Cisco Identity Service(IdS)のShibboleth Identity Provider(IdP)をインストールおよび設定してSSOを有効にする

ダウンロード オプション

  • PDF     (467.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (90.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (81.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 8 月 13 日
Document ID:211578

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、シングルサインオン(SSO)を有効にするためのOpenAM Identity Provider(IdP)の設定について説明します。

    Cisco IdS 導入モデル

    製品 導入
    Unified CCX 共存
    PCCE CUIC(Cisco Unified Intelligence Center)と LD(ライブ データ)の共存
    UCCE

    2k 導入用の CUIC と LD の共存。

    4k および 12k 導入用のスタンドアロン。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Unified Contact Center Express(UCCX)リリース11.6、Cisco Unified Contact Center Enterpriseリリース11.6、またはPackaged Contact Center Enterprise(PCCE)リリース11.6(該当する場合)

    :このドキュメントでは、Cisco Identify Service(IdS)およびIdentity Provider(IdP)に関連する設定を参照しています。 このドキュメントでは、スクリーンショットと例でUCCXを参照していますが、設定はCisco Identify Service(UCCX/UCCE/PCCE)とIdPに関しては似ています。

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    インストール

    Shibbolethは、シングルサインオン機能を提供するオープンソースプロジェクトであり、保護されたオンラインリソースへの個別のアクセスについて、情報に基づいた承認決定をプライバシーを保護する方法で行うことができます。Security Assertion Markup Language(SAML2)をサポートします。 IdSはSAML2クライアントであり、IdSの変更を最小限に抑えるか、または一切変更せずにShibbolethをサポートすることが想定されています。11.6では、IdSはShibboleth IdPで動作する資格があります。

    :このドキュメントでは、SSOの認定の一部としてShibbolethリリース3.3.0を参照しています

    システム要件

    コンポーネント 詳細
    Shibbolethバージョン v3.3.0
    ダウンロード場所 http://shibboleth.net/downloads/identity-provider/
    プラットフォームのインストール

    Ubuntu 14.0.4

    javaバージョン「1.8.0_121」
    Lightweight Directory Access Protocol(LDAP)バージョン Active Directory 2.0
    Shibboleth Webサーバ Apache Tomcat/8.5.12

    Shibbolethのインストールについては、Wikiを参照してください。

    https://wiki.shibboleth.net/confluence/display/IDP30/Installation

    設定

    LDAPサーバとの統合

    LDAPサーバをshibbolethと統合するには、$shibboleth_home/conf/ldap.propertiesでフィールドを更新する必要があります。ここで$shibboleth_home(デフォルトは/opt/shibboleth-idp)はshibbolethのインストール時に使用されるインストールディレクトリを指します。

    フィールド 期待値 説明
    idp.authn.LDAP.trustCertificates トラストアンカーの読み込み元となるリソース(通常は${idp.home}/credentialsのローカルファイル)
    idp.homeは、setenv.shでJAVA_OPTSとしてエクスポートされる環境変数です    		 %{idp.home}/credentials/ldap-server.crt
    idp.authn.LDAP.trustStore トラストアンカー(通常は%{idp.home}/credentials内のローカルファイル)を含むJavaキーストアを読み込むためのリソース %{idp.home}/credentials/ldap-server.truststore
    idp.authn.LDAP.return属性 返す必要があるLDAPAttributesのコンマ区切りの一覧です。すべての属性を返す場合は、「*」を追加します。

    		 *
    idp.authn.LDAP.baseDN(内部) LDAP検索を実行する必要があるベースDN CN=users,DC=cisco,DC=com
    idp.authn.LDAP.サブツリー検索 再帰的に検索するかどうか true
    idp.authn.LDAP.ユーザフィルタ LDAP検索フィルタ (sAMAccountName={user})*
    idp.authn.LDAP.bindDNです。 検索の実行時にバインドするDN administrator@cisco.com
    idp.authn.LDAP.bindDNCredentialです。 検索の実行時にバインドするパスワード  
    idp.authn.LDAP.dnフォーマット 認証するユーザDNを生成するための書式設定文字列 %s@adfsserver.cisco.com
    (%s@domainname)
    idp.authn.LDAP.オーセンティケータ LDAPに対して認証を実行するワークフローを制御します。 バインド検索認証者
    idp.authn.LDAP.ldapURL LDAPディレクトリの接続URI  

    詳細については、次を参照してください。

    https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration

    サンプル設定ファイル

    #待機する時間(ミリ秒) を参照回答
    #idp.authn.LDAP.responseTimeout = PT3S
    ## SSL設定(jvmTrust、certificateTrust、またはkeyStoreTrust)
    #idp.authn.LDAP.sslConfig = certificateTrustです。
    ##上記のcertificateTrustを使用する場合は、信頼できる証明書のパスを設定します。
    idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
    ##上記のkeyStoreTrustを使用する場合は、トラストストアパスを設定します。
    idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
    ##認証中に属性を返す
    #idp.authn.LDAP.returnAttributes = userPrincipalName、sAMAccountName
    idp.authn.LDAP.returnAttributes = *
    ## DN解決プロパティ##
    #検索DN解決。anonSearchAuthenticator、bindSearchAuthenticatorによって使用されます。
    を参照AD: CN=Users,DC=example,DC=org
    idp.authn.LDAP.baseDN = CN=users,DC=cisco,DC=com
    idp.authn.LDAP.サブツリー検索= true
    *idp.authn.LDAP.userFilter = (sAMAccountName={user})*
    #バインド検索設定
    を参照AD:idp.authn.LDAP.bindDN=adminuser@domain.com
    idp.authn.LDAP.bindDN =管理者@cisco.com
    idp.authn.LDAP.bindDNCredential =シスコ@123
    # directAuthenticator、adAuthenticatorで使用される形式DN解決
    を参照ADはidp.authn.LDAP.dnFormat=%sを使用します@domain.com
    #idp.authn.LDAP.dn形式= %s@adfsserver.cisco.com
    # LDAP属性設定。attribute-resolver.xmlを参照
    #注、 これはレガシーV2リゾルバ構成の使用にはおそらく適用されません
    idp.attribute.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
    idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
    idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
    idp.attribute.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
    idp.attribute.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
    idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
    idp.attribute.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS:true}
    idp.attribute.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
    idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)

