Dépannez SSO dans Cisco Unified Communications Manager

Introduction

Ce document décrit comment configurer l'ouverture de session simple (SSO) dans Cisco Unified Communications Manager (CUCM).

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance des thèmes :

• CUCM
• Services de fédération de Répertoire actif (ADFS)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• CUCM 11.5.1.13900-52 (11.5.1SU2)
• ADFS 2.0. 

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Référez-vous à la configuration de simple se connectent dans CUCM.

• https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-version-105/118770-configure-cucm-00.html
• https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html

Guide de déploiement SAML SSO pour des applications de Cisco Unified Communications, version 11.5(1).

• https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/SAML_SSO_deployment_guide/11_5_1/CUCM_BK_S12EF288_00_saml-sso-deployment-guide--1151.html

RFC 6596 SAML.

• https://tools.ietf.org/html/rfc6595

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Écoulement de procédure de connexion dans SSO

Décoder la réponse SAML

Utilisant des modules d'extension dans Notepad++ 

    

    Installez ces modules d'extension :

    Notepad++ Plugin -> MIME Tools--SAML DECODE

    Notepad++ Plugin -> XML Tools -> Pretty Print(XML only – with line breaks) 

Dans des logs SSO recherchez la chaîne « authentication.SAMLAuthenticator - réponse SAML est : :  » qui contient la réponse encodée.

Utilisez ce module d'extension ou le SAML en ligne décodent afin d'obtenir la réponse XML. La réponse peut être ajustée dans un format accessible en lecture avec le module d'extension installé par utilisation de joli impression.

Dans la version plus nouvelle de la réponse CUCM SAML est dans le format XML qui peut être trouvé en recherchant « SPACSUtils.getResponse : response=<samlp obtenu :

Xmlns de réponse : le samlp= « et impriment alors avec l'utilisation du module d'extension de joli impression.

    

Violoneur d'utilisation :

    

Cet utilitaire peut être utilisé pour obtenir le trafic en temps réel et pour le décoder. Voici le guide pour la même chose ; https://www.techrepublic.com/blog/software-engineer/using-fiddler-to-debug-http/.

Demande SAML :

ID="s24c2d07a125028bfffa7757ea85ab39462ae7751f" Version="2.0" IssueInstant="2017-07-15T11:48:26Z" Destination="https://win-91uhcn8tt3l.emeacucm.com/adfs/ls/" ForceAuthn="false" IsPassive="false" AssertionConsumerServiceIndex="0">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">cucmsso.emeacucm.com</saml:Issuer>
<samlp:NameIDPolicy xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" SPNameQualifier="cucmsso.emeacucm.com" AllowCreate="true"/>
</samlp:AuthnRequest>
 

Réponse SAML (décryptée) :

