Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez l'ouverture de session simple utilisant CUCM et AD FS 2.0 (Windows Server 2008 R2)

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (785.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (842.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:24 octobre 2019
ID du document:211302
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer l'ouverture de session simple utilisant Cisco Unified Communications gèrent (CUCM) et des services de fédération de Répertoire actif (AD FS) 2.0 (Windows Server 2008 R2).  Ces étapes ont été également utilisées sur les Windows Server 2016 avec l'AD FS 3.0 et elles fonctionnent là aussi bien.

    Contribué par Scott Kiewert, ingénieur TAC Cisco.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Gestionnaire de Cisco Unified Communications
    • Connaissance de base de l'AD FS

    Afin d'activer SSO dans votre environnement de travaux pratiques, vous avez besoin de cette configuration

    • Windows Server avec l'AD FS installé
    • CUCM avec le sync de LDAP configuré
    • Un utilisateur final avec le rôle de superutilisateurs CCM standard sélectionné

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Windows Server avec l'AD FS 2.0
    • CUCM 10.5.2

    Téléchargez et installez l'AD FS 2.0 sur vos Windows Server

    Étape 1. Naviguez vers https://www.microsoft.com/en-us/download/details.aspx?id=10909 et le clic continuent.

    Étape 2.  Dans la fenêtre contextuelle, veillez-vous pour sélectionner le téléchargement approprié basé sur vos Windows Server.

    Étape 3. Déplacez le fichier téléchargé à vos Windows Server.

    Étape 4. Procédez à l'installation :

    Étape 5. Une fois incité, serveur choisi de fédération :

    Étape 6.  Quelques dépendances peuvent être installées automatiquement et vous êtes incité à cliquer sur Finish.

    Maintenant que vous avez l'AD FS 2.0 installé sur votre serveur, vous devez ajouter une certaine configuration.

    Configurez l'AD FS 2.0 sur vos Windows Server

    Étape 1. La fenêtre FS 2.0 d'AD devrait s'être ouverte après que l'installer, cependant, vous pouvez le trouver en cliquant sur le début et en recherchant la Gestion FS 2.0 d'AD.

    Étape 2. Une fois que vous avez la fenêtre FS d'AD ouverte, assistant choisi de configuration du serveur de fédération FS 2.0 d'AD.

    Étape 3.  Ensuite, le clic créent un nouveau service de fédération.

    Étape 4. Pour un environnement de travaux pratiques, le serveur autonome de fédération est suffisant.

    Étape 5. Ensuite, vous êtes invité à sélectionner un certificat que les utilisations de serveur.  Ceci si l'automatique le remplit tant que le serveur a un certificat déjà.

    Étape 6. Si vous avez une base de données existante FS d'AD sur le serveur, vous devez l'enlever pour continuer.

    Étape 7. En conclusion, vous êtes sur un écran récapitulatif où vous pouvez juste cliquer sur Next.

      

    Importez les métadonnées d'IDP à CUCM/à téléchargement les métadonnées CUCM

    Étape 1. Téléchargez les métadonnées de votre serveur FS d'AD en naviguant vers l'URL suivant :  https://hostname/federationmetadata/2007-06/federationmetadata.xml

    Étape 2. Naviguez vers la gestion de Cisco Unified CM > le système > l'ouverture de session simple SAML

    Étape 3. Enable SAML SSO de clic

    Étape 4. Vous pouvez recevoir un avertissement au sujet des connexions de serveur Web devant être remis à l'état initial, simplement hit continuez

    Étape 5. Ensuite, CUCM vous instruit télécharger le fichier de métadonnées de votre IDP.  Dans ce scénario, votre serveur FS d'AD est l'IDP, et nous avons téléchargé les métadonnées dans l'étape 1 ci-dessus, ainsi cliquez sur Next.

    Étape 6. Vous êtes invité à importer le fichier.

    Étape 7. Le clic parcourent > sélectionnent le .xml de l'étape 1 > des métadonnées d'IDP d'importation de clic.

    Étape 8. Vous devriez recevoir un message que l'importation était réussie :

    Étape 9. Cliquez sur Next

    Étape 10. Maintenant que vous avez les métadonnées d'IDP importées dans CUCM, vous devez importer les métadonnées de CUCM dans votre IDP.

