Installer et configurer le fournisseur d'identité (IdP) Shibboleth pour Cisco Identity Service (IdS) afin d'activer l'authentification unique
Options de téléchargement
Langage exempt de préjugés
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
À propos de cette traduction
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Table des matières
Introduction
Ce document décrit la configuration sur le fournisseur d'identité OpenAM (IdP) pour activer l'authentification unique (SSO).
Modèles de déploiement Cisco IdS
| Product (produit) | Déploiement |
| UCCX | Coprésident |
| PCCE | Co-résident avec CUIC (Cisco Unified Intelligence Center) et LD (Live Data) |
| UCCE | Co-résident avec CUIC et LD pour les déploiements 2k. Autonome pour les déploiements 4K et 12K. |
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco Unified Contact Center Express (UCCX) version 11.6 ou Cisco Unified Contact Center Enterprise version 11.6 ou Packaged Contact Center Enterprise (PCCE) version 11.6, selon le cas.
Remarque : Ce document fait référence à la configuration en ce qui concerne le service d'identification Cisco (IdS) et le fournisseur d'identité (IdP). Le document fait référence à UCCX dans les captures d'écran et les exemples, mais la configuration est similaire en ce qui concerne le service d'identification Cisco (UCCX/UCCE/PCCE) et le fournisseur d'identité.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Install
Shibboleth est un projet open-source qui offre des fonctionnalités d'authentification unique et permet aux sites de prendre des décisions d'autorisation éclairées pour l'accès individuel à des ressources en ligne protégées de manière à préserver la confidentialité. Il prend en charge le langage SAML2 (Security Assertion Markup Language). IdS est un client SAML2 et devrait prendre en charge Shibboleth avec peu ou pas de modifications d'IdS. Dans 11.6, IdS est qualifié pour travailler avec Shibboleth IdP.
Remarque : Ce document fait référence à la version 3.3.0 de Shibboleth dans le cadre de la qualification avec SSO
Configuration système nécessaire
| Composante | Détails |
| Version de Shibboleth | v 3.3.0 |
| Emplacement de téléchargement | http://shibboleth.net/downloads/identity-provider/ |
| Installer la plate-forme | Ubuntu 14.0.4 version java "1.8.0_121" |
| Version LDAP (Lightweight Directory Access Protocol) | Active Directory 2.0 |
| Serveur Web Shibboleth | Apache Tomcat/8.5.12 |
Veuillez consulter le wiki pour l'installation de Shibboleth
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
Configurer
Intégration à un serveur LDAP
Pour intégrer un serveur LDAP avec shibboleth, les champs doivent être mis à jour dans $shibboleth_home/conf/ldap.properties où$shibboleth_home(default is /opt/shibboleth-idp) se réfère au répertoire d'installation qui est utilisé lors de l'installation de shibboleth.
| Champ | Valeur attendue | Description |
| idp.authn.LDAP.trustCertificates | Ressource à partir de laquelle charger les ancres d'approbation, généralement un fichier local dans ${idp.home}/informations d'identification où idp.home est une variable d'environnement exportée en tant que JAVA_OPTS dans setenv.sh |
%{idp.home}/credentials/ldap-server.crt |
| idp.authn.LDAP.trustStore | Ressource permettant de charger une banque de clés Java contenant des ancres d'approbation, généralement un fichier local dans %{idp.home}/informations d'identification | %{idp.home}/credentials/ldap-server.truststore |
| idp.authn.LDAP.returnAttributes | Liste d'attributs LDAPA séparés par des virgules qui doit être renvoyée. Si vous souhaitez renvoyer tous les attributs, ajoutez "*". |
* |
| idp.authn.LDAP.baseDN | BaseDN à partir duquel la recherche LDAP doit être effectuée | CN=utilisateurs,DC=cisco,DC=com |
| idp.authn.LDAP.subtreeSearch | Recherche récursive ou non | vrai |
| idp.authn.LDAP.userFilter | Filtre de recherche LDAP | (sAMAccountName={user})* |
| idp.authn.LDAP.bindDN | DN avec lequel se lier lors de la recherche | administrator@cisco.com |
| idp.authn.LDAP.bindDNCredential | Mot de passe avec lequel établir la liaison lors de la recherche | |
| idp.authn.LDAP.dnFormat | Chaîne de mise en forme permettant de générer les DN utilisateur à authentifier | %s@adfsserver.cisco.com (%s@domainname) |
| idp.authn.LDAP.authenticator | Contrôle le workflow de la manière dont l'authentification se produit par rapport au LDAP | BindSearchAuthenticator |
| idp.authn.LDAP.ldapURL | URI de connexion pour l'annuaire LDAP |
Pour plus d'informations, consultez :
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
Exemple de fichier de configuration
# Durée d'attente en millisecondes pourréponses
#idp.authn.LDAP.responseTimeout = PT3S
## Configuration SSL, soit jvmTrust, certificateTrust ou keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
## Si vous utilisez certificateTrust ci-dessus, définissez sur le chemin d'accès du certificat approuvé
idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
## Si vous utilisez keyStoreTrust ci-dessus, définissez sur le chemin truststore
idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
## Renvoyer les attributs pendant l'authentification
#idp.authn.LDAP.returnAttributes = userPrincipalName, sAMAccountName
idp.authn.LDAP.returnAttributes = *
## Propriétés de résolution de DN ##
# Résolution de nom distinctif (DN) de recherche, utilisée par anonSearchAuthenticator, bindSearchAuthenticator
# pourAD : CN=Utilisateurs,DC=exemple,DC=org
idp.authn.LDAP.baseDN = CN=utilisateurs, DC=cisco, DC=com
idp.authn.LDAP.subtreeSearch = vrai
*idp.authn.LDAP.userFilter = (sAMAccountName={user})*
# bind search configuration
# pourAD : idp.authn.LDAP.bindDN=adminuser@domain.com
idp.authn.LDAP.bindDN = administrateur@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# Format de résolution DN, utilisé par directAuthenticator, adAuthenticator
# pourAD utilise idp.authn.LDAP.dnFormat=%s@domain.com
#idp.authn.LDAP.dnFormat = %s@adfsserver.cisco.com
# Configuration des attributs LDAP, voir attribute-resolver.xml
# Remarque, cecine s'appliquera probablement pas à l'utilisation de configurations de résolveur V2 héritées
idp.attribute.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
idp.attribute.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
idp.attribute.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS :vrai}
idp.attribute.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
Autoriser les requêtes de tous les clients
Pour s'assurer que les requêtes de tous les clients parviennent, des modifications sont nécessaires dans "$shibboleth_home/conf/access-control.xml"
<entry key="AccessByIPAddress">
<bean id="AccessByIPAddress" parent="shibboleth.IPRangeAccessControl"
p : allowedRanges="#{ {'127.0.0.1/32','0.0.0.0/0', '::1/128', '10.78.93.103/32'} }" />
</entry>
Ajoutez '0.0.0.0/0' aux plages autorisées. Cela autorise les requêtes de n'importe quelle plage IP.
