シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
この資料は単一サインを有効に するために識別プロバイダ(IdP)の設定を説明したものです(SSO)。
Cisco IDS 配置 モ デル
製品 | 導入 |
UCCX | 共存する |
PCCE | CUIC (Cisco Unified Intelligence Center)および LD (ライブ データ)の共存 |
UCCE | 2k 配備のための CUIC および LD の共存。 4k および 12k 配備のためにスタンドアロン。 |
次の項目に関する知識が推奨されます。
注: この資料はスクリーン ショットおよび例で設定が Cisco Identitify サービス(UCCX/UCCE/PCCE)および IdP に関して類似したであるどんなに、UCCX を参照します。
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
Cisco は異なる形式の多くのサービスを提供し、エンドユーザとして Ciscoサービス全員へのアクセスがあるために、一度だけ署名したいと思います。 Ciscoアプリケーションおよびデバイスの何れかからの連絡先をしてもらえば、すべての可能性のあるソース(社内 ディレクトリ、Outlook、モービル連絡先、Facebook、LinkedIn、履歴)に見つけ、管理したいと思いそれらをアベイラビリティを知るために必要とされる情報を、そして提供するそれらに連絡する公有地および一貫した方法てこ入れします方法で推奨。
SAML (セキュリティ アサーション マークアップ言語)を使用して SSO はこの要件を目標とします。 SAML/SSO はユーザ向けに機能を IdP と呼ばれるよくあるアカウントおよび許可識別によって多数のデバイスおよびサービスにログイン する提供します。 SSO 機能性は UCCX/UCCE/PCCE 11.5 で前に利用できます。
Cisco 識別 サービス サービス支援は識別プロバイダのベースの認証だけを形成します。
ADFS の Enable 形式認証にどのように学ぶためにこれらの MSDN 記事を参照して下さい。
注: Cisco 識別 サービス 11.6 は以上に形式両方ベースの認証および Kerberos認証をサポートします。
アプリケーションを onboarding および単一サインオンのために Cisco 識別 サービスを利用することを可能にするために識別 サービス(ID)と IdP 間のメタデータ交換を行って下さい。
これは ID メタデータをアップロードし、クレーム ルールを追加する手順です。 これは ADFS 2.0 および 3.0 のために説明されています
ステップ 1: ADFS サーバ ナビゲートではへの、開始 > すべての Programs > Administrative ツール > イメージに示すように AD FS 2.0 管理、:
ステップ 2.イメージに示すように AD FS 2.0 を > トラスト 関係 > 依存パーティ信頼、追加するナビゲート:
ステップ 3.イメージに示すように、ファイルから依存パーティについてのオプション データのインポートを選択して下さい。
ステップ 4.依存パーティ信頼の確立を完了して下さい。
ステップ 5 依存パーティ信頼のプロパティでは、識別子タブを選択して下さい。
ステップ 6. sp.xml がダウンロードされる Cisco 識別サーバの完全修飾ホスト名として識別子を設定して下さい。
ステップ 7.依存当事者信頼を右クリックし、次に要求ルールを『Edit』 をクリック して下さい。
第 2 がカスタム クレーム ルールによってある間、LDAP (Lightweight Directory Access Protocol)属性が一致するとき 1 つあります 2 つのクレーム ルールを追加する必要があります。
uid -この属性はアプリケーションのために必要認証済みユーザを識別するためにです。
user_principal -この属性は Cisco 識別 サービスによって認証済みユーザのレルムを識別するために必要とされます。
クレーム ルール 1:
型のルール NameID を名指しで追加して下さい(クレームとして LDAP 属性の値を送信 して下さい):
SamAccountName がユーザー ID として使用されるべきである場合の設定例:
UPN がユーザー ID として使用されなければならない場合の設定例-
PhoneNumber がユーザー ID として使用されなければならない場合の設定例-
注: CUCM LDAP 同期化のユーザー ID のために設定される LDAP 属性が設定されるものが ADFS クレーム ルール NameID の uid のための LDAP 属性で一致する必要があるようにする必要があります。 これは Cisco Unified Intelligence Center (CUIC)および Finesse ログオンの適切な機能のためです。
注: この資料は UCCX の NameID、FQDN、先祖などのようなクレーム ルール名前および表示名の制約を参照します Custom フィールドおよび名前がさまざまなセクションで適当かもしれないけれども命名規則の最良の方法のための一貫性をおよび維持するために要求ルール名前およびディスプレイ標準すっかり保存されます。