    すべてのクライアントからの要求を許可する

    すべてのクライアントからの要求が確実に到達するように、変更は"$shibboleth_home/conf/access-control.xml"で必要です。 

    <entry key="AccessByIPAddress">
    <bean id="AccessByIPAddress" parent="shibboleth.IPRangeAccessControl"
    p:allowedRanges="#{ {'127.0.0.1/32','0.0.0.0/0', '::1/128', '10.78.93.103/32'} }" />
    </entry>

    許可された範囲に'0.0.0.0/0'を追加します。これにより、任意のIP範囲からの要求が可能になります。

    IdSと統合するためのShibbolethの設定

    IdSでのセキュアハッシュアルゴリズム(SHA1)と暗号化の設定

    SHA1をデフォルトとして使用するようにIdSを設定するには、$shibboleth_home/conf/idp.propertiesを開いて次を設定します。

    idp.signing.config = shibboleth.SigningConfiguration.SHA1 

    この設定は、次のように変更することもできます。

    idp.encryption.optional = true

    trueに設定した場合、使用する暗号化キーを見つけられなかった場合、有効にしても要求は失敗しません。このh暗号化を「機会があれば実行する」、つまり、可能な限り暗号化する(暗号化に使用するピアのメタデータ内に互換性のあるキーが見つかった場合)が可能ですが、それ以外の場合は暗号化をスキップします。 

    SAML応答へのuidおよびuser_principalの設定

    sAMAccountNameとuserPrincipalNameをSAML応答内のto uidおよびuser_principalにマッピングするために、AttributeDefinitionが$shibboleth_home/conf/attribute-resolver.xmlに追加されます。

    さらに、<DataConnector>タグを使用してLDAPコネクタ設定を追加します。

    :ReturnAttributesは値「sAMAccountName userPrincipalName」で指定する必要があります。

    :Active Directory(AD)と統合されている場合は、LDAPPropertyが必須です。

    
 
 
 

 

 
 
 

 
    
        
            
                %{idp.attribute.resolver.LDAP.searchFilter}
            
        
      sAMAccountName userPrincipalName

    変更を"$shibboleth_home/conf/attribute-filter.xml"に反映
    "$shibboleth_home/conf/saml-nameid.xml"を変更して、

    IdPメタデータ

    IdPメタデータは、「$shibboleth_home/metadata」フォルダにあります。 idp-metadata.xmlファイルは、アプリケーションプログラミングインターフェイス(API)経由でIdSにアップロードできます

    https://<idshost>:<idsport>/ids/v1/config/idpmetadataを入力します。

    idsportは設定可能なエンティティではなく、値は「8553」です。

    警告:Shibbolethメタデータには、2つの署名証明書(一般署名証明書とバックチャネル)を含めることができます"$shibboleth_home/credentials"にあるidp-backchannel.crtファイルに移動し、バックチャネル証明書を特定します。 バックチャネル証明書がメタデータで使用可能な場合、IdSにアップロードする前に、メタデータxmlからバックチャネル証明書を削除する必要があります。これは、IdSが使用するFEDLET 12.0ライブラリがメタデータで1つの証明書のみをサポートするためです。複数の署名証明書が使用可能な場合、fedletは最初に使用可能な証明書を使用します。 

    メタデータプロバイダーの構成

    メタデータプロバイダーは、$shibboleth_home/metadata-providers.xmlのエントリで設定する必要があります。

    <MetadataProvider id="smart-86"  xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>

    ここで「id」属性は、任意の一意の名前にすることができます。

    このエントリは、指定されたIDでメタデータプロバイダが登録され、指定されたファイル/opt/shibboleth-idp/SP/sp.xmlでメタデータが使用可能であることを示します。

    IdSのサービスプロバイダー(SP)メタデータは、エントリで指定されているmetadataFileにコピーする必要があります。

    注:IdSのSPメタデータは、GET https://<idshost>:<idsport>/ids/v1/config/spmetadataを使用して取得できます。ここで、idsport は設定可能なエンティティではなく、値は「8553」です。

    SSOの詳細設定 

    このドキュメントでは、Cisco アイデンティティ サービスと統合する SSO の設定について、IdP の面から説明しています。詳細については、個々の製品のコンフィギュレーション ガイドを参照してください。

    更新履歴

    改定 発行日 コメント
    1.0
    17-Aug-2017
    初版
    TAC Authored

    シスコ エンジニア提供

    • アルンディープナガラジ
      シスコTAC
    • バラクリシュナン・ドライサミ
      シスコのエンジニアリング
    • ヴェンカテシュ・ヴェドゥルムディ
      シスコのエンジニアリング

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています