Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer l'ouverture de session simple (SSO) dans Cisco Unified Communications Manager (CUCM).
Cisco recommande que vous ayez la connaissance des thèmes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Référez-vous à la configuration de simple se connectent dans CUCM.
Guide de déploiement SAML SSO pour des applications de Cisco Unified Communications, version 11.5(1).
RFC 6596 SAML.
Aucune procédure de vérification n'est disponible pour cette configuration.
Utilisant des modules d'extension dans Notepad++
Installez ces modules d'extension :
Notepad++ Plugin -> MIME Tools--SAML DECODE
Notepad++ Plugin -> XML Tools -> Pretty Print(XML only – with line breaks)
Dans des logs SSO recherchez la chaîne « authentication.SAMLAuthenticator - réponse SAML est : : » qui contient la réponse encodée.
Utilisez ce module d'extension ou le SAML en ligne décodent afin d'obtenir la réponse XML. La réponse peut être ajustée dans un format accessible en lecture avec le module d'extension installé par utilisation de joli impression.
Dans la version plus nouvelle de la réponse CUCM SAML est dans le format XML qui peut être trouvé en recherchant « SPACSUtils.getResponse : response=<samlp obtenu :
Xmlns de réponse : le samlp= « et impriment alors avec l'utilisation du module d'extension de joli impression.
Violoneur d'utilisation :
Cet utilitaire peut être utilisé pour obtenir le trafic en temps réel et pour le décoder. Voici le guide pour la même chose ; https://www.techrepublic.com/blog/software-engineer/using-fiddler-to-debug-http/.
Demande SAML :
ID="s24c2d07a125028bfffa7757ea85ab39462ae7751f" Version="2.0" IssueInstant="2017-07-15T11:48:26Z" Destination="https://win-91uhcn8tt3l.emeacucm.com/adfs/ls/" ForceAuthn="false" IsPassive="false" AssertionConsumerServiceIndex="0"> <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">cucmsso.emeacucm.com</saml:Issuer> <samlp:NameIDPolicy xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" SPNameQualifier="cucmsso.emeacucm.com" AllowCreate="true"/> </samlp:AuthnRequest>
Réponse SAML (décryptée) :
<samlp:Response ID="_53c5877a-0fff-4420-a929-1e94ce33120a" Version="2.0" IssueInstant="2017-07-01T16:50:59.105Z" Destination="https://cucmsso.emeacucm.com:8443/ssosp/saml/SSO/alias/cucmsso.emeacucm.com" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer> <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </samlp:Status> <Assertion ID="_0523022c-1e9e-473d-9914-6a93133ccfc7" IssueInstant="2017-07-01T16:50:59.104Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <Issuer>http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" /> <ds:Reference URI="#_0523022c-1e9e-473d-9914-6a93133ccfc7"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" /> <ds:DigestValue>9OvwrpJVeOQsDBNghwvkLIdnf3bc7aW82qmo7Zdm/Z4=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>VbWcKUwvwiNDhUg5AkdqSzQOmP0qs5OT2VT+u1LivWx7h9U8/plyhK3kJMUuxoG/HXPQJgVQaMOwNq/Paz7Vg2uGNFigA2AFQsKgGo9hAA4etfucIQlMmkeVg+ocvGY+8IzaNVfaUXSU5laN6zriTArxXwxCK0+thgRgQ8/46vm91Skq2Fa5Wt5uRPJ3F4eZPOEPdtKxOmUuHi3Q2pXTw4ywZ/y89xPfSixNQEmr10hpPAdyfPsIFGdNJJwWJV4WjNmfcAqClzaG8pB74e5EawLmwrfV3/i8QfR1DyU5yCCpxj02rgE6Wi/Ew/X/l6qSCzOZEpl7D8LwAn74KijO+Q==</ds:SignatureValue> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>MIIC5DCCAcygAwIBAgIQZLLskb6vppxCiYP8xOahQDANBgkqhkiG9w0BAQsFADAuMSwwKgYDVQQDEyNBREZTIFNpZ25pbmcgLSBXSU4ySzEyLnJrb3R1bGFrLmxhYjAeFw0xNTA2MjIxOTE2NDRaFw0xNjA2MjExOTE2NDRaMC4xLDAqBgNVBAMTI0FERlMgU2lnbmluZyAtIFdJTjJLMTIucmtvdHVsYWsubGFiMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApEe09jnZXEcEC7s1VJ7fMXAHPXj7jgOOcs9/Lzxrx4c68tePGItrEYnzW9vLe0Dj8OJET/Rd6LsKvuMQHfcGYqA+XugZyHBrpc18wlhSmMfvfa0jN0Qc0lf+a3j72xfI9+hLtsqSPSnMp9qby3qSiQutP3/ZyXRN/TnzYDEmzur2MA+GP7vdeVOFXlpENrRfaINzc8INqGRJ+1jZrm+vLFvX7YwIL6aOpmjaxcPoxDcjgEGMYO/TaoP3eXutX4FuJV5R9oAvbqD2F+73XrvP4e/wHi5aNrHrgiCnuBJTIxHwRGSoichdpZlvSB15v8DFaQSVAiEMPj1vP/4rMkacNQIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQA5uJZI0K1Xa40H3s5MAo1SG00bnn6+sG14eGIBe7BugZMw/FTgKd3VRsmlVuUWCabO9EgyfgdI1nYZCciyFhts4W9Y4BgTH0j4+VnEWiQg7dMqp2M5lykZWPS6vV2uD010sX5V0avyYi3Qr88vISCtniIZpl24c3TqTn/5j+H7LLRVI/ZU38Oa17wuSNPyed6/N4BfWhhCRZAdJgijapRG+JIBeoA1vNqN7bgFQMe3wJzSlLkTIoERWYgJGBciMPS3H9nkQlP2tGvmn0uwacWPglWR/LJG3VYoisFm/oliNUF1DONK7QYiDzIE+Ym+vzYgIDS7MT+ZQ3XwHg0Jxtr8</ds:X509Certificate> </ds:X509Data> </KeyInfo> </ds:Signature> <Subject> <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="http:///win-91uhcn8tt3l.emeacucm.com/com/adfs/services/trust" SPNameQualifier="cucmsso.emeacucm.com">CHANDMIS\chandmis</NameID> <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <SubjectConfirmationData InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" NotOnOrAfter="2017-07-01T16:55:59.105Z" Recipient="https://cucmsso.emeacucm.com:8443/ssosp/saml/SSO/alias/cucmsso.emeacucm.com" /> </SubjectConfirmation> </Subject> <Conditions NotBefore="2017-07-01T16:50:59.102Z" NotOnOrAfter="2017-07-01T17:50:59.102Z"> <AudienceRestriction> <Audience>ccucmsso.emeacucm.com</Audience> </AudienceRestriction> </Conditions> <AttributeStatement> <Attribute Name="uid"> <AttributeValue>chandmis</AttributeValue> </Attribute> </AttributeStatement> <AuthnStatement AuthnInstant="2017-07-01T16:50:59.052Z" SessionIndex="_0523022c-1e9e-473d-9914-6a93133ccfc7"> <AuthnContext> <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef> </AuthnContext> </AuthnStatement> </Assertion>
</samlp : Response>
Version="2.0" :- The version of SAML being used. InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" :- The id for SAML Request to which this reponse corresponds to samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success :- Status Code of SAML reponse. In this case it is Success. <Issuer>http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer> :- IdP FQDN SPNameQualifier="cucmsso.emeacucm.com" :- Service Provider(CUCM) FQDN Conditions NotBefore="2017-07-01T16:50:59.102Z" NotOnOrAfter="2017-07-01T17:50:59.102Z :- Time range for which the session will be valid. <AttributeValue>chandmis</AttributeValue> :- UserID entered during the login
Au cas où la réponse SAML serait chiffrée alors vous ne pourrez pas voir les informations complètes et devez désactiver le cryptage sur la détection d'intrusion et la prévention (IDP) pour voir la réponse complète. Le détail de certificat utilisé pour le cryptage est sous « ds:X509IssuerSerial » de la réponse SAML.
Commandes CLI :
débronchement de sso d'utils
Cette commande désactive les deux (OpenAM SSO ou SAML SSO) l'authentification basée. Listes de ces commandes les applications Web pour lesquelles SSO est activé. Entrez oui une fois incité afin de désactiver SSO pour l'application spécifiée. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie. SSO peut également être désactivé de l'interface utilisateur graphique (GUI) et sélectionner le bouton de débronchement, sous la particularité SSO dans la gestion de Cisco Unity Connection.
Syntaxe de commande
débronchement de sso d'utils
état de sso d'utils
Cette commande affiche l'état et les paramètres de configuration de SAML SSO. Il aide à vérifier l'état SSO, activé ou désactivé, sur chaque noeud individuellement.
Syntaxe de commande
état de sso d'utils
enable de sso d'utils
Cette commande renvoie un message texte informationnel qui incite que l'administrateur peut activer la caractéristique SSO seulement du GUI. OpenAM a basé SSO et SSO basé par SAML ne peut pas être activé avec cette commande.
Syntaxe de commande
enable de sso d'utils
enable reprise-URL de sso d'utils
Ce commandes enables le mode URL SSO de reprise. Il vérifie également que cet URL fonctionne avec succès. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.
Syntaxe de commande
enable reprise-URL de sso d'utils
débronchement reprise-URL de sso d'utils
Cette commande désactive le mode URL SSO de reprise sur ce noeud. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.
Syntaxe de commande
débronchement reprise-URL de sso d'utils
placez le <trace-level> de niveau de samltrace
Ce commandes enables que la particularité trace et les suivi-niveaux qui peuvent localiser n'importe quelle erreur, mettent au point, les informations, avertissement ou mortel. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.
Syntaxe de commande
placez le <trace-level> de niveau de samltrace
affichez le niveau de samltrace
Cette commande affiche le niveau de log réglé pour SAML SSO. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.
Syntaxe de commande
affichez le niveau de samltrace
Les suivis à regarder au moment de dépannent :
Des logs SSO ne sont pas placés au niveau d'analyse détaillé par défaut.
Premier passage que le niveau réglé de samltrace de commande mettent au point afin de placer les niveaux de log pour mettre au point, reproduisent la question et le collecter ces ensemble de logs.
De RTMT :
Cisco Tomcat
Sécurité de Cisco Tomcat
Cisco SSO
Valeur incorrecte pour seul Indentifier (UID) :
Ce devrait exactement être UID et si ce n'est pas le cas, CUCM ne peut pas comprendre cela.
Règle incorrecte de demande ou stratégie fausse de NameID :
Très probablement aucun nom d'utilisateur et mot de passe n'est prompt dans ce scénario.
Il n'y aura pas aucune assertion valide dans la réponse SAML et code d'état sera comme :
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/>
Vérifiez que la règle de demande est correctement définie sur le côté d'IDP.
Différence au cas où/nom défini dans la règle de demande :
Le FQDN CUCM dans la règle de demande devrait exactement s'assortir avec celle spécifiée sur le serveur réel.
Vous pouvez comparer l'entrée dans le fichier de xml de métadonnées de l'IDP à celui sur CUCM par la batterie de show network d'exécution/détails etho de show network commandez sur le CLI de CUCM.
Temps incorrect :
Le NTP entre CUCM et IDP a une différence plus grande que les 3 secondes données dans le guide de déploiement.
Signataire d'assertion non fait confiance :
Au moment de l'échange des métadonnées entre l'IDP et le CUCM (fournisseur de services).
Des Certificats sont permutés et s'il y a n'importe quelle révocation de certificat faite, des métadonnées devraient être permutées de nouveau.
Configuration des DN Misconfiguration/No
Les DN est l'exigence fondamentale pour que SSO fonctionne. Exécutez le détail d'etho de show network, des utils diagnostiquent le test sur le CLI afin de vérifier DNS/Domain est configuré correctement.
Le certificat de signature ADFS renouvelle et ajoute deux CERT de signature aux réponses d'IDP de nouveau à CUCM (fournisseur de services) vous fait ainsi s'exécuter dans le défaut. Vous devez supprimer le certificat de signature qui n'est pas exigé
Quand vous naviguez vers la page SAML SSO CCM de l'admin vous êtes incité avec « les serveurs suivants avez manqué pendant la tentative d'obtenir l'état SSO » suivi du nom du noeud.
SSO basé par CTI échoue en définissant le serveur CUCM comme adresse IP dans CCMAdmin//System/Sever.