Cisco 識別 サービスのための識別プロバイダを SSO を有効に するために設定して下さい

概要

この資料は単一サインを有効に するために識別プロバイダ（IdP）の設定を説明したものです（SSO）。

Cisco IDS 配置 モ デル

製品	導入
UCCX	共存する
PCCE	CUIC （Cisco Unified Intelligence Center）および LD （ライブ データ）の共存
UCCE	2k 配備のための CUIC および LD の共存。 4k および 12k 配備のためにスタンドアロン。

前提条件

要件

次の項目に関する知識が推奨されます。

• Cisco Unified Contact Center Express （UCCX）リリース 11.5 か Cisco Unified Contact Center Enterprise リリース 11.5 または適当 Packaged Contact Center Enterprise （PCCE）リリース 11.5。
• Microsoft Active Directory - Windows サーバでインストールされる AD
• アクティブ ディレクトリ フェデレーション サービス（ADFS）バージョン 2.0/3.0

注: この資料はスクリーン ショットおよび例で設定が Cisco Identitify サービス（UCCX/UCCE/PCCE）および IdP に関して類似したであるどんなに、UCCX を参照します。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

背景説明

SSO の概要

Cisco は異なる形式の多くのサービスを提供し、エンドユーザとして Ciscoサービス全員へのアクセスがあるために、一度だけ署名したいと思います。 Ciscoアプリケーションおよびデバイスの何れかからの連絡先をしてもらえば、すべての可能性のあるソース（社内 ディレクトリ、Outlook、モービル連絡先、Facebook、LinkedIn、履歴）に見つけ、管理したいと思いそれらをアベイラビリティを知るために必要とされる情報を、そして提供するそれらに連絡する公有地および一貫した方法てこ入れします方法で推奨。

SAML （セキュリティ アサーション マークアップ言語）を使用して SSO はこの要件を目標とします。 SAML/SSO はユーザ向けに機能を IdP と呼ばれるよくあるアカウントおよび許可識別によって多数のデバイスおよびサービスにログイン する提供します。 SSO 機能性は UCCX/UCCE/PCCE 11.5 で前に利用できます。

設定の概要 

設定

認証種別

Cisco 識別 サービス サービス支援は識別プロバイダのベースの認証だけを形成します。

ADFS の Enable 形式認証にどのように学ぶためにこれらの MSDN 記事を参照して下さい。

• ADFS に関しては 2.0 は Microsoft この TechNet 技術情報を参照します、
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• ADFS に関しては 3.0 は参照します Microsoft この TechNet 技術情報を参照します、
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

注: Cisco 識別 サービス 11.6 は以上に形式両方ベースの認証および Kerberos認証をサポートします。 

トラスト 関係を確立して下さい 

アプリケーションを onboarding および単一サインオンのために Cisco 識別 サービスを利用することを可能にするために識別 サービス（ID）と IdP 間のメタデータ交換を行って下さい。

• SAML SP メタデータ ファイル sp.xml をダウンロードして下さい。
• 設定から、識別 サービス管理ページの ID 信頼タブにナビゲート して下さい。

• URL からの IdP から IdP メタデータ ファイルをダウンロードして下さい:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• 識別 サービス管理ページで、前の手順でダウンロードされた識別プロバイダ メタデータ ファイルをアップロードして下さい。

これは ID メタデータをアップロードし、クレーム ルールを追加する手順です。 これは ADFS 2.0 および 3.0 のために説明されています

ADFS 2.0:

ステップ 1： ADFS サーバ ナビゲートではへの、開始 > すべての Programs > Administrative ツール > イメージに示すように AD FS 2.0 管理、:

ステップ 2.イメージに示すように AD FS 2.0 を > トラスト 関係 > 依存パーティ信頼、追加するナビゲート:

ステップ 3.イメージに示すように、ファイルから依存パーティについてのオプション データのインポートを選択して下さい。

ステップ 4.依存パーティ信頼の確立を完了して下さい。

ステップ 5 依存パーティ信頼のプロパティでは、識別子タブを選択して下さい。

ステップ 6. sp.xml がダウンロードされる Cisco 識別サーバの完全修飾ホスト名として識別子を設定して下さい。

ステップ 7.依存当事者信頼を右クリックし、次に要求ルールを『Edit』 をクリック して下さい。

第 2 がカスタム クレーム ルールによってある間、LDAP （Lightweight Directory Access Protocol）属性が一致するとき 1 つあります 2 つのクレーム ルールを追加する必要があります。

uid -この属性はアプリケーションのために必要認証済みユーザを識別するためにです。
user_principal -この属性は Cisco 識別 サービスによって認証済みユーザのレルムを識別するために必要とされます。

