Cisco 識別サービスのための識別プロバイダを SSO を有効に するために設定して下さい
目次
概要
このドキュメントでは、シングル サインオン(SSO)を有効にする ID プロバイダー(IdP)の設定について説明します。
Cisco IdS 導入モデル
| 製品 | 導入 |
| UCCX | 共存 |
| PCCE | CUIC(Cisco Unified Intelligence Center)と LD(ライブ データ)の共存 |
| UCCE | 2k 導入用の CUIC と LD の共存。 4k および 12k 導入用のスタンドアロン。 |
前提条件
要件
次の項目に関する知識が推奨されます。
- Cisco Unified Contact Center Express(UCCX)リリース 11.5、Cisco Unified Contact Center Enterprise リリース 11.5、Packaged Contact Center Enterprise(PCCE)リリース 11.5(該当する場合)
- Microsoft Active Directory:Windows サーバ上にインストールされた AD
- Active Directory フェデレーション サービス(ADFS)バージョン 2.0/3.0
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
SSO の概要
シスコはさまざまな形式の多くのサービスを提供しています。エンド ユーザであれば、1 回のサインインですべてのシスコ サービスにアクセスできるようになることを望みます。 任意のシスコ アプリケーションやデバイスから連絡先を見つけて管理する場合、使用可能なすべてのソース(企業ディレクトリ、Outlook、携帯電話の連絡先、Facebook、LinkedIn、履歴)を活用し、連絡先の応答可能性や最善の連絡方法を知るのに必要な情報を、共通の一貫した方法で表示させます。
SAML(セキュリティ アサーション マークアップ言語)を使用する SSO は、この要求に応えるためのものです。 SAML/SSO は、共通アカウントと、IdP と呼ばれる認証 ID を使用して、複数のデバイスとサービスにログインできます。 この SSO 機能は、UCCX/UCCE/PCCE 11.5 以降で使用できます。
設定の概要
設定
認証タイプ
Cisco アイデンティティ サービス サポートは、ID プロバイダーのフォーム ベースの認証のみをサポートします。
ADFS でフォーム認証を有効にする方法については、これらの MSDN の記事を参照してください。
- ADFS 2.0 の場合は、次の Microsoft TechNet 記事を参照してください。
http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx - ADFS 3.0 の場合は、次の Microsoft TechNet 記事を参照してください。
https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/
信頼関係の確立
シングル サインオンに Cisco アイデンティティ サービスを使用するようにアプリケーションをオンボーディングおよび有効化するには、アイデンティティ サービス(IdS)と IdP の間でメタデータ交換を実行します。
- SAML SP メタデータ ファイル sp.xml をダウンロードします。
- [Settings] から、[Identity Service Management] ページの [IdS Trust] タブに移動します。
- 次の URL の IdP から IdP メタデータ ファイルをダウンロードします。
https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml
- [Identity Service Management] ページで、前の手順でダウンロードした ID プロバイダー メタデータ ファイルをアップロードします。
これは IdS メタデータをアップロードしてクレーム ルールを追加する手順です。 ADFS 2.0 と 3.0 の場合の概要は、次のとおりです。
ADFS 2.0:
ステップ 1: ADFS サーバで、図で示すとおり、[Start] > [All Programs] > [Administrative Tools] > [AD FS 2.0 Management] と移動します。
手順 2:図で示すとおり、[Add AD FS 2.0] > [Trust Relationship] > [Relying Party Trust] と移動します。
手順 3:図で示すとおり、[Import data about the relying party from a file] オプションを選択します。
手順 4:信頼当事者証明の設定を実行します。
ステップ 5 信頼当事者証明のプロパティで、[Identifier] タブを選択します。
ステップ 6:ID を、sp.xml のダウンロード元となる Cisco アイデンティティ サーバの完全修飾ホスト名として設定します。
ステップ 7:信頼当事者証明を右クリックして、それから [Edit Claim Rules] をクリックします。
2 つのクレーム ルールを追加する必要があります。1 つは LDAP(Lightweight Directory Access Protocol)属性が一致する場合のルールであり、もう 1 つはカスタム クレーム ルールによるルールです。
uid:この属性は、アプリケーションが認証されたユーザを識別するために必要です。
