Introduction
Ce document décrit comment configurer l'authentification unique (SSO) sur Cisco Unified Communications Manager (CUCM) et Active Directory Federation Service (AD FS). La procédure pour AD FS 2.0 avec Windows Server 2008 R2 est fournie. Ces étapes fonctionnent également pour AD FS 3.0 sur Windows Server 2016.
Contribution de Scott Kiewert, ingénieur TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Solutions Cisco Unified Communications Manager
- Connaissances de base d'AD FS
Pour activer SSO dans votre environnement de travaux pratiques, vous avez besoin de la configuration suivante :
- Windows Server avec AD FS installé
- CUCM avec synchronisation LDAP configurée
- Un utilisateur final avec le rôle Super utilisateurs CCM standard sélectionné
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Windows Server avec AD FS 2.0
- CUCM 10.5.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Télécharger et installer AD FS 2.0 sur votre serveur Windows
Étape 1. Accédez à https://www.microsoft.com/en-us/download/details.aspx?id=10909 et cliquez sur Continuer.
Étape 2. Assurez-vous de sélectionner le téléchargement approprié en fonction de votre serveur Windows.
Étape 3. Déplacez le fichier téléchargé vers votre serveur Windows.
Étape 4. Procédez à l'installation :
Étape 5. Lorsque vous y êtes invité, sélectionnez Serveur de fédération :

Étape 6. Certaines dépendances sont installées automatiquement. Une fois cela fait, cliquez sur Terminer.
Maintenant que AD FS 2.0 est installé sur votre serveur, vous devez ajouter une configuration.
Configurer AD FS 2.0 sur votre serveur Windows
Étape 1. Si la fenêtre AD FS 2.0 ne s'est pas ouverte automatiquement après l'installation, vous pouvez cliquer sur Démarrer et rechercher Gestion AD FS 2.0 pour l'ouvrir manuellement.
Étape 2. Sélectionnez Assistant Configuration du serveur de fédération AD FS 2.0.

Étape 3. Cliquez ensuite sur Créer un nouveau service de fédération.

Étape 4. Pour la plupart des environnements, le serveur de fédération autonome est suffisant.

Étape 5. Ensuite, vous êtes invité à sélectionner un certificat. Ce champ s'affiche automatiquement tant que le serveur possède un certificat.

Étape 6. Si vous avez déjà une base de données AD FS sur le serveur, vous devez la supprimer pour continuer.
Étape 7. Enfin, vous êtes sur un écran récapitulatif où vous pouvez cliquer sur Suivant.
Importer les métadonnées Idp dans CUCM / Télécharger les métadonnées CUCM
Étape 1. Mettez à jour l'URL avec votre nom d'hôte/nom de domaine complet du serveur Windows et téléchargez les métadonnées à partir de votre serveur AD FS - https://hostname/federationmetadata/2007-06/federationmetadata.xml
Étape 2. Accédez à Cisco Unified CM Administration > System > Single Sign-On SAML.
Étape 3. Cliquez sur Enable SAML SSO.
Étape 4. Si vous recevez une alerte concernant les connexions du serveur Web, cliquez sur Continuer.
Étape 5. Ensuite, CUCM vous demande de télécharger le fichier de métadonnées à partir de votre IDP. Dans ce scénario, votre serveur AD FS est l'IDP et nous avons téléchargé les métadonnées à l'étape 1, donc cliquez sur Suivant.
Étape 6. Cliquez sur Browse > Select the .xml from Step 1 > Cliquez sur Import IdP Metadata.
Étape 7. Un message indique que l'importation a réussi :

Étape 8. Cliquez sur Suivant
Étape 9. Maintenant que les métadonnées IdP sont importées dans CUCM, vous devez importer les métadonnées CUCM dans votre IDP.
Étape 10. Cliquez sur Télécharger le fichier de métadonnées de confiance.
Étape 11. Cliquez sur Suivant
Étape 12. Déplacez le fichier .zip vers votre serveur Windows et extrayez le contenu vers un dossier.
Importer les métadonnées CUCM vers le serveur AD FS 2.0 et créer des règles de demande
Étape 1. Cliquez sur Démarrer et recherchez Gestion AD FS 2.0.
Étape 2. Cliquez sur Obligatoire : Ajouter une partie de confiance
Remarque : si vous ne voyez pas cette option, vous devez fermer la fenêtre et l'ouvrir de nouveau.
Étape 3. Une fois l'Assistant Ajout d'approbation de partie de confiance ouvert, cliquez sur Démarrer.
Étape 4. Ici, vous devez importer les fichiers XML que vous avez extraits à l'étape 12. Sélectionnez Importer des données sur la partie de confiance à partir d'un fichier, accédez aux fichiers de dossier et sélectionnez le code XML de votre éditeur.
Note: Suivez les étapes précédentes pour tout serveur de collaboration unifiée sur lequel vous avez l'intention d'utiliser SSO.