Configurer Shibboleth pour l'intégration avec IdS
Configuration de l'algorithme de hachage sécurisé (SHA1) et du cryptage dans les ID
Pour configurer les ID sur SHA1 par défaut, ouvrez "$shibboleth_home/conf/idp.properties" et définissez :
idp.signing.config = shibboleth.SigningConfiguration.SHA1
Cette configuration peut également être modifiée :
idp.encryption.optional = true
Si vous lui attribuez la valeur true, le fait de ne pas localiser une clé de chiffrement à utiliser, lorsqu'elle est activée, n'entraînera pas l'échec de la demande. Ce haide à effectuer le chiffrement de manière « opportuniste », c'est-à-dire à chiffrer chaque fois que possible (une clé compatible se trouve dans les métadonnées de l'homologue avec laquelle chiffrer), mais à sauter le chiffrement autrement.
Configurez uid et user_principal sur la réponse SAML
L'AttributeDefinition est ajouté dans "$shibboleth_home/conf/attribute-resolver.xml" pour mapper sAMAccountName et userPrincipalName à uid et user_principal dans la réponse SAML.
En outre, ajoutez les paramètres du connecteur LDAP avec la balise <DataConnector>.
Remarque : ReturnAttributes doit être spécifié avec la valeur "sAMAccountName userPrincipalName".
Remarque : la propriété LDAPProperty est obligatoire en cas d'intégration à Active Directory (AD).
%{idp.attribute.resolver.LDAP.searchFilter}
sAMAccountName userPrincipalName
Intégrez les modifications dans "$shibboleth_home/conf/attribute-filter.xml"
métadonnées IdP
Les métadonnées IdP sont disponibles dans le dossier "$shibboleth_home/metadata" . Le fichier idp-metadata.xml peut être téléchargé vers les ID via l'API (Application Programming Interface)
PUT https://<idshost>:<idsport>/ids/v1/config/idpmetadata
où idsport n'est pas une entité configurable et la valeur est "8553"
Avertissement : Les métadonnées Shibboleth peuvent contenir 2 certificats de signature, le certificat de signature général et le backchannel. Accédez au fichier idp-backchannel.crt dans "$shibboleth_home/credentials" pour identifier le certificat de canal secondaire. Si le certificat de canal secondaire est disponible dans les métadonnées, vous devez supprimer le certificat de canal secondaire du fichier xml de métadonnées avant de le télécharger vers IdS. En effet, la bibliothèque fedlet 12.0 utilisée par IdS ne prend en charge qu'un seul certificat dans les métadonnées. Si plusieurs certificats de signature sont disponibles, le fedlet utilise le premier certificat disponible.
Configurer les fournisseurs de métadonnées
Nous devons configurer les fournisseurs de métadonnées avec l'entrée dans $shibboleth_home/metadata-providers.xml.
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
où "id"attribut peut être n'importe quel nom unique.
Cette entrée indique qu'un fournisseur de métadonnées est inscrit avec l'ID donné et que les métadonnées sont disponibles dans le fichier spécifié /opt/shibboleth-idp/SP/sp.xml.
Les métadonnées du fournisseur de services (SP) des IDs doivent être copiées dans le fichier de métadonnées spécifié dans l'entrée.
Remarque : les métadonnées SP des IDs peuvent être récupérées via GET https://<idshost>:<idsport>/ids/v1/config/spmetadata, où idsport n'est pas une entité configurable et la valeur est "8553".
Configuration supplémentaire pour SSO
Ce document décrit la configuration de l'aspect IdP pour l'intégration de SSO à Cisco Identity Service. Pour plus d'informations, reportez-vous aux guides de configuration de chaque produit :
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
17-Aug-2017
|
Première publication |
Contribution d’experts de Cisco
- Arundeep NagarajTAC Cisco
- Balakrishnan DoraisamyIngénierie Cisco
- Venkatesh VedurumudiIngénierie Cisco
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)