クレーム ルール 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
ステップ 8.次に依存当事者信頼を右クリックし、イメージに示すように Advanced タブを、『Properties』 をクリック し、選択して下さい。
ステップ 9.イメージに示すように、SHA-1 としてセキュアハッシュアルゴリズム (SHA)を選択して下さい。
ステップ 10. 『OK』 をクリック して下さい。
ステップ 1: ADFS サーバ ナビゲートではへの、サーバマネージャ > ツール > AD FS 管理。
ステップ 2. AD へのナビゲート FS > トラスト 関係 > 依存パーティ信頼。
ステップ 3.ファイルから依存パーティについてのオプション データのインポートを選択して下さい。
ステップ 4.依存パーティ信頼の確立を完了して下さい。
ステップ 5 依存パーティ信頼のプロパティでは、識別子タブを選択して下さい。
ステップ 6. sp.xml がダウンロードされる Cisco 識別サーバの完全修飾ホスト名として識別子を設定して下さい。
ステップ 7.依存当事者信頼を右クリックし、次に要求ルールを『Edit』 をクリック して下さい。
第 2 がカスタム クレーム ルールによってある間、LDAP (Lightweight Directory Access Protocol)属性が一致するとき 1 つあります 2 つのクレーム ルールを追加する必要があります。
uid -この属性はアプリケーションのために必要認証済みユーザを識別するためにです。
user_principal -この属性は Cisco 識別 サービスによって認証済みユーザのレルムを識別するために必要とされます。
クレーム ルール 1:
型のルール NameID を名指しで追加して下さい(クレームとして LDAP 属性の値を送信 して下さい):
SamAccountName がユーザー ID として使用されるべきである場合の設定例:
UPN がユーザー ID として使用されなければならない場合の設定例-
PhoneNumber がユーザー ID として使用されなければならない場合の設定例-
注: CUCM LDAP 同期化のユーザー ID のために設定される LDAP 属性が設定されるものが ADFS クレーム ルール NameID の uid のための LDAP 属性で一致する必要があるようにする必要があります。 これは Cisco Unified Intelligence Center (CUIC)および Finesse ログオンの適切な機能のためです。
注: この資料は UCCX の NameID、FQDN、先祖などのようなクレーム ルール名前および表示名の制約を参照します Custom フィールドおよび名前がさまざまなセクションで適当かもしれないけれども命名規則の最良の方法のための一貫性をおよび維持するために要求ルール名前およびディスプレイ標準すっかり保存されます。
クレーム ルール 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
ステップ 8.次に依存当事者信頼を右クリックし、Advanced タブを『Properties』 をクリック し、選択して下さい
ステップ 9.イメージに示すように、SHA-1 としてセキュアハッシュアルゴリズム (SHA)を選択して下さい。
ステップ 10 - 『OK』 をクリック して下さい。
これらのステップはステップ 10.の後で必須です。
ステップ 1. Open ウィンドウ powershell に powershell を『Start』 をクリック し、入力して下さい。
ステップ 2.コマンドの実行によって powershell に ADFS コマンドレットを追加しますPSSnapin Microsoft.Adfs.Powershell を追加して下さい。
ステップ 3 -実行して下さいコマンドを、セットADFSRelyingPartyTrust - TargetName <Relying パーティ信頼 Name>
- SamlResponseSignature 「MessageAndAssertion」。
注: コマンドレットがロールおよび機能の追加の一部分として既にインストールされているので ADFS 3.0 を使用している場合ステップ 2 は必要ではないかもしれません。
注: 信頼によって Identifier> が大文字/小文字の区別がある、そうそれ <Relying パーティは設定されるものがと依存パーティ信託財産の識別子タブで一致します(を含むケース)。
注: Cisco 識別 サービス サービス支援 SHA-1。 SAML 要求に署名するための依存パーティ信頼使用 SHA-1 は応答で同じをすると ADFS が期待し。
ADFS 特にドメインが他の設定されたドメインのユーザ向けに連合させた SAML 認証を提供する ADFS のフェデレーションの場合には、これらは必要の追加設定です。
これのためにセクションは、条件プライマリ ADFS ID で使用しなければならない ADFS を示します。 条件によって連合させる ADFS はユーザが ID によってログインにこうして許可されるそれらの ADFS をですプライマリ ADFS 示し。
連合させた ADFS のそれぞれでは、依存パーティ信頼はプライマリ ADFS および前のセクションに言及されているように設定されるクレーム ルールのために作成されなければなりません。
ID のための依存パーティ信頼から離れたプライマリ ADFS に関しては、次の設定は必要です。
フェデレーションが設定されなければならない ADFS のクレーム プロバイダ信頼を追加して下さい。
クレーム プロバイダ信頼では、ようにパススルーするか、または着信クレーム ルールを設定されますオプションでパススルーですべてのクレーム値フィルタリングして下さい
ID のための依存パーティ信頼では、パスをしかし追加するか、またはオプションとしてパススルーの着信クレーム ルールをすべてのクレーム値フィルタリングして下さい。
統合された Windows 認証(IWA)はユーザの認証にメカニズムを提供しますが、信任状がネットワークに送信されないようにしません。 統合された Windows 認証を有効に するときセキュアな方法の互いにアイデンティティを証明するために非セキュア ネットワークに通信するノードを可能にするために、チケットに基づいてはたらきます。 それはユーザがウィンドウ マシンにログオンの後でドメインにログインすることを可能にします。
注: Kerberos認証は 11.6 からだけ以上にサポートされます。
既にドメインコントローラ(DC)ログイン されて いる ドメイン ユーザは信任状を再入力する必要なしにシームレスにログイン された SSO クライアントです。 非ドメイン ユーザ向けに、IWA は NTLM (新 技術 ローカル エリア ネットワーク マネージャに戻って)下り、ログイン ダイアログは現われます。 IWA 認証を用いる ID のための修飾は ADFS 3.0 に対するケルベロスで行われます。
ステップ 1. setspn コマンドを用いる http サービスを登録する管理者ユーザとして Open ウィンドウ コマンド プロンプトおよび実行
setspn - s http/<ADFS url> <domain> \ <account name>。
ステップ 2.イントラネット サイトのための Disable 形式認証および Enable ウィンドウ認証。 > プライマリ認証 > グローバルな設定 > Edit は ADFS 管理 > 認証 ポリシーに行きます。 イントラネットの下で、Windows 認証だけチェックされるようにして下さい(形式認証のチェックを外して下さい)。
ステップ 1: [Internet Explorer] > [Advanced] > [Enable Integrated Windows Authentication] がオンになっていることを確認します。
ステップ 2. ADFS URL はセキュリティ >Intranet ゾーン > サイト(winadcom215.uccx116.com は ADFS URL です)に追加される必要があります
ステップ 3 イントラネット サイト用にログイン クレデンシャルを使用するために、[Internet Exporer] > [security] > [Local Intranet] > [Security Settings] > [User Authentication - Logon] が設定されていることを確認します。
ステップ 1. Firefox におけるコンフィギュレーションモードに入力して下さい。 Firefox を開き、アドレス バーに「about: URL の構成。 危険性文を受け入れて下さい。
ステップ 2. ntlm を捜し、network.automatic ntlm auth.allow 非 fqdn を有効に し、本当に設定して下さい。
ステップ 3.ドメインか明示的に ADFS URL に network.automatic-ntlm-auth.trusted-uris を設定して下さい。
Windows の Google Chrome は Internet Explorer 設定を使用します、従って下位範疇ネットワークおよびインターネット内のインターネット オプションの下で Internet Explorer のツール >Internet オプション ダイアログの内で、またはコントロール パネルから設定して下さい。
この資料は Cisco 識別 サービスと統合ために SSO のための IdP 側面からの設定を説明したものです。 更に詳しい情報については、個々のプロダクト コンフィギュレーション ガイドを参照して下さい:
この手順が依存パーティ信頼が Cisco IDS と IDP の間できちんと確立されたかどうか確認するのに使用されています。
注: 信頼はきちんと確立されること確認プロセスの一部がないエラー確認であるが、ので出るチェックリスト ページ。
のために参照します- https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html を解決して下さい