Unified Communications Manager バージョン 10.5 SAML SSO の設定例

概要

このドキュメントでは、Cisco Unified Communications Manager（CUCM）の Security Assertion Markup Language（SAML）シングル サインオン（SSO）の設定と検証の方法を説明します。

前提条件

要件

Network Time Protocol（NTP）の設定

SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、ID プロバイダー（IdP）と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。

CUCM と IdP の間の時間が不一致だと、次のエラーが表示されます。 「Invalid SAML response」 このエラーは、CUCM と IdP サーバの間で時間が同期していないために発生した可能性があります。 SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。

クロックの同期については、『Cisco Unified Communications オペレーティング システム管理ガイド』の「NTP 設定」の項を参照してください。

ドメイン ネーム サーバ（DNS）の設定

Unified Communications アプリケーションは、完全修飾ドメイン名を IP アドレスに解決するために DNS を使用することができます。 サービス プロバイダーと IdP は、ブラウザにより確定できる必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Active Directory フェデレーション サービス（AD FS）バージョン 2.0（IdP として）
• CUCM バージョン 10.5（サービス プロバイダーとして）
• Microsoft Internet Explorer 10

注意： このドキュメントは、新たにインストールした CUCM に基づいています。 すでに実稼働中のサーバで SAML SSO を設定する場合、一部の手順をスキップする必要があるかもしれません。 実稼働中のサーバで手順を実行する場合、サービスへの影響も理解しなければなりません。 この手順は営業時間外に行うことを推奨します。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

背景説明

SAML は XML ベースのオープン スタンダードのデータ形式です。これにより、いずれかのアプリケーションにサインインした管理者が、定義済みの一連のシスコ コラボレーション アプリケーションにシームレスにアクセスできるようになります。 SAML SSO は、IdP とサービス プロバイダーの間のプロビジョニング プロセスの一部として、メタデータを交換することで信頼の輪（CoT）を確立します。 サービス プロバイダーは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションへのアクセスを提供します。

注: サービス プロバイダーが認証にかかわることはありません。 SAML バージョン 2.0 では、サービス プロバイダーではなく、IdP に認証を委任します。 クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。 さらに、クライアントがサービス プロバイダーにアサーションを提示します。 CoT が確立されているため、サービス プロバイダーはこのアサーションを信頼し、クライアントにアクセスを付与します。

設定

ネットワーク図

ディレクトリ セットアップ

1. [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP System] を選択します。
   
   

   

   
   
   
2. [Add New] をクリックします。
   
   
3. Lightweight Directory Access Protocol（LDAP）サーバのタイプおよび属性を設定します。
   
   
4. [Synchronizing from LDAP Server] を選択します。
   
   

   

   
   
   
5. [Cisco Unified CM Administration] > [System] > [LDAP] > [LDAP Directory] を選択します。
   
   
6. 次の項目を設定します。
   
   
   • LDAP ディレクトリ アカウント設定
   • 同期対象のユーザ属性
   • 同期スケジュール
   • LDAP サーバ ホスト名または IP アドレスおよびポート番号
   
   
   

   

   
   
   
7. LDAP ディレクトリと通信するために Secure Socket Layer（SSL）を使用しないようにするには、[Use SSL] をオフにします。
   
   

   ヒント： LDAP over SSL を設定するには、LDAP ディレクトリ証明書を CUCM にアップロードします。 特定の LDAP 製品のアカウント同期メカニズムおよび LDAP 同期の一般的なベスト プラクティスの詳細については、Cisco Unified Communications Manager SRND の LDAP ディレクトリの情報を参照してください。

   
   
   
8. [Save] をクリックし、[Perform Full Sync Now] をクリックします。
   

   注: [Save] をクリックする前に、Cisco DirSync サービスが Serviceability Web ページで有効になっていることを確認します。

   
   

   

   
   
   
   
9. [User Management] > [End User] に移動して、CUCM 管理役割を与えるユーザを選択します（この例では、ユーザ SSO を選択します）。
   
   

   

   
   
   
10. [Permissions Information] セクションまでスクロールして、[Add to Access Control Group] をクリックします。 [Standard CCM Super Users] を選択し、[Add Selected]、[Save] の順にクリックします。
    
    

    

SAML SSO の有効化

1. CUCM 管理ユーザ インターフェイスにログインします。
   
   
2. [System] > [SAML Single Sign-On] を選択します。[SAML Single Sign-On Configuration] ウィンドウが開きます。
   
   

   

   
   
   
3. クラスタで SAML SSO を有効にするには、[Enable SAML SSO] をクリックします。
   
   

   

   
   
   
4. [Reset Warning] ウィンドウで [Continue] をクリックします。
   
   

   

   
   
   
5. SSO 画面で [Browse] をクリックし、[DownloadIdP Metadata] 手順を使用して IdP メタデータ XML ファイル（FederationMetadata.xml）をインポートします。
   
   

   

   
   
   
6. メタデータ ファイルがアップロードされたら、[Import IdP Metadata] をクリックして IdP 情報を CUCM にインポートします。 インポートが成功したことを確認し、[Next] をクリックして続行します。
   
   

   

   
   
   

   

   
   
   
7. [Download Trust Metadata File]（オプション）をクリックして CUCM および CUCM IM とプレゼンス メタデータをローカル フォルダに保存し、[Add CUCM as Relying Party Trust] に進みます。 AD FS 設定が完了したら、手順 8 に進みます。
   
   

   

   
   
   
8. 管理ユーザとして [SSO] を選択し、[Run SSO Test] をクリックします。
   
   

   

   
   
   
9. 証明書に関する警告は無視し、次に進みます。 クレデンシャルの入力を求められたら、ユーザ SSO のユーザ名とパスワードを入力し、[OK] をクリックします。
   
   

   

   
   
   

   注: この設定例は、CUCM と AD FS 自己署名証明書に基づいています。 認証局（CA）の証明書を使用する場合、適切な証明書を AD FS と CUCM の両方にインストールする必要があります。 詳細については、「証明書の管理と検証」を参照してください。

   
   
   
10. すべての手順が完了すると、「SSO Test Succeeded!」 というメッセージが表示されます。 [Close] 、[Finish] の順にクリックして続行します。 以上で、AD FS を使用して CUCM で SSO を有効にするための設定作業が完了しました。
    
    

    

    
    
    
11. CUCM IM とプレゼンスは CUCM サブスクライバのように動作するので、[Add CUCM IM and Presence as Relying Party Trust] を設定して [Run SSO Test] を実行し、SAML SSO を CUCM SAML SSO ページ自体から有効にする必要があります。
    
    

    注: IdP ですべてのノードのメタデータ XML ファイルを設定し、1 つのノードで SSO の動作を有効にすると、SAML SSO はクラスタのすべてのノードで有効になります。

    
    
    AD FS は、信頼できる証明書利用者として、クラスタの CUCM および CUCM IM とプレゼンスのすべてのノードに設定する必要があります。
    
    

    ヒント： Cisco Jabber Clients で SAML SSO を使用する場合は、SAML SSO に Cisco Unity Connection および CUCM IM とプレゼンスを設定する必要があります。

確認

このセクションでは、設定が正常に機能していることを確認します。

1. Web ブラウザを開き、CUCM の FQDN を入力します。
   
   
2. [Cisco Unified Communications Manager] をクリックします。
   
   
3. webapp（CM Administration/Cisco Unified Serviceability/Cisco Unified Reporting）を選択し、[GO] を押すと、AD FS からクレデンシャルの入力が求められます。 ユーザ SSO の資格情報を入力すると、選択した webapp にログインします（[CM Administration] ページ、[Unified Serviceability] ページ、[Cisco Unified Reporting]）。
   
   

   

   
   
   

   注: SAML SSO では次のページにアクセスはできません。
              - Prime Licensing Manager
              - OS Administration
              - Disaster Recovery system

トラブルシューティング

SAML を有効にできず、ログインもログインできない場合、シングル サインオン(SSO)をバイパスする Recovery URL と呼ばれる、[Installed Applications] の新しいオプションを使用します。このオプションを使用すると、インストール中に作成したクレデンシャルまたはローカルで作成された CUCM 管理ユーザでログインすることができます。

この他のトラブルシューティングについては、「コラボレーション製品 10.x の SAML SSO のトラブルシューティング」を参照してください。