クレーム ルール 1:

型のルール NameID を名指しで追加して下さい（クレームとして LDAP 属性の値を送信 して下さい）:

• アクティブ ディレクトリとして属性ストアを選択して下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい（小文字）。
• ログインにアプリケーションのユーザー向けに USERID として使用し、uid にマップしなければそれをならない LDAP 属性を選択して下さい（小文字）

SamAccountName がユーザー ID として使用されるべきである場合の設定例:

• uid に LDAP 属性 SamAccountName をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。

UPN がユーザー ID として使用されなければならない場合の設定例-

• uid に LDAP 属性ユーザー プリンシパル名をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。
               

PhoneNumber がユーザー ID として使用されなければならない場合の設定例-

• uid に LDAP 属性 telephoneNumber をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。

注: CUCM LDAP 同期化のユーザー ID のために設定される LDAP 属性が設定されるものが ADFS クレーム ルール NameID の uid のための LDAP 属性で一致する必要があるようにする必要があります。 これは Cisco Unified Intelligence Center （CUIC）および Finesse ログオンの適切な機能のためです。

注: この資料は UCCX の NameID、FQDN、先祖などのようなクレーム ルール名前および表示名の制約を参照します Custom フィールドおよび名前がさまざまなセクションで適当かもしれないけれども命名規則の最良の方法のための一貫性をおよび維持するために要求ルール名前およびディスプレイ標準すっかり保存されます。

クレーム ルール 2:

• 名前の型カスタム クレーム ルールの別のルールを Cisco 識別サーバの完全修飾ホスト名（FQDN）として追加し、このルール テキストを追加して下さい。
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Cisco 識別サーバ クラスタでは、すべての完全修飾ホスト名はプライマリ Cisco 識別サーバかパブリッシャ ノードのそれです。
  
  
• < Cisco 識別 Server> の完全修飾ホスト名は Cisco 識別サーバ FQDN によって大文字/小文字の区別があります、そうそれ完全に一致します（を含むケース）。
  
  
• <ADFS サーバ FQDN> は ADFS FQDN と大文字/小文字の区別があります、そうそれ完全に一致します（を含むケース）。

ステップ 8.次に依存当事者信頼を右クリックし、イメージに示すように Advanced タブを、『Properties』 をクリック し、選択して下さい。

ステップ 9.イメージに示すように、SHA-1 としてセキュアハッシュアルゴリズム （SHA）を選択して下さい。

ステップ 10. 『OK』 をクリック して下さい。

ADFS 3.0:

ステップ 1： ADFS サーバ ナビゲートではへの、サーバマネージャ > ツール > AD FS 管理。

ステップ 2. AD へのナビゲート FS > トラスト 関係 > 依存パーティ信頼。

ステップ 3.ファイルから依存パーティについてのオプション データのインポートを選択して下さい。

ステップ 4.依存パーティ信頼の確立を完了して下さい。

ステップ 5 依存パーティ信頼のプロパティでは、識別子タブを選択して下さい。

ステップ 6. sp.xml がダウンロードされる Cisco 識別サーバの完全修飾ホスト名として識別子を設定して下さい。

ステップ 7.依存当事者信頼を右クリックし、次に要求ルールを『Edit』 をクリック して下さい。

第 2 がカスタム クレーム ルールによってある間、LDAP （Lightweight Directory Access Protocol）属性が一致するとき 1 つあります 2 つのクレーム ルールを追加する必要があります。

uid -この属性はアプリケーションのために必要認証済みユーザを識別するためにです。
user_principal -この属性は Cisco 識別 サービスによって認証済みユーザのレルムを識別するために必要とされます。

クレーム ルール 1:

型のルール NameID を名指しで追加して下さい（クレームとして LDAP 属性の値を送信 して下さい）:

• アクティブ ディレクトリとして属性ストアを選択して下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい（小文字）。
• ログインにアプリケーションのユーザー向けに USERID として使用し、uid にマップしなければそれをならない LDAP 属性を選択して下さい（小文字）

SamAccountName がユーザー ID として使用されるべきである場合の設定例:

• uid に LDAP 属性 SamAccountName をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。

UPN がユーザー ID として使用されなければならない場合の設定例-

• uid に LDAP 属性ユーザー プリンシパル名をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。
               

PhoneNumber がユーザー ID として使用されなければならない場合の設定例-

• uid に LDAP 属性 telephoneNumber をマップして下さい。
• user_principal に LDAP 属性ユーザー プリンシパル名をマップして下さい。

注: CUCM LDAP 同期化のユーザー ID のために設定される LDAP 属性が設定されるものが ADFS クレーム ルール NameID の uid のための LDAP 属性で一致する必要があるようにする必要があります。 これは Cisco Unified Intelligence Center （CUIC）および Finesse ログオンの適切な機能のためです。

注: この資料は UCCX の NameID、FQDN、先祖などのようなクレーム ルール名前および表示名の制約を参照します Custom フィールドおよび名前がさまざまなセクションで適当かもしれないけれども命名規則の最良の方法のための一貫性をおよび維持するために要求ルール名前およびディスプレイ標準すっかり保存されます。

クレーム ルール 2:

• 名前の型カスタム クレーム ルールの別のルールを Cisco 識別サーバの完全修飾ホスト名（FQDN）として追加し、このルール テキストを追加して下さい。
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• Cisco 識別サーバ クラスタでは、すべての完全修飾ホスト名はプライマリ Cisco 識別サーバかパブリッシャ ノードのそれです。
  
  
• < Cisco 識別 Server> の完全修飾ホスト名は Cisco 識別サーバ FQDN によって大文字/小文字の区別があります、そうそれ完全に一致します（を含むケース）。
  
  
• <ADFS サーバ FQDN> は ADFS FQDN と大文字/小文字の区別があります、そうそれ完全に一致します（を含むケース）。

ステップ 8.次に依存当事者信頼を右クリックし、Advanced タブを『Properties』 をクリック し、選択して下さい

ステップ 9.イメージに示すように、SHA-1 としてセキュアハッシュアルゴリズム （SHA）を選択して下さい。

ステップ 10 - 『OK』 をクリック して下さい。

これらのステップはステップ 10.の後で必須です。

イネーブルは署名しました依存パーティ信頼（Cisco 識別 サービス）のための SAML アサーションに

ステップ 1. Open ウィンドウ powershell に powershell を『Start』 をクリック し、入力して下さい。

ステップ 2.コマンドの実行によって powershell に ADFS コマンドレットを追加しますPSSnapin Microsoft.Adfs.Powershell を追加して下さい。

ステップ 3 -実行して下さいコマンドを、セットADFSRelyingPartyTrust - TargetName <Relying パーティ信頼 Name>

- SamlResponseSignature 「MessageAndAssertion」。

          

注: コマンドレットがロールおよび機能の追加の一部分として既にインストールされているので ADFS 3.0 を使用している場合ステップ 2 は必要ではないかもしれません。

注: 信頼によって Identifier> が大文字/小文字の区別がある、そうそれ <Relying パーティは設定されるものがと依存パーティ信託財産の識別子タブで一致します（を含むケース）。

注: Cisco 識別 サービス サービス支援 SHA-1。 SAML 要求に署名するための依存パーティ信頼使用 SHA-1 は応答で同じをすると ADFS が期待し。

連合させた ADFS のマルチドメイン設定に関しては

ADFS 特にドメインが他の設定されたドメインのユーザ向けに連合させた SAML 認証を提供する ADFS のフェデレーションの場合には、これらは必要の追加設定です。

これのためにセクションは、条件プライマリ ADFS ID で使用しなければならない ADFS を示します。 条件によって連合させる ADFS はユーザが ID によってログインにこうして許可されるそれらの ADFS をですプライマリ ADFS 示し。

連合させた ADFS 設定

連合させた ADFS のそれぞれでは、依存パーティ信頼はプライマリ ADFS および前のセクションに言及されているように設定されるクレーム ルールのために作成されなければなりません。

プライマリ ADFS 設定

ID のための依存パーティ信頼から離れたプライマリ ADFS に関しては、次の設定は必要です。

フェデレーションが設定されなければならない ADFS のクレーム プロバイダ信頼を追加して下さい。

クレーム プロバイダ信頼では、ようにパススルーするか、または着信クレーム ルールを設定されますオプションでパススルーですべてのクレーム値フィルタリングして下さい

• Name ID
• 着信クレームの種類ドロップするボックスからネーム ID を選択して下さい
• NameID 着信形式のためのオプションとしてトランジェントを選択して下さい
• uid          : これはカスタム クレームです。 着信クレームの種類ドロップするボックスで値 uid を入力して下さい。
• user_principal: これはカスタム クレームです。 着信クレームの種類ドロップするボックスで user_principal 値を入力して下さい。