Étape 5. Cliquez sur Suivant
Étape 6. Modifiez le nom d'affichage et cliquez sur Suivant.
Étape 7. Sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance et cliquez sur Suivant.
Étape 8. Cliquez de nouveau sur Suivant.
Étape 9. Dans cet écran, vérifiez que vous avez ouvert la boîte de dialogue Modifier les règles de demande pour cette approbation de partie de confiance lorsque l'Assistant se ferme coché, puis cliquez sur Fermer.
Étape 10. La fenêtre Modifier les règles de demande s'ouvre :

Étape 11. Dans cette fenêtre, cliquez sur Ajouter une règle.
Étape 12. Pour le modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications et cliquez sur Suivant.
Étape 13. Sur la page suivante, entrez NameID pour le nom de la règle de revendication.
Étape 14. Sélectionnez Active Directory pour le magasin d'attributs.
Étape 15. Sélectionnez SAM-Account-Name pour l'attribut LDAP.
Étape 16. Entrez uid pour le type de revendication sortante.
Note: uid n'est pas une option de la liste déroulante ; il doit être entré manuellement.

Étape 17. Cliquez sur Terminer
Étape 18. La première règle est maintenant terminée. Cliquez à nouveau sur Ajouter une règle.
Étape 19. Sélectionnez Envoyer des revendications à l'aide d'une règle personnalisée.
Étape 20. Entrez un nom de règle de revendication.
Étape 21. Dans le champ Règle personnalisée, collez ce texte :
c : [Type == "http://schemas.microsoft.com/ws/2008/06/identity/revendications/windowsnomcompte »]
=> problème(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/clbuts/nameidentifier », Émetteur = c.Émetteur, Émetteur d'origine = c.Émetteur d'origine, Valeur = c.Valeur, TypeValeur = c.TypeValeur, Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format »] = « urn : oasis:names:tc:SAML:2.0:nameid-format:transient », Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier »] = "http://ADFS_FEDERATION_SERVICE_NAME/com/adfs/service/trust« , Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier »] = « CUCM_ENTITY_ID »);
Étape 22. Assurez-vous que vous modifiez les valeurs appropriées pour AD_FS_SERVICE_NAME et CUCM_ENTITY_ID.
Note: Si vous n'êtes pas sûr du nom du service AD FS, vous pouvez suivre les étapes pour le trouver. L'ID d'entité CUCM peut être extrait de la première ligne du fichier de métadonnées CUCM. Il existe un entityID sur la première ligne du fichier qui ressemble à ceci, entityID="1cucm1052.sckiewer.lab« , vous devez entrer la valeur soulignée dans la section appropriée de la règle de revendication.

Étape 23. Cliquez sur Terminer
Étape 24. Click OK
Note: Des règles de demande sont nécessaires pour tout serveur de collaboration unifiée sur lequel vous avez l'intention d'utiliser SSO.
Terminer L'Activation SSO Sur CUCM Et Exécuter Le Test SSO
Étape 1. Maintenant que le serveur AD FS est entièrement configuré, vous pouvez revenir à CUCM.
Étape 2. Nous avons quitté la page de configuration finale :

Étape 3. Sélectionnez l'utilisateur final dont le rôle Standard CCM Super Users est sélectionné et cliquez sur Exécuter le test SSO...
Étape 4. Assurez-vous que votre navigateur autorise les fenêtres contextuelles et entrez vos informations d'identification dans l'invite.

Étape 5. Cliquez sur Fermer dans la fenêtre contextuelle, puis sur Terminer.
Étape 6. Après un bref redémarrage des applications Web, SSO est activé.
Dépannage
Définir les journaux SSO à déboguer
Pour définir les journaux SSO sur debug, vous devez exécuter cette commande dans l'interface de ligne de commande de CUCM : set samltrace level debug
Les journaux SSO peuvent être téléchargés à partir de RTMT. Le nom du jeu de journaux est Cisco SSO.
Rechercher le nom du service de fédération
Pour rechercher le nom du service de fédération, cliquez sur Démarrer et recherchez Gestion AD FS 2.0.
· cliquez sur Modifier les propriétés du service de fédération...
· Dans l'onglet Général, recherchez le nom du service de fédération
Nom De Service De Certificat Et De Fédération Sans Dotet
Si vous recevez ce message d'erreur dans l'assistant de configuration AD FS, vous devez créer un nouveau certificat.
Le certificat sélectionné ne peut pas être utilisé pour déterminer le nom du service de fédération, car le certificat sélectionné a un nom de sujet infini (court-nommé) (par exemple, pkinane). Sélectionnez un autre certificat sans nom de sujet incomplet (nom court) (par exemple, fs.pkinane.com), puis réessayez.
Étape 1. Cliquez sur Démarrer et recherchez iis puis ouvrez le Gestionnaire des services Internet (IIS)

Étape 2. Cliquez sur le nom de votre serveur

Étape 3. Cliquez sur Certificats de serveur

Étape 4. Cliquez sur Créer un certificat auto-signé

Étape 5. Entrez le nom de l'alias de votre certificat

Le temps est désynchronisé entre CUCM et les serveurs IDP
Si vous recevez cette erreur lorsque vous exécutez le test SSO de CUCM, vous devez configurer Windows Server pour qu'il utilise le ou les mêmes serveurs NTP que CUCM.
Réponse SAML non valide. Cela peut être dû au fait que le temps est désynchronisé entre les serveurs Cisco Unified Communications Manager et IDP. Vérifiez la configuration NTP sur les deux serveurs. Exécutez « utils ntp status » à partir de l'interface de ligne de commande pour vérifier cet état sur Cisco Unified Communications Manager.
Une fois que les serveurs NTP appropriés sont spécifiés sur Windows Server, vous devez effectuer un autre test SSO et voir si le problème persiste. Dans certains cas, il est nécessaire de biaiser la période de validité de l'affirmation. Plus de détails sur ce processus ici.
Informations connexes