Cisco 識別サービス(ID)のための特有の慣習識別プロバイダ(IdP)をインストールし、SSO を有効に するために設定して下さい
ダウンロード オプション
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
目次
概要
この資料は単一 サインを有効に するために OpenAM 識別プロバイダ(IdP)の設定を説明したものです(SSO)。
Cisco IdS 導入モデル
| 製品 | 導入 |
| UCCX | 共存 |
| PCCE | CUIC(Cisco Unified Intelligence Center)と LD(ライブ データ)の共存 |
| UCCE | 2k 導入用の CUIC と LD の共存。 4k および 12k 導入用のスタンドアロン。 |
前提条件
要件
次の項目に関する知識が推奨されます。
- Cisco Unified Contact Center Express (UCCX)リリース 11.6 か Cisco Unified Contact Center Enterprise リリース 11.6 または適当 Packaged Contact Center Enterprise (PCCE)リリース 11.6。
注: この資料は Cisco Identitify サービス(ID)および識別プロバイダ(IdP)に関して設定を参照します。 資料はスクリーン ショットおよび例で設定が Cisco Identitify サービス(UCCX/UCCE/PCCE)および IdP に関して類似したであるどんなに、UCCX を参照します。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
インストールするもの
特有の慣習は単一 サインオン機能を提供し、サイトがプライバシー維持方法の保護されたオンライン リソースの個々のアクセスのための知識のある許可デシジョンを作るようにするオープンソース プロジェクトです。 それはセキュリティ アサーション マークアップ言語(SAML2)をサポートします。 ID は SAML2 クライアント最小の特有の慣習か ID の変更をサポートしないと期待されてであり。 11.6 に、ID は特有の慣習 IdP を使用するために修飾されます。
注: この資料は SSO の修飾の一部として特有の慣習リリース 3.3.0 を参照します
システム要件
| コンポーネント | 詳細 |
| 特有の慣習バージョン | v3.3.0 |
| ダウンロード場所 | http://shibboleth.net/downloads/identity-provider/ |
| プラットフォームをインストールして下さい | Ubuntu 14.0.4 Java バージョン "1.8.0_121" |
| Lightweight Directory Access Protocol(LDAP)バージョン | Active Directory 2.0 |
| 特有の慣習 Webサーバ | Apache Tomcat/8.5.12 |
特有の慣習のインストールのために wiki を参照して下さい
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
設定
LDAP サーバと統合
LDAP サーバを特有の慣習と統合ために、フィールドは $shibboleth_home が(デフォルトは /opt/shibboleth-idp です)特有の慣習のインストールで使用されるインストール ディレクトリを示す $shibboleth_home/conf/ldap.properties でアップデートされる必要があります。
| フィールド | 期待値 | 説明 |
| idp.authn.LDAP.trustCertificates | $ {idp.home}で信頼固定をから、通常ローカル ファイル /credentials ロードするリソース idp.home が setenv.sh の JAVA_OPTS としてエクスポートされる環境変数であるところ |
/credentials/ldap-server.crt % {idp.home} |
| idp.authn.LDAP.trustStore | 信頼固定が含まれている /credentials % {idp.home}で Java keystore を、通常ローカル ファイル ロードするリソース | /credentials/ldap-server.truststore % {idp.home} |
| idp.authn.LDAP.returnAttributes | 戻る必要がある LDAPAttributes のカンマ区切りのリスト。 すべての属性を戻したいと思う場合「*」追加して下さい。 |
* |
| idp.authn.LDAP.baseDN | LDAP 検索が実行された必要がある baseDN | CN=users、DC=cisco、DC=com |
| idp.authn.LDAP.subtreeSearch | 回帰的に検索するためにかどうか | true |
| idp.authn.LDAP.userFilter | LDAP 検索フィルタ | (sAMAccountName= {ユーザ}) * |
| idp.authn.LDAP.bindDN | 検索が実行された時とバインドするべき DN | administrator@cisco.com |
| idp.authn.LDAP.bindDNCredential | 検索が実行された時とバインドするべきパスワード | |
| idp.authn.LDAP.dnFormat | 認証するためにユーザ DN を生成する書式指定文字列 | s@adfsserver.cisco.com %の (s@domainname %の) |
| idp.authn.LDAP.authenticator | 認証が LDAP に対してどのようにのための行われるか作業の流れを制御します | bindSearchAuthenticator |
| idp.authn.LDAP.ldapURL | LDAP ディレクトリのための接続 URI |
詳細については、参照して下さい:
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