    Étape 11. Cliquez sur Download le fichier de métadonnées de confiance

    Étape 12. Cliquez sur Next

    Étape 13. Déplacez le fichier .zip qui a été téléchargé dans l'étape 12 à vos Windows Server et extrayez le contenu à un répertoire.

    Importez CUCM Metatdata au serveur FS 2.0 d'AD et créez les règles de demande

    Étape 1. En ce moment, retournez à votre serveur FS d'AD et ouvrez la fenêtre de Gestion FS 2.0 d'AD en cliquant sur le début et en recherchant la Gestion FS 2.0 d'AD.

    Étape 2. Clic requis : Ajoutez un interlocuteur comptant de confiance (note : si vous ne voyez pas ceci, vous pouvez devoir fermer la fenêtre et ouvert elle sauvegardent.  Cette option ne révélera pas si la fenêtre a resté ouvert puisque l'assistant de serveur de fédération terminé).

    Étape 3. Une fois que vous avez l'assistant comptant de confiance d'interlocuteur d'ajouter ouvert, cliquez sur le début.

    Étape 4. Ici, vous devez importer les fichiers .xml que vous avez extraits dans l'étape 13, ainsi des données choisies d'importation au sujet de l'interlocuteur comptant à partir d'un fichier et parcourez au répertoire contenant les fichiers, sélectionnez le .xml pour votre éditeur.

    Remarque: Suivez les mêmes étapes ci-dessus pour n'importe quel serveur unifié de Collaboration que vous voulez utiliser SSO en fonction.

    Étape 5. Cliquez sur Next

    Étape 6. Éditez le nom d'affichage à celui que vous voudriez alors cliquiez sur Next.

    Étape 7. Autorisation choisie tous les utilisateurs d'accéder à cet interlocuteur comptant et de cliquer sur Next

    Étape 8. Cliquez sur Next une fois de plus

    Étape 9. Sur cet écran, veillez-vous pour avoir ouvert le dialogue de règles de demande d'éditer pour cette confiance comptante d'interlocuteur quand l'assistant se ferme vérifié, alors cliquent sur étroitement

    Étape 10. Vous devriez maintenant être amené à une fenêtre qui ressemble à ceci :

    Étape 11. Dans cette fenêtre, cliquez sur Add la règle.

    Étape 12. Pour le modèle de règle de demande, choisi envoyez les attributs de LDAP comme demandes et cliquez sur Next.

    Étape 13. Sur la page suivante, entrez dans NameID pour le nom de règle de demande

    Étape 14. Répertoire actif choisi pour la mémoire d'attribut

    Étape 15. Sam-Compte-nom choisi pour l'attribut de LDAP

    Étape 16. Entrez dans l'uid pour le type sortant de demande

    Remarque: l'uid n'est pas une option qui autofill ou révéler dans la liste déroulante

    Étape 17. Cliquez sur Finish

    Étape 18. Vous devriez maintenant voir votre règle, cependant, nous devrons ajouter une autre règle ainsi cliquez sur Add la règle de nouveau.

    Étape 19. Choisi envoyez les demandes utilisant une règle faite sur commande

    Étape 20. Écrivez un nom de règle de demande (ceci peut être quelque chose)

    Étape 21. Dans le domaine de règle faite sur commande, collez le texte suivant :

    c : [== « http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] de type
     question de => (type = « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", émetteur = c.Issuer, OriginalIssuer = c.OriginalIssuer, valeur = c.Value, ValueType = c.ValueType, Properties [« http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties [« http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = « http:// <AD_FS_SERVICE_NAME> /adfs/com/adfs/service/trust », Properties [« http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = « <CUCM_ENTITY_ID>") ;

    Étape 22. Veillez-vous pour modifier les deux blocs bleus des textes avec les valeurs appropriées.

    Remarque: Si vous n'êtes pas sûr au sujet du nom de service FS d'AD, allez aux commentaires de ce document apprendre comment idendtify le nom de service FS d'AD.