ID のための依存パーティ信頼では、パスをしかし追加するか、またはオプションとしてパススルーの着信クレーム ルールをすべてのクレーム値フィルタリングして下さい。

• NameIDFromSubdomain
• 着信クレームの種類ドロップするボックスからネーム ID を選択して下さい
• NameID 着信形式のためのオプションとしてトランジェントを選択して下さい
• uid          : これはカスタム クレームです。 着信クレームの種類ドロップするボックスの値 uid を入力して下さい
• user_principal: これはカスタム クレームです。 着信クレームの種類ドロップするボックスで user_principal 値を入力して下さい

Kerberos認証（統合された Windows 認証）

統合された Windows 認証（IWA）はユーザの認証にメカニズムを提供しますが、信任状がネットワークに送信されないようにしません。 統合された Windows 認証を有効に するときセキュアな方法の互いにアイデンティティを証明するために非セキュア ネットワークに通信するノードを可能にするために、チケットに基づいてはたらきます。 それはユーザがウィンドウ マシンにログオンの後でドメインにログインすることを可能にします。 

注: Kerberos認証は 11.6 からだけ以上にサポートされます。

既にドメインコントローラ（DC）ログイン されて いる ドメイン ユーザは信任状を再入力する必要なしにシームレスにログイン された SSO クライアントです。  非ドメイン ユーザ向けに、IWA は NTLM （新 技術 ローカル エリア ネットワーク マネージャに戻って）下り、ログイン ダイアログは現われます。 IWA 認証を用いる ID のための修飾は ADFS 3.0 に対するケルベロスで行われます。

ステップ 1. setspn コマンドを用いる http サービスを登録する管理者ユーザとして Open ウィンドウ コマンド プロンプトおよび実行 

             setspn - s http/<ADFS url> <domain> \ <account name>。

ステップ 2.イントラネット サイトのための Disable 形式認証および Enable ウィンドウ認証。 > プライマリ認証 > グローバルな設定 > Edit は ADFS 管理 > 認証 ポリシーに行きます。 イントラネットの下で、Windows 認証だけチェックされるようにして下さい（形式認証のチェックを外して下さい）。

IWA サポートの Microsoftインターネットエクスプローラのための設定

ステップ 1： [Internet Explorer] > [Advanced] > [Enable Integrated Windows Authentication] がオンになっていることを確認します。

ステップ 2. ADFS URL はセキュリティ >Intranet ゾーン > サイト（winadcom215.uccx116.com は ADFS URL です）に追加される必要があります

ステップ 3 イントラネット サイト用にログイン クレデンシャルを使用するために、[Internet Exporer] > [security] > [Local Intranet] > [Security Settings] > [User Authentication - Logon] が設定されていることを確認します。

IWA サポートの Mozilla Firefox に必要な設定

ステップ 1. Firefox におけるコンフィギュレーションモードに入力して下さい。 Firefox を開き、アドレス バーに「about: URL の構成。 危険性文を受け入れて下さい。

ステップ 2. ntlm を捜し、network.automatic ntlm auth.allow 非 fqdn を有効に し、本当に設定して下さい。

ステップ 3.ドメインか明示的に ADFS URL に network.automatic-ntlm-auth.trusted-uris を設定して下さい。

IWA サポートの Google Chrome に必要な設定

Windows の Google Chrome は Internet Explorer 設定を使用します、従って下位範疇ネットワークおよびインターネット内のインターネット オプションの下で Internet Explorer のツール >Internet オプション ダイアログの内で、またはコントロール パネルから設定して下さい。

SSO のための設定を促進して下さい:

この資料は Cisco 識別 サービスと統合ために SSO のための IdP 側面からの設定を説明したものです。 更に詳しい情報については、個々のプロダクト コンフィギュレーション ガイドを参照して下さい:

• UCCX
• UCCE
• PCCE

確認

この手順が依存パーティ信頼が Cisco IDS と IDP の間できちんと確立されたかどうか確認するのに使用されています。

• broswer から URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx を入力して下さいか。loginToRp=<IDS_FQDN>
• ADFS は Login 形式を提供します。 これは上記の設定が右のとき利用可能です。
• 認証の成功で、ブラウザは https://<IDS_FQDN>:8553/ids/saml/response にリダイレクトする必要があり、チェックリスト ページは提示されます。

注: 信頼はきちんと確立されること確認プロセスの一部がないエラー確認であるが、ので出るチェックリスト ページ。

トラブルシューティング

のために参照します- https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html を解決して下さい