概要
この資料にアクティブ ディレクトリ フェデレーション サービス(AD FS)でクラスタごとの単一セキュリティ アサーション マークアップ言語(SAML)識別プロバイダ(IdP)接続/協定を設定する方法を記述されています。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Communications Manager (CUCM) 11.5 またはそれ以降
- Cisco Unified Communications Manager IM および存在バージョン 11.5 または それ 以降
- アクティブ ディレクトリ連合サービス バージョン 2.0
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。
- IdP としてアクティブ ディレクトリ連合サービス バージョン 2.0
- Cisco Unified Communications Manager バージョン 11.5
- Cisco IM および存在サーババージョン 11.5
背景説明
サービスプロバイダー(SP)間の信頼の範囲である SAML SSO、必要および IdP に関しては。 この信頼は SSO Enablement の一部として信頼(メタデータ)が交換されるとき、作成されます。 メタデータを CUCM からダウンロードし、IdP にそれをアップロードし、IdP から同様にメタデータをダウンロードし、CUCM にそれをアップロードします。
前 CUCM 11.5 はクラスタの他のノードから、送信元ノード メタデータ ファイルを、またそれ集めますメタデータ ファイルを生成します。 それは管理者に単一 ZIP ファイルにすべてのメタデータ ファイルをそれから示します追加します。 管理者はこのファイルを解凍し、各 IdP のファイルを提供しなければなりません。 たとえば、8 ノードのための 8 つのメタデータ ファイルはクラスタ化します。
クラスタ 機能ごとの単一 SAML IdP 接続/協定は 11.5 からもたらされます。 この機能の一部として、CUCM はクラスタのすべての CUCM および IMP ノードのためのシングル サービス プロバイダ メタデータ ファイルを生成します。 メタデータ ファイルのための新しい名前 形式は < ホスト名 >-single-agreement.xml あります
基本的には、1 つのノードはメタデータを作成し、クラスタの他の SP ノードにそれを押します。 これはプロビジョニング、メンテナンスおよび管理の容易さを有効に します。 たとえば、8 ノードのための 1 つのメタデータ ファイルはクラスタ化します。
クラスタ広いメタデータ ファイルはクラスタのすべてのノードのためキーペアを使用されるである同じ確認するマルチサーバ Tomcat 認証を利用します。 メタデータ ファイルはまたクラスタで各のためのアサーション消費者サービス(ACS) URL のリストをノード備えています。
CUCM および Cisco IM および存在バージョン 11.5 はノード(既存のモデル)ごとに(クラスタごとの 1 メタデータ ファイル)および cluster-wide 両方の SSO モードをサポートします。
この資料に AD FS 2.0 で SAML SSO の cluster-wide モードを設定する方法を記述されています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
設定
ステップ 1. CUCM からのエクスポート SP メタデータ
管理者として CUCM に Webブラウザ、ログイン、およびナビゲート toSystem >SAML 単一 サインを開いて下さい。
デフォルトで、広いオプション ボタンを選択されますクラスタ化して下さい。 すべてのメタデータを『Export』 をクリック して下さい。 メタデータ データファイルはネームの管理者に < ホスト名 >-single-agreement.xml 示しました

ステップ 2. AD FS からのダウンロード IDP メタデータ
IdP メタデータをダウンロードするために、ADFS>/federationmetadata/2007-06/federationmetadata.xml のリンク https:// <FQDN を参照して下さい
ステップ 3.プロビジョニングする IdP
イメージに示すように、AD FS 2.0 管理/信頼リレーションシップ船依存パーティへのナビゲートは信頼します。 依存パーティ信頼を『Add』 をクリック して下さい。

依存当事者を信頼ウィザードがイメージに示すように開く追加して下さい、今『Start』 をクリック して下さい。

ファイルからの依存パーティについてのデータのインポートをクリックして下さい。 CUCM SAML SSO 設定 ページからダウンロードされる SP メタデータを参照して下さい。 それからイメージに示すように、『Next』 をクリック して下さい:

依存パーティのための表示名およびオプションのメモを入力して下さい。 イメージに示すように。、『Next』 をクリック して下さい:

この依存パーティにアクセスし、次にイメージに示すように、『Next』 をクリック する割り当てにこの依存パーティにアクセスする割り当てをすべてのユーザすべてのユーザ選択して下さい:

信頼ページを追加すること準備ができたの下で設定された依存パーティ信頼の設定を検討できます。 この場合イメージに示すように、『Next』 をクリック して下さい:

依存当事者信頼が AD FS 設定 データベースに追加に成功したことを Finish ページ確認します。 ボックスのチェックを外し、イメージに示すように、『Close』 をクリック して下さい:

依存当事者信頼を右クリックし、イメージに示すように要求ルールを、『Edit』 をクリック して下さい:

この場合イメージに示すように。、『Add rule』 をクリック して下さい:

追加トランスフォーム クレーム ルールが開くとき、イメージに示すようにクレームとしてデフォルト クレーム ルール テンプレート送信 LDAP 属性と、『Next』 をクリック して下さい:

このイメージに示すようにクレーム ルールを『Configure』 をクリック して下さい。 LDAP アトリビュートは CUCM の LDAP ディレクトリ設定の LDAP アトリビュートと一致する必要があります。 uid として発信クレームの種類を管理して下さい。 イメージに示すように、『Finish』 をクリック して下さい:

依存パーティのためのカスタマイズした方法を追加して下さい。 『Add rule』 をクリック して下さい。 クレームをカスタマイズした方法を使用して『Send』 を選択 し、次にイメージに示すように、『Next』 をクリック して下さい:

でクレーム ルールを設定し、クレーム ルール名前をそれからコピーします与えられるクレーム ルールの namequalifier spname 修飾子を修正するウィザードのカスタマイズした方法フィールドでを過ぎてクレーム ルールを入力し。 イメージに示すように。、『Finish』 をクリック して下さい:
クレーム ルール:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/adfs/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<Entity ID in the SP Metadata>"); Entity ID = Open the SP metadata and check the Entity ID. Basically, its the CUCM Publisher?s FQDN.

イメージに示すように、それから良く『Apply』 をクリック して下さい。

ステップ 4.イネーブル SAML SSO
管理者として CUCM に Webブラウザ、ログイン、およびナビゲート toSystem >SAML 単一 サインを開いて下さい。
デフォルトで、広いオプション ボタンを選択されますクラスタ化して下さい。 イメージに示すように Saml SSO を、『Enable』 をクリック して下さい:

イメージに示すように、pop は idp に従ってクラスタ広い SAML SSO かノードごとの SAML SSO を選択するために Webサーバ再始動および情報のための警告を知らせます。 [Continue] をクリックします。

Cluster-wide SSO を有効に する 基準はマルチサーバ Tomcat 認証を既に展開してもらわなければならないことです。 イメージに示すようにマルチサーバ Tomcat 認証のために、『Test』 をクリック して下さい:

それが確認されれば、すべてのノードにマルチ サーバ証明が表示する All ノード持ちマルチ サーバ証明を、次にイメージに示すように『Next』 をクリック します、あります:

イメージに示すように、『Next』 をクリック して下さい。

ダウンロードされる IdP メタデータを参照し、選択して下さい。 イメージに示すように IdP メタデータを、『Import』 をクリック して下さい:

ページはすべてのサーバのために成功するインポートを確認し、次にイメージに示すように、『Next』 をクリック します:

イメージに示すように、最初の SAML SSO 設定 ページから既に SP メタデータ エクスポートされる以来、『Next』 をクリック して下さい。

CUCM は LDAP ディレクトリと同期するなります。 ウィザードは LDAP ディレクトリで設定される有効な管理者ユーザを示します。 ユーザを選択し、イメージに示すように SSO テストを、『Run』 をクリック して下さい:

イメージに示すように、プロンプト表示したらユーザ ID およびそれぞれパスワードを入力して下さい。

ポップアップは、イメージに示すようにテストを成功します確認します。

イメージに示すように、SSO を有効に するための設定を完了するために『Finish』 をクリック して下さい。

イメージで示されているページはプロセスを有効に する SAML SSO がすべてのサーバで始められることを確認します。

SAML SSO 資格情報を使用して CUCM に戻るログアウトおよびログイン。 システム >SAML 単一 サインへのナビゲート。 イメージに示すようにクラスタの他のノードのための SSO テストを、『Run』 をクリック して下さい:

確認
ここでは、設定が正常に動作していることを確認します。
SSO テストを有効に なる SAML SSO であるノードのために成功しています確認して下さい。 システム >SAML 単一 サインへのナビゲート。 正常な SSO テストは渡されるステータスを表示します。

SAML SSO がアクティブになれば、インストール済みアプリケーションおよびプラットフォーム アプリケーションはこのイメージに示すように CUCM ログイン ページのためにリストされています。

SAML SSO がアクティブになれば、インストール済みアプリケーションおよびプラットフォーム アプリケーションはこのイメージに示すように IM および存在ログイン ページのためにリストされています、:

トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
SSO ログを設定 することはデバッグするためにコマンドを使用するために samltrace レベル デバッグを設定 しました
CLI を使用して RTMT を使用してまたは activelog /tomcat/logs/ssosp/log4j/*.log 位置から SSO ログを集めて下さい。
SSO ログのための例は他のノードに生成され、送信 するメタデータを示したものです
2016-05-28 14:59:34,026 DEBUG [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Call GET API to generate Clusterwide SP Metadata in the Local node.2016-05-28 14:59:47,184 DEBUG [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Call to post the generated SP Metadata to other nodes2016-05-28 14:59:47,185 INFO [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Begin:postClusterWideSPMetaData2016-05-28 14:59:47,186 DEBUG [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Nodes [cucm1150, cucm1150sub.adfs.ucce.com]2016-05-28 14:59:47,186 DEBUG [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Post ClusterWideSPMetadata to the cucm11502016-05-28 14:59:47,187 DEBUG [http-bio-443-exec-297] cluster.SAMLSSOClusterManager - Post ClusterWideSPMetadata to the cucm1150sub.adfs.ucce.com