    Remarque: L'ID d'entité CUCM peut être tiré de la première ligne dans le fichier de métadonnées CUCM.  Vous verrez n'importe quoi de pareil : l'entityID= " cucm1251.sckiewer.lab" ainsi vous écririez juste la valeur soulignée dans la section appropriée de la règle de demande ci-dessus.

    Étape 23. Cliquez sur Finish

    Étape 24. Cliquez sur OK

    Remarque: Les règles de demande sont nécessaires pour n'importe quel serveur unifié de Collaboration que vous voulez utiliser SSO en fonction.

    Finissez d'activer SSO sur CUCM et exécutez le test SSO

    Étape 1. Maintenant que le serveur FS d'AD est saturé, vous pouvez retourner à CUCM.

    Étape 2. Vous devriez s'asseoir sur une page qui ressemble à ceci :

    Étape 3. Avancez et sélectionnez votre utilisateur final qui fait sélectionner le rôle de superutilisateurs CCM standard et cliquez sur Run le test SSO…

    Étape 4. Une fenêtre contextuelle devrait apparaître qui peut prendre environ 30 secondes pour charger, mais par la suite vous devriez être présenté avec un défi pour ouvrir une session.

    Étape 5. Entrez le mot de passe que vous avez configuré sur le serveur LDAP pour l'utilisateur sélectionné et vous devriez alors voir :

    Étape 6. La fin de clic sur la fenêtre contextuelle et terminent alors.

    SSO est maintenant configuré dans votre laboratoire.

    Dépannage

    Placez les logs SSO pour déboguer

    Pour placer SSO les logs pour vous déboguer doivent exécuter cette commande dans le CLI du CUCM : placez le débogage de niveau de samltrace

    Les logs SSO peuvent être téléchargés de RTMT. Le nom du positionnement de log est Cisco SSO.

    Trouver le nom de service de fédération

    Vous pouvez confirmer le nom de service de fédération en cliquant sur le début et en recherchant et en ouvrant la Gestion FS 2.0 d'AD.

    • Cliquez sur éditent en fonction le service Properties de fédération…
    • Tandis que sur l'onglet Général recherchez le nom de service de fédération

    Certificat Dotless quand Specifing le nom de service de fédération

    Si vous recevez le message d'erreur suivant tout en allant par l'assistant de configuration FS d'AD, vous devrez créer un nouveau certificat.

    « Le certificat sélectionné ne peut pas être utilisé pour déterminer le nom de service de fédération parce que le certificat sélectionné a un nom du sujet (court-nommé) dotless (par exemple, fabrikam). Sélectionnez un autre certificat sans nom du sujet (court-nommé) dotless (par exemple, fs.fabrikam.com), et puis l'essayez de nouveau. »

    Cliquez sur le début et recherchez les iis puis ouvrez le gestionnaire de l'Internet Information Services (IIS)

    Cliquez sur en fonction votre nom de serveur

    Cliquez sur en fonction les Certificats de serveur




    Cliquez sur créent en fonction le certificat Auto-signé



    Écrivez le nom que vous voulez pour le pseudonyme de votre certificat

    Le temps est hors de sync entre les serveurs CUCM et d'IDP

    Si vous recevez l'erreur répertoriée ci-dessous en essayant d'exécuter le test SSO de CUCM, vous pouvez devoir configurer les Windows Server pour utiliser les mêmes serveurs de NTP que le CUCM. Le processus pour faire ceci est couvert dans les commentaires de.

    « Réponse non valide SAML. Ceci peut sont provoqué par quand le temps est hors de sync entre Cisco Unified Communications Manager et les serveurs d'IDP. Veuillez vérifier la configuration de NTP sur les deux serveurs. Exécutez « l'état de ntp d'utils » du CLI pour vérifier cet état sur Cisco Unified Communications Manager. »

    Une fois que les Windows Server ont les serveurs de NTP vous ont spécifié devraient obtenir les métadonnées de l'IDP de nouveau et les télécharger au CUCM. Alors allez directement au test SSO et voyez si vous obtenez toujours la même erreur.

    TAC Authored

    Contribution d’experts de Cisco

    • Scott Kiewert
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous