - le https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

Contournement UCCX SSO/reprise URLs

• URL pour la gestion de Cisco Unified CCX : https:// <IP_or_FQDN>/appadmin/recovery_login.htm
• URL pour l'utilité de Cisco Unified CCX : https:// <IP_or_FQDN>/uccxservice/recovery_login.htm

Désactiver SSO

• GUI : Naviguez vers CCX la gestion > l'ouverture de session simple (SSO) > débronchement
• CLI : placez le non_sso d'authmode (cette commande devrait désactiver SSO pour le bar et le sous-titre - peut être exécuté de l'un ou l'autre sur les Noeuds UCCX en cas de batterie (ha) facilement disponible)

Captures d'écran

CCX gestion - Non_SSO :

CCX gestion - SSO activé :

Procédure de connexion de finesse - Non-SSO :

Procédure de connexion de finesse - SSO activé :

CUIC - Non_SSO :

CUIC - SSO activé :