サンプル コンフィギュレーション ファイル
# forresponses を待つミリ秒の時間
#idp.authn.LDAP.responseTimeout = PT3S
## SSL 設定、jvmTrust、certificateTrust、または keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
信頼できる証明書のパスに、セット上記の certificateTrust を使用している場合 ##
idp.authn.LDAP.trustCertificates = /credentials/ldap-server.crt % {idp.home}
truststore パスに、セット上記の keyStoreTrust を使用している場合 ##
idp.authn.LDAP.trustStore = /credentials/ldap-server.truststore % {idp.home}
認証の間の ## 戻り属性
#idp.authn.LDAP.returnAttributes = userPrincipalName、sAMAccountName
idp.authn.LDAP.returnAttributes = *
## DN 解決プロパティ ##
# anonSearchAuthenticator によって使用される検索 DN 解決 bindSearchAuthenticator
# forAD: CN=Users、DC=example、DC=org
idp.authn.LDAP.baseDN = CN=users、DC=cisco、DC=com
idp.authn.LDAP.subtreeSearch = 本当
*idp.authn.LDAP.userFilter = (sAMAccountName= {ユーザ}) *
#バインド検索設定
# forAD: idp.authn.LDAP.bindDN= adminuser@domain.com
idp.authn.LDAP.bindDN = administrator@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# directAuthenticator によって使用される形式 DN 解決 adAuthenticator
# forAD 使用 idp.authn.LDAP.dnFormat=% s@domain.com
#idp.authn.LDAP.dnFormat = s@adfsserver.cisco.com %の
# LDAP アトリビュート 設定は、アトリビュートresolver.xml を見ます
#注はレガシー V2 リゾルバ設定の使用に、thislikely 適用しません
idp.attribute.resolver.LDAP.ldapURL = % {idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = % {idp.authn.LDAP.baseDN: 未定義}
idp.attribute.resolver.LDAP.bindDN = % {idp.authn.LDAP.bindDN: 未定義}
idp.attribute.resolver.LDAP.bindDNCredential = % {idp.authn.LDAP.bindDNCredential: 未定義}
idp.attribute.resolver.LDAP.useStartTLS = % {idp.authn.LDAP.useStartTLS: 本当}
idp.attribute.resolver.LDAP.trustCertificates = % {idp.authn.LDAP.trustCertificates: 未定義}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
すべてのクライアントからの割り当て要求
すべてのクライアントからの要求が達するようにするために、「$shibboleth_home/conf/access-control.xml」の変更が必要となります
<entry key= " AccessByIPAddress " >
" AccessByIPAddress」<bean id= parent= " shibboleth.IPRangeAccessControl」
p: allowedRanges= " # {{'127.0.0.1/32'、'0.0.0.0/0'、'::1/128'、'10.78.93.103/32'}}」/>
</entry>
許容範囲に '0.0.0.0/0' を追加して下さい。 これはあらゆる IP 範囲からの要求を可能にします。
ID と統合べき設定特有の慣習
Secure Hash Algorithm(SHA) (SHA1)および ID の暗号化設定
ID を SHA1 にデフォルトで設定されるために設定するために「$shibboleth_home/conf/idp.properties」およびセットを開いて下さい:
idp.signing.config = shibboleth.SigningConfiguration.SHA1
この設定はまた変更することができます:
idp.encryption.optional = 本当
本当にそれを設定 した場合、暗号化キーを見つける失敗は要求失敗という結果に使用するために有効に されたとき、終りません。 これは(互換性のあるキーはピアのメタデータにと暗号化するためにあります)可能な限り暗号化するために暗号化を別の方法でスキップするためにすなわち、暗号化を「日和見主義に」するのを助けます。
uid を SAML 応答に user_principal 設定すれば
AttributeDefinition は「$shibboleth_home/conf/attribute-resolver.xml」に uid にに sAMAccountName および userPrincipalName をマップするためにおよび SAML 応答で user_principal 追加されます。
さらに、タグ <DataConnector> が付いている LDAP コネクタ設定を追加して下さい。
