Cisco 識別 サービス(ID)のための特有の慣習識別プロバイダ(IdP)をインストールし、SSO を有効に するために設定して下さい
ダウンロード オプション
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
目次
概要
この資料は単一 サインを有効に するために OpenAM 識別プロバイダ(IdP)の設定を説明したものです(SSO)。
Cisco IDS 配置 モ デル
| [製品(Product)] | 導入 |
| UCCX | 共存する |
| PCCE | CUIC (Cisco Unified Intelligence Center)および LD (ライブ データ)の共存 |
| UCCE | 2k 配備のための CUIC および LD の共存。 4k および 12k 配備のためにスタンドアロン。 |
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Contact Center Express (UCCX)リリース 11.6 か Cisco Unified Contact Center Enterprise リリース 11.6 または適当 Packaged Contact Center Enterprise (PCCE)リリース 11.6。
注: この資料は Cisco Identitify サービス(ID)および識別プロバイダ(IdP)に関して設定を参照します。 資料はスクリーン ショットおよび例で設定が Cisco Identitify サービス(UCCX/UCCE/PCCE)および IdP に関して類似したであるどんなに、UCCX を参照します。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
インストールするもの
特有の慣習は単一 サインオン機能を提供し、サイトがプライバシー維持方法の保護されたオンライン リソースの個々のアクセスのための知識のある許可デシジョンを作るようにするオープンソース プロジェクトです。 それはセキュリティ アサーション マークアップ言語(SAML2)をサポートします。 ID は SAML2 クライアント最小の特有の慣習か ID の変更をサポートしないと期待されてであり。 11.6 に、ID は特有の慣習 IdP を使用するために修飾されます。
注: この資料は SSO の修飾の一部として特有の慣習リリース 3.3.0 を参照します
システム要件
| コンポーネント | 詳細 |
| 特有の慣習バージョン | v3.3.0 |
| ダウンロード サイト | http://shibboleth.net/downloads/identity-provider/ |
| プラットフォームをインストールして下さい | Ubuntu 14.0.4 Java バージョン "1.8.0_121" |
| Lightweight Directory Access Protocol (LDAP)バージョン | アクティブ ディレクトリ 2.0 |
| 特有の慣習 Webサーバ | Apache Tomcat/8.5.12 |
特有の慣習のインストールのために wiki を参照して下さい
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
設定
LDAPサーバと統合
LDAPサーバを特有の慣習と統合ために、フィールドは特有の慣習のインストールで使用される $shibboleth_home が(デフォルトは /opt/shibboleth-idp です)インストール ディレクトリを示す $shibboleth_home/conf/ldap.properties でアップデートされる必要があります。
| フィールド | 期待値 | 説明 |
| idp.authn.LDAP.trustCertificates | $ {idp.home}で信頼固定をから、通常ローカルファイル /credentials ロードするリソース idp.home が setenv.sh の JAVA_OPTS としてエクスポートされる環境変数であるところ |
/credentials/ldap-server.crt % {idp.home} |
| idp.authn.LDAP.trustStore | 信頼固定が含まれている /credentials % {idp.home}で Java keystore を、通常ローカルファイル ロードするリソース | /credentials/ldap-server.truststore % {idp.home} |
| idp.authn.LDAP.returnAttributes | 戻る必要がある LDAPAttributes のカンマ区切りのリスト。 すべての属性を戻したいと思う場合「*」追加して下さい。 |
* |
| idp.authn.LDAP.baseDN | LDAP 検索が実行された必要がある baseDN | CN=users、DC=cisco、DC=com |
| idp.authn.LDAP.subtreeSearch | 回帰的に検索するためにかどうか | true |
| idp.authn.LDAP.userFilter | LDAP検索フィルタ | (sAMAccountName= {ユーザ}) * |
| idp.authn.LDAP.bindDN | 検索が実行された時と結合 するべき DN | administrator@cisco.com |
| idp.authn.LDAP.bindDNCredential | 検索が実行された時と結合 するべきパスワード | |
| idp.authn.LDAP.dnFormat | 認証するためにユーザ DN を生成する書式指定文字列 | s@adfsserver.cisco.com %の (s@domainname %の) |
| idp.authn.LDAP.authenticator | 認証が LDAP に対してどのようにのための行われるか作業の流れを制御します | bindSearchAuthenticator |
| idp.authn.LDAP.ldapURL | LDAP ディレクトリのための接続 URI |
詳細については、参照して下さい:
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
サンプル コンフィギュレーション ファイル
# forresponses を待つミリ秒の時間
#idp.authn.LDAP.responseTimeout = PT3S
## SSL 設定、jvmTrust、certificateTrust、または keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
信頼できる証明書のパスに、セット上記の certificateTrust を使用している場合 ##
idp.authn.LDAP.trustCertificates = /credentials/ldap-server.crt % {idp.home}
truststore パスに、セット上記の keyStoreTrust を使用している場合 ##
idp.authn.LDAP.trustStore = /credentials/ldap-server.truststore % {idp.home}
認証の間の ## 戻り属性
#idp.authn.LDAP.returnAttributes = userPrincipalName、sAMAccountName
idp.authn.LDAP.returnAttributes = *
## DN 解決プロパティ ##
# anonSearchAuthenticator によって使用される検索 DN 解決 bindSearchAuthenticator
# forAD: CN=Users、DC=example、DC=org
idp.authn.LDAP.baseDN = CN=users、DC=cisco、DC=com
idp.authn.LDAP.subtreeSearch = 本当
*idp.authn.LDAP.userFilter = (sAMAccountName= {ユーザ}) *
#バインド検索設定
# forAD: idp.authn.LDAP.bindDN= adminuser@domain.com
idp.authn.LDAP.bindDN = administrator@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# directAuthenticator によって使用される形式 DN 解決 adAuthenticator
# forAD 使用 idp.authn.LDAP.dnFormat=% s@domain.com
#idp.authn.LDAP.dnFormat = s@adfsserver.cisco.com %の
# LDAP アトリビュート 設定は、アトリビュートresolver.xml を見ます
#注はレガシー V2 リゾルバ コンフィギュレーションの使用に、thislikely 適用しません
idp.attribute.resolver.LDAP.ldapURL = % {idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = % {idp.authn.LDAP.baseDN: 未定義}
idp.attribute.resolver.LDAP.bindDN = % {idp.authn.LDAP.bindDN: 未定義}
idp.attribute.resolver.LDAP.bindDNCredential = % {idp.authn.LDAP.bindDNCredential: 未定義}
idp.attribute.resolver.LDAP.useStartTLS = % {idp.authn.LDAP.useStartTLS: 本当}
idp.attribute.resolver.LDAP.trustCertificates = % {idp.authn.LDAP.trustCertificates: 未定義}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
すべてのクライアントからの割り当て要求
すべてのクライアントからの要求が達するようにするために、「$shibboleth_home/conf/access-control.xml」の変更が必要となります
<entry key= " AccessByIPAddress " >
" AccessByIPAddress」<bean id= parent= " shibboleth.IPRangeAccessControl」
p: allowedRanges= " # {{'127.0.0.1/32'、'0.0.0.0/0'、'::1/128'、'10.78.93.103/32'}}」/>
</entry>
許容範囲に '0.0.0.0/0' を追加して下さい。 これはあらゆる IP 範囲からの要求を可能にします。
ID と統合べき設定特有の慣習
セキュアハッシュアルゴリズム(SHA1)および ID の暗号化設定
ID を SHA1 にデフォルトで設定されるために設定するために「$shibboleth_home/conf/idp.properties」を設定 される開けば:
idp.signing.config = shibboleth.SigningConfiguration.SHA1
この設定はまた変更することができます:
idp.encryption.optional = 本当
本当にそれを設定 した場合、暗号化キーを見つける失敗は要求失敗という結果に使用するために有効に されたとき、終りません。 これは(互換性のあるキーはピアのメタデータにと暗号化するためにあります)可能な限り暗号化するために暗号化を別の方法でスキップするためにすなわち、暗号化を「日和見主義に」するのを助けます。
uid を SAML 応答に user_principal 設定すれば
AttributeDefinition は「$shibboleth_home/conf/attribute-resolver.xml」に uid にに sAMAccountName および userPrincipalName をマッピング するためにおよび SAML 応答で user_principal 追加されます。
さらに、タグ <DataConnector> が付いている LDAP コネクタ設定を追加して下さい。
注: ReturnAttributes は値「sAMAccountName userPrincipalName と」規定 される必要があります。
注: LDAPProperty は Active Directory (AD)の統合がある場合必須です。
<AttributeDefinition xsi:type="Simple" id="ciscoUPN" sourceAttributeID="userPrincipalName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="user_principal" />
<AttributeEncoder xsi:type="SAML2String" name="user_principal" friendlyName="user_principal" />
</AttributeDefinition>
<AttributeDefinition xsi:type="Simple" id="ciscoUID" sourceAttributeID="sAMAccountName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="uid" />
<AttributeEncoder xsi:type="SAML2String" name="uid" friendlyName="uid" />
</AttributeDefinition>
<DataConnector id="LDAP" xsi:type="LDAPDirectory"
ldapURL="ldap://adfsserver.cisco.com"
baseDN="CN=users,DC=cisco,DC=com"
principal="administrator@cisco.com"
principalCredential="<cred>">
<FilterTemplate>
<![CDATA[
%{idp.attribute.resolver.LDAP.searchFilter}
]]>
</FilterTemplate>
<ReturnAttributes>sAMAccountName userPrincipalName</ReturnAttributes>
<LDAPProperty name="java.naming.referral" value="follow"/>
</DataConnector>
統合して下さい「$shibboleth_home/conf/attribute-filter.xml」の変更を
<PolicyRequirementRule xsi:type="ANY" />
<AttributeRule attributeID="ciscoUID">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="ciscoUPN">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUPN'} }" />
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUID'} }" />
IdP メタデータ
IdP メタデータはフォルダ「$shibboleth_home/metadata」で利用できます。 idp-metadata.xml ファイルは Application Programming Interface (API; アプリケーション プログラミング インターフェイス)によって ID にアップロードすることができます
https://<idshost>:<idsport>/ids/v1/config/idpmetadata を置いて下さい
idsport がない一方、設定可能なエンティティおよび値は "8553" です
警告: 特有の慣習メタデータは 2 つの署名証明書、一般の署名証明書および backchannel が含まれている場合があります。 backchannel 認証を識別するために「$shibboleth_home/credentials」のファイル idp-backchannel.crt にナビゲート して下さい。 バック チャネル 認証がメタデータで利用できる場合、メタデータ XML から ID にアップロードの前にバック チャネル 認証を削除する必要があります。 これは ID がメタデータでサポートを 1 つのただ certifcate 使用する fedlet 12.0 ライブラリという理由によります。 複数の署名証明書が利用できる場合、fedlet は最初の利用可能 な 認証を使用します。
設定メタデータ プロバイダー
$shibboleth_home/metadata-providers.xml のエントリでメタデータ プロバイダーを設定する必要があります。
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
" ID "アトリビュートがどの固有の名前である場合もあるところ。
このエントリはメタデータ プロバイダーがある特定の ID に登録され、メタデータが指定 ファイル /opt/shibboleth-idp/SP/sp.xml で利用できることを示します。
ID のサービスプロバイダー(SP)メタデータはエントリで規定 される metadataFile にコピーする必要があります。
注: ID の SP メタデータは idsport が設定可能なエンティティではない値が "8553" である GET https://<idshost>:<idsport>/ids/v1/config/spmetadata によって取得することができ。
SSO のためのそれ以上の設定
この資料は Cisco 識別 サービスと統合ために SSO のための IdP 側面からの設定を説明したものです。 更に詳しい情報については、個々のプロダクト コンフィギュレーション ガイドを参照して下さい:
シスコ エンジニア提供
- Arundeep NagarajCisco TAC
- Balakrishnan DoraisamyCisco 設計
- Venkatesh VedurumudiCisco 設計
フィードバックお問い合わせ
- サポート ケースをオープン
- (シスコ サービス契約が必要です。)