user_principal:この属性は、Cisco アイデンティティ サービスが認証ユーザのレルムを識別するために必要です。
クレーム ルール 1:
ルールをタイプの名前 NameID で追加します(LDAP 属性の値をクレームとして送信します)。
- Active Directory として属性ストアを選択します。
- LDAP 属性 User-Principal-Name を user_principal(小文字)にマップします。
- アプリケーション ユーザがログインして uid(小文字)にマップする userId として使用する必要がある LDAP 属性を選択します。
SamAccountName をユーザ ID として使用する場合の設定例を以下に示します。
- LDAP 属性 SamAccountName を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
UPN をユーザ ID として使用する必要がある場合の設定例を以下に示します。
- LDAP 属性 User-Principal-Name を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
PhoneNumber をユーザ ID として使用する必要がある場合の設定例を以下に示します。
- LDAP 属性 telephoneNumber を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
クレーム ルール 2:
- 別のルール(タイプがカスタム クレーム ルールであり、Cisco アイデンティティ サーバの完全修飾ホスト名(FQDN)である名前を持つ)を追加し、そのルール テキストを追加します。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
- Cisco アイデンティティ サーバ クラスタでは、すべての完全修飾ホスト名は、Cisco アイデンティティ サーバのプライマリ ノードまたはパブリッシャ ノードのホスト名です。
- Cisco アイデンティティ サーバの完全修飾ホスト名は大文字と小文字を区別するので、大文字小文字の違いを含め、Cisco アイデンティティ サーバの FQDN と厳密に突き合わされます。
- ADFS サーバの FQDN は大文字と小文字を区別するので、大文字小文字の違いを含め、ADFS FQDN と厳密に突き合わされます。
手順 8:図で示すとおり、[Relying Party Trust] を右クリックし、[Properties] をクリックして、[Advanced] タブを選択します。
手順 9:図で示すとおり、セキュア ハッシュ アルゴリズム(SHA)を SHA-1 として選択します。
ステップ 10:[OK] をクリックします。
ADFS 3.0:
ステップ 1: ADFS サーバで、[Server Manager] > [Tools] > [AD FS Management] と移動します。
手順 2:[AD FS] > [Trust Relationship] > [Relying Party Trust] と移動します。
手順 3:[Import data about the relying party from a file] オプションを選択します。
手順 4:信頼当事者証明の設定を実行します。
ステップ 5 信頼当事者証明のプロパティで、[Identifier] タブを選択します。
ステップ 6:ID を、sp.xml のダウンロード元となる Cisco アイデンティティ サーバの完全修飾ホスト名として設定します。
ステップ 7:信頼当事者証明を右クリックして、それから [Edit Claim Rules] をクリックします。
2 つのクレーム ルールを追加する必要があります。1 つは LDAP(Lightweight Directory Access Protocol)属性が一致する場合のルールであり、もう 1 つはカスタム クレーム ルールによるルールです。
uid:この属性は、アプリケーションが認証されたユーザを識別するために必要です。
user_principal:この属性は、Cisco アイデンティティ サービスが認証ユーザのレルムを識別するために必要です。
クレーム ルール 1:
ルールをタイプの名前 NameID で追加します(LDAP 属性の値をクレームとして送信します)。
- Active Directory として属性ストアを選択します。
- LDAP 属性 User-Principal-Name を user_principal(小文字)にマップします。
- アプリケーション ユーザがログインして uid(小文字)にマップする userId として使用する必要がある LDAP 属性を選択します。
SamAccountName をユーザ ID として使用する場合の設定例を以下に示します。
- LDAP 属性 SamAccountName を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
UPN をユーザ ID として使用する必要がある場合の設定例を以下に示します。
- LDAP 属性 User-Principal-Name を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
PhoneNumber をユーザ ID として使用する必要がある場合の設定例を以下に示します。
- LDAP 属性 telephoneNumber を uid にマップします。