注: ReturnAttributes は値「sAMAccountName userPrincipalName と」規定 される必要があります。
注: LDAPProperty は Active Directory (AD)の統合がある場合必須です。
<AttributeDefinition xsi:type="Simple" id="ciscoUPN" sourceAttributeID="userPrincipalName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="user_principal" />
<AttributeEncoder xsi:type="SAML2String" name="user_principal" friendlyName="user_principal" />
</AttributeDefinition>
<AttributeDefinition xsi:type="Simple" id="ciscoUID" sourceAttributeID="sAMAccountName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="uid" />
<AttributeEncoder xsi:type="SAML2String" name="uid" friendlyName="uid" />
</AttributeDefinition>
<DataConnector id="LDAP" xsi:type="LDAPDirectory"
ldapURL="ldap://adfsserver.cisco.com"
baseDN="CN=users,DC=cisco,DC=com"
principal="administrator@cisco.com"
principalCredential="<cred>">
<FilterTemplate>
<![CDATA[
%{idp.attribute.resolver.LDAP.searchFilter}
]]>
</FilterTemplate>
<ReturnAttributes>sAMAccountName userPrincipalName</ReturnAttributes>
<LDAPProperty name="java.naming.referral" value="follow"/>
</DataConnector>
統合して下さい「$shibboleth_home/conf/attribute-filter.xml」の変更を
<PolicyRequirementRule xsi:type="ANY" />
<AttributeRule attributeID="ciscoUID">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="ciscoUPN">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUPN'} }" />
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUID'} }" />
IdP メタデータ
IdP メタデータはフォルダ「$shibboleth_home/metadata」で利用できます。 idp-metadata.xml ファイルは Application Programming Interface (API; アプリケーション プログラミング インターフェイス)によって ID にアップロードすることができます
https://<idshost>:<idsport>/ids/v1/config/idpmetadata を置いて下さい
idsport がない一方、設定可能なエンティティおよび値は "8553" です
警告: 特有の慣習メタデータは 2 つの署名証明書、一般の署名証明書および backchannel が含まれている場合があります。 backchannel 証明書を識別するために「$shibboleth_home/credentials」のファイル idp-backchannel.crt にナビゲートして下さい。 バック チャネル 証明書がメタデータで利用できる場合、メタデータ XML から ID にアップ ロードの前にバック チャネル 証明書を取除く必要があります。 これは ID がメタデータでサポートを 1 つのただ certifcate 使用する fedlet 12.0 ライブラリという理由によります。 複数の署名証明書が利用できる場合、fedlet は最初の利用可能な証明書を使用します。
設定メタデータ プロバイダー
$shibboleth_home/metadata-providers.xml のエントリでメタデータ プロバイダーを設定する必要があります。
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
" ID "アトリビュートがどの固有の名前である場合もあるところ。
このエントリはメタデータ プロバイダーがある特定の ID に登録され、メタデータが指定 ファイル /opt/shibboleth-idp/SP/sp.xml で利用できることを示します。
ID のサービス プロバイダー(SP)メタデータはエントリで規定 される metadataFile にコピーする必要があります。
注: ID の SP メタデータは idsport が設定可能なエンティティではない値が "8553" である GET https://<idshost>:<idsport>/ids/v1/config/spmetadata によって取得することができ。
SSO のためのそれ以上の設定
このドキュメントでは、Cisco アイデンティティ サービスと統合する SSO の設定について、IdP の面から説明しています。 詳細については、個々の製品のコンフィギュレーション ガイドを参照してください。
シスコ エンジニア提供
- Arundeep NagarajCisco TAC
- Balakrishnan DoraisamyCisco エンジニアリング
- Venkatesh VedurumudiCisco エンジニアリング
フィードバックシスコに問い合わせ
- サポート ケースをオープン
- (シスコ サービス契約が必要です。)