<samlp:Response ID="_53c5877a-0fff-4420-a929-1e94ce33120a" Version="2.0" IssueInstant="2017-07-01T16:50:59.105Z" Destination="https://cucmsso.emeacucm.com:8443/ssosp/saml/SSO/alias/cucmsso.emeacucm.com" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<Assertion ID="_0523022c-1e9e-473d-9914-6a93133ccfc7" IssueInstant="2017-07-01T16:50:59.104Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_0523022c-1e9e-473d-9914-6a93133ccfc7">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>9OvwrpJVeOQsDBNghwvkLIdnf3bc7aW82qmo7Zdm/Z4=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>VbWcKUwvwiNDhUg5AkdqSzQOmP0qs5OT2VT+u1LivWx7h9U8/plyhK3kJMUuxoG/HXPQJgVQaMOwNq/Paz7Vg2uGNFigA2AFQsKgGo9hAA4etfucIQlMmkeVg+ocvGY+8IzaNVfaUXSU5laN6zriTArxXwxCK0+thgRgQ8/46vm91Skq2Fa5Wt5uRPJ3F4eZPOEPdtKxOmUuHi3Q2pXTw4ywZ/y89xPfSixNQEmr10hpPAdyfPsIFGdNJJwWJV4WjNmfcAqClzaG8pB74e5EawLmwrfV3/i8QfR1DyU5yCCpxj02rgE6Wi/Ew/X/l6qSCzOZEpl7D8LwAn74KijO+Q==</ds:SignatureValue>
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIC5DCCAcygAwIBAgIQZLLskb6vppxCiYP8xOahQDANBgkqhkiG9w0BAQsFADAuMSwwKgYDVQQDEyNBREZTIFNpZ25pbmcgLSBXSU4ySzEyLnJrb3R1bGFrLmxhYjAeFw0xNTA2MjIxOTE2NDRaFw0xNjA2MjExOTE2NDRaMC4xLDAqBgNVBAMTI0FERlMgU2lnbmluZyAtIFdJTjJLMTIucmtvdHVsYWsubGFiMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApEe09jnZXEcEC7s1VJ7fMXAHPXj7jgOOcs9/Lzxrx4c68tePGItrEYnzW9vLe0Dj8OJET/Rd6LsKvuMQHfcGYqA+XugZyHBrpc18wlhSmMfvfa0jN0Qc0lf+a3j72xfI9+hLtsqSPSnMp9qby3qSiQutP3/ZyXRN/TnzYDEmzur2MA+GP7vdeVOFXlpENrRfaINzc8INqGRJ+1jZrm+vLFvX7YwIL6aOpmjaxcPoxDcjgEGMYO/TaoP3eXutX4FuJV5R9oAvbqD2F+73XrvP4e/wHi5aNrHrgiCnuBJTIxHwRGSoichdpZlvSB15v8DFaQSVAiEMPj1vP/4rMkacNQIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQA5uJZI0K1Xa40H3s5MAo1SG00bnn6+sG14eGIBe7BugZMw/FTgKd3VRsmlVuUWCabO9EgyfgdI1nYZCciyFhts4W9Y4BgTH0j4+VnEWiQg7dMqp2M5lykZWPS6vV2uD010sX5V0avyYi3Qr88vISCtniIZpl24c3TqTn/5j+H7LLRVI/ZU38Oa17wuSNPyed6/N4BfWhhCRZAdJgijapRG+JIBeoA1vNqN7bgFQMe3wJzSlLkTIoERWYgJGBciMPS3H9nkQlP2tGvmn0uwacWPglWR/LJG3VYoisFm/oliNUF1DONK7QYiDzIE+Ym+vzYgIDS7MT+ZQ3XwHg0Jxtr8</ds:X509Certificate>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="http:///win-91uhcn8tt3l.emeacucm.com/com/adfs/services/trust" SPNameQualifier="cucmsso.emeacucm.com">CHANDMIS\chandmis</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" NotOnOrAfter="2017-07-01T16:55:59.105Z" Recipient="https://cucmsso.emeacucm.com:8443/ssosp/saml/SSO/alias/cucmsso.emeacucm.com" />
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2017-07-01T16:50:59.102Z" NotOnOrAfter="2017-07-01T17:50:59.102Z">
<AudienceRestriction>
<Audience>ccucmsso.emeacucm.com</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="uid">
<AttributeValue>chandmis</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2017-07-01T16:50:59.052Z" SessionIndex="_0523022c-1e9e-473d-9914-6a93133ccfc7">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>

</samlp : Response>

  

Version="2.0"  :- The version of SAML being used.
 
InResponseTo="s24c2d07a125028bfffa7757ea85ab39462ae7751f" :- The id for SAML Request to which this reponse corresponds to
 
samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success :- Status Code of SAML reponse. In this case it is Success.
 
<Issuer>http://win-91uhcn8tt3l.emeacucm.com/adfs/services/trust</Issuer> :- IdP FQDN
 
SPNameQualifier="cucmsso.emeacucm.com" :- Service Provider(CUCM) FQDN
 
Conditions NotBefore="2017-07-01T16:50:59.102Z" NotOnOrAfter="2017-07-01T17:50:59.102Z :- Time range for which the session will be valid.
 
<AttributeValue>chandmis</AttributeValue> :- UserID entered during the login

Au cas où la réponse SAML serait chiffrée alors vous ne pourrez pas voir les informations complètes et devez désactiver le cryptage sur la détection d'intrusion et la prévention (IDP) pour voir la réponse complète. Le détail de certificat utilisé pour le cryptage est sous « ds:X509IssuerSerial » de la réponse SAML.

Logs et commandes CLI

Commandes CLI :

débronchement de sso d'utils

Cette commande désactive les deux (OpenAM SSO ou SAML SSO) l'authentification basée. Listes de ces commandes les applications Web pour lesquelles SSO est activé. Entrez oui une fois incité afin de désactiver SSO pour l'application spécifiée. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie. SSO peut également être désactivé de l'interface utilisateur graphique (GUI) et sélectionner le bouton de débronchement, sous la particularité SSO dans la gestion de Cisco Unity Connection.

Syntaxe de commande
débronchement de sso d'utils

état de sso d'utils

Cette commande affiche l'état et les paramètres de configuration de SAML SSO. Il aide à vérifier l'état SSO, activé ou désactivé, sur chaque noeud individuellement.

Syntaxe de commande
état de sso d'utils

enable de sso d'utils

Cette commande renvoie un message texte informationnel qui incite que l'administrateur peut activer la caractéristique SSO seulement du GUI. OpenAM a basé SSO et SSO basé par SAML ne peut pas être activé avec cette commande.

Syntaxe de commande
enable de sso d'utils

enable reprise-URL de sso d'utils

Ce commandes enables le mode URL SSO de reprise. Il vérifie également que cet URL fonctionne avec succès. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.

Syntaxe de commande
enable reprise-URL de sso d'utils

débronchement reprise-URL de sso d'utils

Cette commande désactive le mode URL SSO de reprise sur ce noeud. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.

Syntaxe de commande
débronchement reprise-URL de sso d'utils

placez le <trace-level> de niveau de samltrace

Ce commandes enables que la particularité trace et les suivi-niveaux qui peuvent localiser n'importe quelle erreur, mettent au point, les informations, avertissement ou mortel. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.

Syntaxe de commande
placez le <trace-level> de niveau de samltrace

affichez le niveau de samltrace

Cette commande affiche le niveau de log réglé pour SAML SSO. Vous devez exécuter cette commande sur les les deux les Noeuds si dans une batterie.

Syntaxe de commande
affichez le niveau de samltrace

Les suivis à regarder au moment de dépannent :

Des logs SSO ne sont pas placés au niveau d'analyse détaillé par défaut.

Premier passage que le niveau réglé de samltrace de commande mettent au point afin de placer les niveaux de log pour mettre au point, reproduisent la question et le collecter ces ensemble de logs.

De RTMT :

Cisco Tomcat

Sécurité de Cisco Tomcat

Cisco SSO

Problèmes courants

Valeur incorrecte pour seul Indentifier (UID) :

Ce devrait exactement être UID et si ce n'est pas le cas, CUCM ne peut pas comprendre cela.

Règle incorrecte de demande ou stratégie fausse de NameID :

Très probablement aucun nom d'utilisateur et mot de passe n'est prompt dans ce scénario.

Il n'y aura pas aucune assertion valide dans la réponse SAML et code d'état sera comme :

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/>

Vérifiez que la règle de demande est correctement définie sur le côté d'IDP.

Différence au cas où/nom défini dans la règle de demande :

Le FQDN CUCM dans la règle de demande devrait exactement s'assortir avec celle spécifiée sur le serveur réel.

Vous pouvez comparer l'entrée dans le fichier de xml de métadonnées de l'IDP à celui sur CUCM par la batterie de show network d'exécution/détails etho de show network commandez sur le CLI de CUCM.

Temps incorrect :

Le NTP entre CUCM et IDP a une différence plus grande que les 3 secondes données dans le guide de déploiement.

Signataire d'assertion non fait confiance :

Au moment de l'échange des métadonnées entre l'IDP et le CUCM (fournisseur de services).

Des Certificats sont permutés et s'il y a n'importe quelle révocation de certificat faite, des métadonnées devraient être permutées de nouveau.

Configuration des DN Misconfiguration/No

Les DN est l'exigence fondamentale pour que SSO fonctionne. Exécutez le détail d'etho de show network, des utils diagnostiquent le test sur le CLI afin de vérifier DNS/Domain est configuré correctement.

Défauts connus

CSCuj66703

Le certificat de signature ADFS renouvelle et ajoute deux CERT de signature aux réponses d'IDP de nouveau à CUCM (fournisseur de services) vous fait ainsi s'exécuter dans le défaut. Vous devez supprimer le certificat de signature qui n'est pas exigé

CSCvf63462

Quand vous naviguez vers la page SAML SSO CCM de l'admin vous êtes incité avec « les serveurs suivants avez manqué pendant la tentative d'obtenir l'état SSO » suivi du nom du noeud.

CSCvf96778

SSO basé par CTI échoue en définissant le serveur CUCM comme adresse IP dans CCMAdmin//System/Sever.