概要
このドキュメントでは、Cisco Unified Communications Manager(CUCM)の Security Assertion Markup Language(SAML)シングル サインオン(SSO)の設定と検証の方法を説明します。
前提条件
要件
Network Time Protocol(NTP)の設定
SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、ID プロバイダー(IdP)と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
CUCM と IdP の間の時間が不一致だと、次のエラーが表示されます。 「Invalid SAML response」 このエラーは、CUCM と IdP サーバの間で時間が同期していないために発生した可能性があります。 SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。
クロックの同期については、『Cisco Unified Communications オペレーティング システム管理ガイド』の「NTP 設定」の項を参照してください。
ドメイン ネーム サーバ(DNS)の設定
Unified Communications アプリケーションは、完全修飾ドメイン名を IP アドレスに解決するために DNS を使用することができます。 サービス プロバイダーと IdP は、ブラウザにより確定できる必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Active Directory フェデレーション サービス(AD FS)バージョン 2.0(IdP として)
- CUCM バージョン 10.5(サービス プロバイダーとして)
- Microsoft Internet Explorer 10
注意: このドキュメントは、新たにインストールした CUCM に基づいています。 すでに実稼働中のサーバで SAML SSO を設定する場合、一部の手順をスキップする必要があるかもしれません。 実稼働中のサーバで手順を実行する場合、サービスへの影響も理解しなければなりません。 この手順は営業時間外に行うことを推奨します。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
SAML は XML ベースのオープン スタンダードのデータ形式です。これにより、いずれかのアプリケーションにサインインした管理者が、定義済みの一連のシスコ コラボレーション アプリケーションにシームレスにアクセスできるようになります。 SAML SSO は、IdP とサービス プロバイダーの間のプロビジョニング プロセスの一部として、メタデータを交換することで信頼の輪(CoT)を確立します。 サービス プロバイダーは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションへのアクセスを提供します。
注: サービス プロバイダーが認証にかかわることはありません。 SAML バージョン 2.0 では、サービス プロバイダーではなく、IdP に認証を委任します。 クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。 さらに、クライアントがサービス プロバイダーにアサーションを提示します。 CoT が確立されているため、サービス プロバイダーはこのアサーションを信頼し、クライアントにアクセスを付与します。
設定
ネットワーク図

ディレクトリ セットアップ
- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP System] を選択します。

- [Add New] をクリックします。
- Lightweight Directory Access Protocol(LDAP)サーバのタイプおよび属性を設定します。
- [Synchronizing from LDAP Server] を選択します。

- [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP Directory] を選択します。
- 次の項目を設定します。
- LDAP ディレクトリ アカウント設定
- 同期対象のユーザ属性
- 同期スケジュール
- LDAP サーバ ホスト名または IP アドレスおよびポート番号

- LDAP ディレクトリと通信するために Secure Socket Layer(SSL)を使用しないようにするには、[Use SSL] をオフにします。
ヒント: LDAP over SSL を設定するには、LDAP ディレクトリ証明書を CUCM にアップロードします。 特定の LDAP 製品のアカウント同期メカニズムおよび LDAP 同期の一般的なベスト プラクティスの詳細については、Cisco Unified Communications Manager SRND の LDAP ディレクトリの情報を参照してください。
- [Save] をクリックし、[Perform Full Sync Now] をクリックします。
注: [Save] をクリックする前に、Cisco DirSync サービスが Serviceability Web ページで有効になっていることを確認します。

- [User Management] > [End User] に移動して、CUCM 管理役割を与えるユーザを選択します(この例では、ユーザ SSO を選択します)。

- [Permissions Information] セクションまでスクロールして、[Add to Access Control Group] をクリックします。 [Standard CCM Super Users] を選択し、[Add Selected]、[Save] の順にクリックします。

SAML SSO の有効化
- CUCM 管理ユーザ インターフェイスにログインします。
- [System] > [SAML Single Sign-On] を選択します。[SAML Single Sign-On Configuration] ウィンドウが開きます。

- クラスタで SAML SSO を有効にするには、[Enable SAML SSO] をクリックします。

- [Reset Warning] ウィンドウで [Continue] をクリックします。

- SSO 画面で [Browse] をクリックし、[DownloadIdP Metadata] 手順を使用して IdP メタデータ XML ファイル(FederationMetadata.xml)をインポートします。

- メタデータ ファイルがアップロードされたら、[Import IdP Metadata] をクリックして IdP 情報を CUCM にインポートします。 インポートが成功したことを確認し、[Next] をクリックして続行します。


- [Download Trust Metadata File](オプション)をクリックして CUCM および CUCM IM とプレゼンス メタデータをローカル フォルダに保存し、[Add CUCM as Relying Party Trust] に進みます。 AD FS 設定が完了したら、手順 8 に進みます。

- 管理ユーザとして [SSO] を選択し、[Run SSO Test] をクリックします。

- 証明書に関する警告は無視し、次に進みます。 クレデンシャルの入力を求められたら、ユーザ SSO のユーザ名とパスワードを入力し、[OK] をクリックします。

注: この設定例は、CUCM と AD FS 自己署名証明書に基づいています。 認証局(CA)の証明書を使用する場合、適切な証明書を AD FS と CUCM の両方にインストールする必要があります。 詳細については、「証明書の管理と検証」を参照してください。
- すべての手順が完了すると、「SSO Test Succeeded!」 というメッセージが表示されます。 [Close] 、[Finish] の順にクリックして続行します。 以上で、AD FS を使用して CUCM で SSO を有効にするための設定作業が完了しました。

- CUCM IM とプレゼンスは CUCM サブスクライバのように動作するので、[Add CUCM IM and Presence as Relying Party Trust] を設定して [Run SSO Test] を実行し、SAML SSO を CUCM SAML SSO ページ自体から有効にする必要があります。
注: IdP ですべてのノードのメタデータ XML ファイルを設定し、1 つのノードで SSO の動作を有効にすると、SAML SSO はクラスタのすべてのノードで有効になります。
AD FS は、信頼できる証明書利用者として、クラスタの CUCM および CUCM IM とプレゼンスのすべてのノードに設定する必要があります。
ヒント: Cisco Jabber Clients で SAML SSO を使用する場合は、SAML SSO に Cisco Unity Connection および CUCM IM とプレゼンスを設定する必要があります。
確認
このセクションでは、設定が正常に機能していることを確認します。
- Web ブラウザを開き、CUCM の FQDN を入力します。
- [Cisco Unified Communications Manager] をクリックします。
- webapp(CM Administration/Cisco Unified Serviceability/Cisco Unified Reporting)を選択し、[GO] を押すと、AD FS からクレデンシャルの入力が求められます。 ユーザ SSO の資格情報を入力すると、選択した webapp にログインします([CM Administration] ページ、[Unified Serviceability] ページ、[Cisco Unified Reporting])。

注: SAML SSO では次のページにアクセスはできません。
- Prime Licensing Manager
- OS Administration
- Disaster Recovery system
トラブルシューティング
SAML を有効にできず、ログインもログインできない場合、シングル サインオン(SSO)をバイパスする Recovery URL と呼ばれる、[Installed Applications] の新しいオプションを使用します。このオプションを使用すると、インストール中に作成したクレデンシャルまたはローカルで作成された CUCM 管理ユーザでログインすることができます。

この他のトラブルシューティングについては、「コラボレーション製品 10.x の SAML SSO のトラブルシューティング」を参照してください。