- LDAP 属性 User-Principal-Name を user_principal にマップします。
クレーム ルール 2:
- 別のルール(タイプがカスタム クレーム ルールであり、Cisco アイデンティティ サーバの完全修飾ホスト名(FQDN)である名前を持つ)を追加し、そのルール テキストを追加します。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
- Cisco アイデンティティ サーバ クラスタでは、すべての完全修飾ホスト名は、Cisco アイデンティティ サーバのプライマリ ノードまたはパブリッシャ ノードのホスト名です。
- Cisco アイデンティティ サーバの完全修飾ホスト名は大文字と小文字を区別するので、大文字小文字の違いを含め、Cisco アイデンティティ サーバの FQDN と厳密に突き合わされます。
- ADFS サーバの FQDN は大文字と小文字を区別するので、大文字小文字の違いを含め、ADFS FQDN と厳密に突き合わされます。
手順 8:[Relying Party Trust] を右クリックし、[Properties] をクリックして、[Advanced] タブを選択します。
手順 9:図で示すとおり、セキュア ハッシュ アルゴリズム(SHA)を SHA-1 として選択します。
ステップ 10:[OK] をクリックします。
これらは、手順 10 の後に必ず行うべき手順です。
信頼当事者証明(Cisco アイデンティティ サービス)の署名入り SAML アサーションの有効化
ステップ 1:[Start] をクリックし、powershell と入力して Windows PowerShell を開きます。
手順 2:ADFS コマンドレットを PowerShell に、Add-PSSnapin Microsoft.Adfs.Powershell コマンドを実行して追加します。
ステップ 3 -実行して下さいコマンドを、セットADFSRelyingPartyTrust - TargetName <Relying パーティ信頼 Name>
--SamlResponseSignature "MessageAndAssertion"
フェデレーテッド ADFS のマルチドメイン設定の場合
ADFS でのフェデレーションの場合、特定のドメイン内の ADFS が、他の構成済みドメインのユーザに対してフェデレーテッド SAML 認証を提供する場合には、追加の構成が必要になります。
このセクションでは、「プライマリ ADFS」という用語は、IdS で使用する必要がある ADFS を指しています。 「フェデレーテッド ADFS」という用語は、そのユーザに IdS を介したログインが許可される(つまりプライマリ ADFS である)ADFS を示しています。
フェデレーテッド ADFS 設定
各フェデレーテッド ADFS では、前のセクションで説明したとおり、信頼当事者証明をプライマリ ADFS に対して作成し、クレーム ルールを設定する必要があります。
プライマリ ADFS 設定
プライマリ ADFS の場合、IdS の信頼当事者証明とは別に、次の追加設定が必要です。
クレーム プロバイダー証明を、フェデレーションを設定する必要がある ADFS とともに追加します。
クレーム プロバイダー証明で、[Pass through or Filter an Incoming Claim] ルールが、オプションとして [Pass through all claim values] を指定して設定されていることを確認します。
- Name ID
- [Incoming Claim Type] ドロップ ボックスから NameID を選択します。
- 着信 NameID 形式のオプションとして [Transient] を選択します。
- uid : これはカスタム クレームです。 値 uid を [Incoming Claim Type] ドロップ ボックスに入力します。
- user_principal: これはカスタム クレームです。 値 user_principal を [Incoming Claim Type] ドロップ ボックスに入力します。
IdS の信頼当事者証明で、[Pass though or Filter an Incoming Claim] ルールを、[Pass through all claim values] をオプションで指定して追加します。
- NameIDFromSubdomain
- [Incoming Claim Type] ドロップ ボックスから NameID を選択します。
- 着信 NameID 形式のオプションとして [Transient] を選択します。
- uid : これはカスタム クレームです。 値 uid を [Incoming Claim Type] ドロップ ボックスに入力します。
- user_principal: これはカスタム クレームです。 値 user_principal を [Incoming Claim Type] ドロップ ボックスに入力します。
ADFS 自動証明書 ロールオーバー
- 自動証明書 ロールオーバーは UCCX 11.6.1 のために以上にサポートされます。 [これは UCCX 11.6 でバージョン 14.0] へ Fedlet ライブラリをアップグレードすることによって固定されました
Kerberos 認証(統合された Windows 認証)
統合された Windows 認証(IWA)はユーザの認証にメカニズムを提供しますが、資格情報がネットワークに送信されないようにしません。 統合された Windows 認証を有効に するときセキュアな方法の互いにアイデンティティを証明するために非セキュア ネットワークに通信するノードを可能にするために、チケットに基づいてはたらきます。 それはユーザがウィンドウ マシンにログオンの後でドメインにログインすることを可能にします。
ドメイン コントローラー(DC)に既に記録 されて いるドメイン ユーザーは資格情報を再入力する必要なしで SSO クライアントにシームレスに 記録 されます。 非ドメイン ユーザ向けに、IWA は NTLM (新技術ローカルエリア・ネットワーク マネージャに戻って)下り、ログイン ダイアログは現われます。 IWA 認証を用いる ID のための修飾は ADFS 3.0 に対する Kerberos で行われます。
ステップ 1. setspn コマンドの http サービスを登録する管理者ユーザとして Open ウィンドウ コマンド プロンプトおよび実行
setspn - s http/<ADFS url> <domain> \ <account name>。
ステップ 2.イントラネット サイトのための Disable 形式認証および Enable ウィンドウ認証。 > プライマリ認証 > グローバル設定 > Edit は ADFS 管理 > 認証 ポリシーに行きます。 イントラネットの下で、Windows 認証だけチェックされるようにして下さい(形式認証のチェックを外して下さい)。
IWA サポートの Microsoftインターネットエクスプローラのための設定
ステップ 1: [Internet Explorer] > [Advanced] > [Enable Integrated Windows Authentication] がオンになっていることを確認します。
ステップ 2. ADFS URL はセキュリティ >Intranet ゾーン > サイト(winadcom215.uccx116.com は ADFS URL です)に追加される必要があります
ステップ 3 イントラネット サイト用にログイン クレデンシャルを使用するために、[Internet Exporer] > [security] > [Local Intranet] > [Security Settings] > [User Authentication - Logon] が設定されていることを確認します。
IWA サポートの Mozilla Firefox に必要な設定
ステップ 1.設定に Firefox におけるモードを開始して下さい。 Firefox を開き、アドレス バーに「about: URL の構成。 危険性文を受け入れて下さい。
ステップ 2. ntlm を捜し、network.automatic ntlm auth.allow 非 fqdn を有効に し、本当に設定 して下さい。
ステップ 3.ドメインか明示的に ADFS URL に network.automatic-ntlm-auth.trusted-uris を設定 して下さい。
IWA サポートの Google Chrome に必要な設定
Windows の Google Chrome は Internet Explorer 設定を使用します、従って下位範疇ネットワークおよびインターネット内のインターネット オプションの下で Internet Explorer のツール >Internet オプション ダイアログの内で、またはコントロール パネルから設定して下さい。
SSO の詳細設定:
このドキュメントでは、Cisco アイデンティティ サービスと統合する SSO の設定について、IdP の面から説明しています。 詳細については、個々の製品のコンフィギュレーション ガイドを参照してください。
確認
この手順は、信頼当事者証明が Cisco IdS と IDP との間で正しく設定されているかどうかを判別するために使用します。
- ブラウザから、次の URL を入力します。https://<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
- ADFS はログイン フォームを提供します。 これは、上記の設定が正しいときに使用できます。
- 認証が成功するには、ブラウザが https://<IDS_FQDN>:8553/ids/saml/response にリダイレクトし、チェックリスト ページが表示される必要があります。
トラブルシューティング
のために参照します- https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html を解決して下さい
UCCX SSO バイパス/リカバリ URL
- Cisco Unified CCX 管理のための URL: https:// <IP_or_FQDN>/appadmin/recovery_login.htm
- Cisco Unified CCX サービサビリティのための URL: https:// <IP_or_FQDN>/uccxservice/recovery_login.htm
SSO を無効に すること
- GUI: CCX Administration への移動 > 単一 サインオン(SSO) > 無効
- CLI: authmode non_sso を設定 して下さい(このコマンドはパブのための SSO を無効に する必要があり、副高可用性の(HA)クラスタの場合には UCCX ノードでどちらかから実行することができます)
スクリーンショット
CCX 管理- Non_SSO:
CCX 管理-有効に なる SSO:
Finesse ログイン-非 SSO:
Finesse ログイン-有効に なる SSO:
CUIC - Non_SSO:
CUIC -有効に なる SSO:
フィードバック