この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
次の図は、正常に SSO を設定するために必要なタスクの手順について説明します。この順序どおりに、このフローで説明している各タスクを実行することを推奨します。
次の表は、シングル サインオンを設定するタスクを示します。
項目 |
タスク |
||
---|---|---|---|
1 |
Active Directory(AD)サーバの シングル サインオンを使用する OpenAM サーバの新しいユーザ アカウントをプロビジョニングします。
|
||
2 |
シングル サインオンのためにクライアント ブラウザを設定します。サードパーティ製ソフトウェア、Web ブラウザのリストのシステム要件、およびサポート対象のバージョンの関連トピックを参照してください。 |
||
3 |
Real-Time Monitoring Tool(RTMT)用の Microsoft Windows レジストリを設定します。 |
||
4 |
Java Runtime Environment(JRE)をインストールします。
|
||
5 |
OpenAM に IM and Presence サービス証明書をインポートします。シングル サインオンを使用するための、各 IM and Presence サービス ノードに対してこの作業を実行します。 |
||
6 |
OpenAM Windows サーバで Apache Tomcat Web Container をインストールします。 |
||
7 |
Apache Tomcat で OpenAM War を展開します。 |
||
8 |
GUI Configurator を使用して OpenAM をセットアップします。OpenAM サーバの FQDN を入力することで、Web ブラウザを使用する OpenAM web ベースの管理インターフェイスにアクセスします。 |
||
9 |
OpenAM サーバのポリシーの設定この手順で定義されるポリシー規則に従う必要があります。
|
||
[10] |
SSO モジュール インスタンスを設定します。同じ Active Directory ドメインが展開全体で使用される場合、単一モジュール インスタンスを、SSO の複数の IM and Presence サービス ノードによって共有できます。 |
||
11 |
OpenAM の J2EE Agent プロファイルを設定します。SSO を使用する各 IM and Presence サービス ノードの J2EE エージェント用の OpenAM サーバの関連 J2EE Agent プロファイルを設定する必要があります。 |
||
12 |
OpenAM セッション タイムアウトを IM and Presence サービス ノードのセッション タイムアウト パラメータ設定よりも大きい値に設定します。 |
||
13 |
SSO を使用して各 IM and Presence サービス ノード の tomcat-trust の信頼ストアに OpenAM 証明書をインポートします。 |
||
18 |
シングル サイン オンのアクティブ化
SSO を有効にすると、サービスに影響を与えます。メンテナンス時間枠の間に、SSO を有効にすることを強く推奨します。 |
シングル サインオン(SSO)機能では、OpenAM と呼ばれる ForgeRock のサードパーティ製アプリケーションを使用します。OpenAM アプリケーションのサポートは、ForgeRock のみから利用できます。SSO 機能を OpenAM と連動できるようにするために、ソフトウェア要件と設定ガイドラインが提供されています。Windows Server での OpenAM のインストールについても、説明されています。
ロード バランサの背後での OpenAM の展開や、OpenAM サーバ間でのセッション レプリケーションの使用などの、OpenAM の高度な設定は検証されていません。これらの高度な機能の詳細については、http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf を参照してください。
SSO 機能には、次のサードパーティ製アプリケーションが必要です。
Microsoft Windows Server 2008 R2
Microsoft Active Directory
ForgeRock Open Access Manager(OpenAM)バージョン 9.0
(注) |
SSO 機能は、Active Directory と OpenAM を組み合わせて使用することにより、Web ベースのクライアント アプリケーションへの SSO アクセスを提供します。 |
これらのサードパーティ製品は、次の設定要件を満たす必要があります。
Active Directory は、LDAP サーバとしてではなく、Windows ドメインベースのネットワーク設定で導入される必要があります。
OpenAM サーバは、ネットワーク上のすべてのクライアント システムおよび Active Directory サーバからアクセスできる必要があります。
Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、IM and Presence Service、および OpenAM サーバは、同じドメイン内に存在する必要があります。
DNS をドメイン内で有効にする必要があります。
SSO に参加するすべてのエンティティのクロックを同期させる必要があります。
サードパーティ製品の詳細については、各製品のマニュアルを参照してください。
次の表は、この章に示されている手順で使用され、テストされたソフトウェア アプリケーションとバージョンのリストです。シスコのサポートを受けるには、シスコは設定時にこれらの推奨要件に従うことを推奨します。
コンポーネント | バージョン |
---|---|
Active Directory |
Windows Server 2008 R2 Enterprise |
エンド ユーザ クライアント用のデスクトップ オペレーティング システム |
Windows 7 Professional(SP1) |
OpenAM |
OpenAM Release 10.0 http://forgerock.org/openam-archive.html 詳細については、次を参照してください。 https://wikis.forgerock.org/confluence/display/openam/OpenAM+Release+Documentation |
OpenAM の基盤となるオペレーティング システム |
Windows Server 2008 R2 Enterprise |
OpenAM のロード先の Apache Tomcat |
Tomcat 6.0.2.0、Tomcat 7.0.29 http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.29/bin |
OpenAM の Java Development Kit(JDK)の基盤となるオペレーティング システム |
JDK 7 アップデート |
Web ブラウザ |
Internet Explorer 8、9、および Mozilla Firefox 10、11 |
(注) |
Release 10.0(1) 以降、エージェントのフロー SSO は FIPS モードとの互換性がありません。 |
SSO の設定が可能な限り円滑に動作するよう、SSO を設定する前に次の情報を収集することを推奨します。
OpenAM システムのインストール ベースのオペレーティング システム(Windows サーバなど)が動作していることを確認します。
OpenAM が統合される Windows Active Directory(AD)サーバの完全修飾ドメイン名(FQDN)を書き留めます。
OpenAM をインストールする Windows サーバの FQDN を書き留めます。
IM and Presence Web アプリケーションのタイムアウトが、クラスタ内のすべての IM and Presence ノード間で一貫して設定されていることを確認し、そのタイムアウト値を書き留めます。Cisco Unified CM IM and Presence の管理 CLI を使用して、show webapp session timeout コマンドを入力し、タイムアウト値を確認します。詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。
「sAMAccountName」をユーザ ID の LDAP 属性として使用して、Active Directory(AD)からユーザを同期するように Cisco Unified Communications Manager が設定されていることを確認します。詳細については、『Cisco Unified Communications Manager System Guide』の「DirSync サービス」の章を参照してください。
Windows Server 2008 がインストールされたツールをサポートすることを確認します。サポート ツールは、Windows Server 2008 にデフォルトでインストールされています。
ブラウザベースのクライアント アプリケーションに SSO を使用する場合は、Web ブラウザを設定する必要があります。ここでは、SSO を使用するようにクライアント ブラウザを設定する方法について説明します。
SSO 機能は、Internet Explorer を実行している Windows クライアントをサポートします。SSO を使用するために Internet Explorer を設定するには、次の手順を実行します。
ヒント |
サポートされる Web ブラウザの詳細については、サードパーティ製ソフトウェアとシングル サインオンのシステム要件に関連するトピックを参照してください。 |
ステップ 1 | タブを選択します。 |
ステップ 2 | [統合 Windows 認証を有効にする(Enable Integrated Windows Authentication)] をオンにします。 |
ステップ 3 | [OK] をクリックして変更を保存します。 |
ステップ 4 | Internet Explorer を再起動します。 |
ステップ 5 | [レベルのカスタマイズ(Custom Level)] をクリックします。 を選択し、 |
ステップ 6 | [ユーザ認証(User Authentication)] で、[イントラネット ゾーンでのみ自動的にログオンする(Automatic Logon Only in Intranet Zone)] を選択します。 |
ステップ 7 | [OK] をクリックします。 |
ステップ 8 | [サイト(Sites)] をクリックします。 |
ステップ 9 | [イントラネットのネットワークを自動的に検出する(Automatically detect intranet network)] をオンにします。 |
ステップ 10 | [詳細設定(Advanced)] をクリックします。 |
ステップ 11 | [この Web サイトをゾーンに追加する(Add this web site to the zone)] フィールドに、OpenAM サーバの FQDN を https://OpenAM_FQDN の形式で入力します。 |
ステップ 12 | [追加(Add)] をクリックします。 |
ステップ 13 | [閉じる(Close)] をクリックします。 |
ステップ 14 | [OK] をクリックします。 |
ステップ 15 | [保護モードを有効にする(Enable Protected Mode)] をオフにします。 |
ステップ 16 | [適用(Apply)] をクリックします。 |
ステップ 17 | [OK] をクリックします。 |
ステップ 18 | Internet Explorer を再起動します。 |
ステップ 19 | Windows レジストリ エディタを開きます。次のいずれかの操作を実行します。 |
ステップ 20 |
登録キー [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\] の下の を右クリックして、選択し、SuppressExtendedProtection に名前を変更します。 管理者のみ DWORD を設定できます。 |
ステップ 21 |
次の値を設定します。
|
SSO 機能は、Firefox を実行する Windows クライアントをサポートしています。
ヒント |
サポートされている Web ブラウザの一覧については、「サードパーティ製ソフトウェアとシングル サインオンのシステム要件」に関するトピックを参照してください。 |
ステップ 1 | Firefox を開き、次の URL を入力します。about:config |
ステップ 2 | [network.negotiate-auth.trusted-uris] へスクロール ダウンし、[プリファレンス名(Preference Name)] を右クリックし、[変更(Modify)] を選択します。 |
ステップ 3 | ドメイン(たとえば、cisco.com)に文字列値を設定します。 |
ステップ 4 | [OK] をクリックします。 |
Real-Time Monitoring Tool(RTMT)用の SSO 設定は任意です。この設定を実現するには、デスクトップ クライアントの新しいレジストリ キーを作成する必要があります(Windows XP または Windows 7)。
(注) |
管理者は、デスクトップ クライアント用の「allowtgtsessionkey」レジストリ キー エントリを設定する必要があります。 |
この新しいレジストリ キーは、オペレーティング システムに応じて、次の場所のいずれかに保存します。
ステップ 1 | 使用するオペレーティング システムに応じて、次の場所のいずれかに移動します。 |
ステップ 2 | フォルダを右クリックし、 を選択し、「allowtgtsessionkey」に名前を変更します。 |
ステップ 3 | 新しく作成されたレジストリ キーを右クリックし、[変更(Modify)] を選択します。 |
ステップ 4 | [値のデータ(Value data)] フィールドに、「I」と入力します。 |
OpenAM は Java Runtime Environment(JRE)が動作している必要があります。次の手順は、OpenAM ベースのシステムを形成する Windows サーバに JRE をインストールするための詳細を提供します。
ステップ 1 | http://www.oracle.com/technetwork/java/archive-139210.html に進みます。 | ||
ステップ 2 |
サーバ アーキテクチャ(Windows x86 または Windows x64)に対応する実行ファイル選択して、JDK のインストール ファイルの推奨バージョンをダウンロードします。
|
||
ステップ 3 |
ダウンロードしたファイルをダブルクリックして、JDK のインストールを開始し、インストール ウィザードで提供されるデフォルト値を受け入れます。
|
||
ステップ 4 | Java キー ストアと関連付けられたセキュリティ証明書は、Apache Tomcat で動作する OpenAM サーバへのセキュア接続を容易にするために必要とされます。次のいずれかの操作を実行します。 | ||
ステップ 5 |
Windows サーバ の Windows コマンド プロンプトを開くことによって、また、コマンドを実行することによってJava キーストアを作成します。実行するコマンドは次のとおりです。C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -genkey -alias tomcat -keyalg RSA -validity 1825 -keystore C:\keystore このコマンドは、C:\keystore に Java キーストア ファイルを作成します。keytool コマンドは、<jdk-path>/bin ディレクトリにあり、上記のコマンドの keytool コマンドへの正確なパスは使用される JDK のバージョンによって異なる場合があります。keytool コマンドの詳細については、http://docs.oracle.com/javase/7/docs/technotes/tools/windows/keytool.html を参照してください。 |
||
ステップ 6 |
キーストア パスワードを入力するよう求められたら、有効なキーストア パスワードを入力します。たとえば、「cisco!123」などです。キーストアにアクセスする必要があるので、キーストア パスワードを書き留めておいてください。
|
||
ステップ 7 |
名および姓を入力するよう求められたら、OpenAM サーバの FQDN (hostname.domainname)を入力します。 また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。 |
||
ステップ 8 | Tomcat パスワードを入力するよう求められたら、Tomcat プライベート キーに同じキー ストアのパスワードを使用するには、[Return] キーを押します。Java キーストアは keytool コマンドで指定された場所に作成されます。たとえば、C:\keystore です。 | ||
ステップ 9 |
次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -list -v -alias tomcat -keystore C:\keystore |
||
ステップ 10 |
Tomcat の自己署名セキュリティ証明書を選択する場合は、この手順の最後に進み、このタスクを実行を検討してください。 |
||
ステップ 11 |
OpenAM/Tomcat の認証局(CA)署名のセキュリティ証明書を保存するために Java キーストアを作成します。Windows サーバでコマンド プロンプトを開き、次のコマンドを実行します。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -genkey -alias tomcat -keyalg RSA -validity 1825 -keystore C:\keystore このコマンドは、C:\keystore に Java キーストア ファイルを作成します。keytool コマンドは、<jdk-path>/bin ディレクトリにあり、上記の例の keytool コマンドへの正確なパスは使用される JDK のバージョンによって異なる場合があります。keytool コマンドの詳細については、http://docs.oracle.com/javase/7/docs/technotes/tools/windows/keytool.html を参照してください。 |
||
ステップ 12 |
キーストア パスワードを入力するよう求められたら、有効なキーストア パスワードを入力します。たとえば、「cisco!123」などです。キーストアにアクセスする必要があるので、キーストア パスワードを書き留めておいてください。 実稼働サーバで値の例を使用せず、キーストアの固有のパスワード値を使用してください。このパスワードは、Apache Tomcat コンフィギュレーション ファイルおよびユーティリティのプレーン テキストで表示されます。 |
||
ステップ 13 |
名および姓を入力するよう求められたら、OpenAM サーバの FQDN (hostname.domainname)を入力します。 また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。 |
||
ステップ 14 | Tomcat パスワードを入力するよう求められたら、Tomcat プライベート キーに同じキー ストアのパスワードを使用するには、[Return] キーを押します。Java キーストアは keytool コマンドで指定された場所に作成されます。たとえば、C:\keystore です。 | ||
ステップ 15 |
次のコマンドを使用して、キーストアの Tomcat 証明書を表示できます。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -list -v -alias tomcat -keystore C:\keystore |
||
ステップ 16 |
OpenAM/Tomcat インスタンスの証明書署名要求(CSR)を生成します。Windows サーバでコマンド プロンプトを開き、次のコマンドを実行します。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore C:\keystore |
||
ステップ 17 |
CSR を CA に送信し、CSR に署名し、証明書を作成することを CA に要求します。OpenAM サーバとなる Windows サーバに次の証明書を取得し、コピーします。
|
||
ステップ 18 |
ステップ 11 で作成された Java キー ストアに CA の署名またはルート証明書をインポートします。Windows サーバでコマンド プロンプトを開き、「この証明書を実行しますか」というプロンプトに「はい(yes)」と応答する次のコマンドを実行します。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -import -alias root -trustcacerts -file <filename_of_the_CA_root_certificate> -keystore C:\keystore |
||
ステップ 19 |
次のコマンドを使用して、キーストアの CA 署名の証明書を検索できます。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -list -v -alias root -keystore C:\keystore |
||
ステップ 20 |
ステップ 11 で作成された Java キーストアに他の中間署名証明書(該当する場合)をインポートします。Windows サーバでコマンド プロンプトを開き、「この証明書を実行しますか」というプロンプトに「はい(yes)」と応答する次のコマンドを実行します。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -import -alias inter01 -trustcacerts -file <filepath_of_the_intermediate_signing_certificate> -keystore C:\keystore - alias オプションを Java キーストアに固定の値で更新する必要があります。そうしない場合、インポート操作は「インポートされていない証明書は、alias<inter01> はすでに存在します」のようなエラーになります。 |
||
ステップ 21 |
次のコマンドを使用してキーストアの中間署名証明書を表示できます。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -list -v -alias inter01 C:\keystore - alias オプションを表示する中間証明書の対応するエイリアス値で更新する必要があります。上記の例は、「inter01」のサンプル エイリアス値を使用します。 |
||
ステップ 22 |
ステップ 11 で作成された Java キーストアに最新の署名付き証明書の OpenAM/tomcat 証明書をインポートします。Windows サーバでコマンド プロンプトを開き、次のコマンドを実行します。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -import -alias tomcat -file <new_certificate_filepath> -keystore C:\keystore |
||
ステップ 23 |
次のコマンドを使用して、キーストアの新しい OpenAM/Tomcat 証明書を表示できます。 例:C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keytool.exe" -list -v -alias tomcat -keystore C:\keystore この新しい tomcat 証明書の発行者は CA または中間 CA の 1 つです(該当する場合)。 |
OpenAM は SSO が有効に設定された各 IM and Presence サービス ノードに存在する J2EE エージェント コンポーネントと通信する必要があります。この通信は暗号化されたチャネル経由であるため、必要なセキュリティ証明書を OpenAM にインポートする必要があります。
OpenAM サーバは確立される暗号化された通信チャネルの各 IM and Presence サービス ノードが提示するセキュリティ証明書を信頼する必要があります。OpenAM は OpenAM キーストアへ必要なセキュリティ証明書をインポートすることでセキュリティ証明書を信頼します。特定の IM and Presence サービス ノードは、セキュリティ証明書の 2 種類うち 1 つを提示できます。
(注) |
IM and Presence サービスの Tomcat 証明書と tomcat-trust の信頼ストアは OpenAM のセキュア通信のためのセキュリティ証明書が含まれます。他の IM and Presence サービスの証明書と関連する信頼ストアは SSO には関連しません(たとえば、cup、cup-xmpp、cup-xmpp-s2s または ipsec)。 |
自己署名証明書を使用するように SSO 対応の IM and Presence サービス展開を設定する場合は、自己署名証明書をそれぞれ、OpenAM にインポートする必要があります。
CA 署名付き証明書を使用するように SSO 対応の IM and Presence サービス展開が設定される場合は、CA ルート証明書および関連する中間証明書を OpenAM にインポートする必要があります。また OpenAM/Tomcat インスタンスに CA 署名付き証明書を使用する場合も、要求される CA ルート証明書および中間証明書は OpenAM キーストアにすでにインポートされている可能性があります。
この手順は、Java をインストールした時に、IM and Presence サービス ノードによって使用されるセキュリティ証明書のタイプを識別する方法と、作成された OpenAM キーストアに証明書をインポートする方法の詳細を提供します。
ステップ 1 | SSO 対応の IM and Presence サービス ノードの Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。 | ||
ステップ 2 | を選択します。 | ||
ステップ 3 | [検索(Find)] をクリックします。 | ||
ステップ 4 | Tomcat の証明書の名前のエントリを見つけます。 | ||
ステップ 5 | Tomcat 証明書の[説明(Description)] 列を確認します。 | ||
ステップ 6 |
説明が、Tomcat 証明書はシステムによって生成された自己署名証明書であることを示す場合は、IM and Presence サービス ノードが自己署名証明書を使用していることを示します。この説明がない場合、CA 署名付き証明書が使用できます。
|
||
ステップ 7 | [tomcat.pem(tomcat.pem)] リンクをクリックします。 | ||
ステップ 8 | tomcat.pem ファイルをダウンロードするには、[ダウンロード(Download)] をクリックします。 | ||
ステップ 9 | OpenAM サーバに tomcat.pem ファイルをコピーします。 | ||
ステップ 10 |
Java をインストールした時に、OpenAM サーバで作成されるキーストアに信頼できる証明書として tomcat.pem ファイルをインポートします。Windows サーバ(OpenAM)でコマンド プロンプトを開き、次のコマンドを実行します。環境に合わせて keytool コマンドのパスとキーストアの場所の値のコマンドを更新するには、「この証明書を信頼しますか」というプロンプトに「はい(yes)」と応答します。 C:\>"C:\Program Files\Java\jdkl.7.0_03\bin\keystool.exe" -import -alias cup01 -trustcacerts -file <full_filepath_of_the_tomcat.pem> -keystore C:\keystore
|
||
ステップ 11 |
環境に合わせて keytool コマンドのパスとキーストアの場所の値を更新することで、次のコマンドを使用してキーストアの tomcat.pem を表示できます。 C:\>"C:\Program Files\Java\jdk1.7.0_03\bin\keystool.exe -list -v -alias cup01 -keystore C:\keystore
|
||
ステップ 12 | ステップ 16 に進みます。 | ||
ステップ 13 | IM and Presence サービス のTomcat 証明書の署名に使用された CA ルート証明書と中間証明書を識別します。CA から OpenAM サーバに必要な証明書(CA ルート証明書および中間証明書)をダウンロードします。 | ||
ステップ 14 |
信頼される証明書として OpenAM サーバのキーストアにこれらの証明書をインポートします。Windows サーバ(OpenAM)でコマンド プロンプトを開き、環境に合わせて keytool コマンドのパスとキーストアの場所の値のコマンドを更新することで、ダウンロードした証明書それぞれに次のコマンドを実行し、「この証明書を信頼しますか」というプロンプトに「はい(Yes)」と答えます。 C:\>"C:\Program Files\Java\jdk1.7.0_03\bin\keytool.exe" -import -alias root_ca -trustcacerts -file <full_filepath_of_the_certificate> -keystore C:\keystore
|
||
ステップ 15 |
環境に合わせて keytool コマンドのパスとキーストアの場所の値を更新することで、次のコマンドを使用してキーストアの証明書を表示できます。 C:\>"C:\Program Files\Java\jdk1.7.0_03\bin\keystool.exe -list -v -alias root_ca -keystore C:\keystore
|
||
ステップ 16 |
SSO が有効に設定されている IM and Presence ノードそれぞれで、この手順を繰り返します。
|
OpenAM では Apache Tomcat Web コンテナを OpenAM サーバ の Windows サーバ ベース のシステムにインストールする必要があります。この手順では、OpenAM Windows ベースのシステムでの Apache Tomcat のインストールの手順の詳細を説明します。この手順で参照される変数の説明については、次の表を参照してください。
変数 | 説明 |
---|---|
<certstore-path> |
Java アプリケーションと Apache Tomcat で使用される Java キーストアへのファイル パス。信頼できるサーバの公開証明書はこのキーストアに保存されます。Java キー ストアのファイル パスを設定するために次の手順のステップ 5 または 11 を参照してください。 |
<certstore-password> |
<certstore-path> にある Java キーストアへのアクセスに使用するパスワード。Java キーストア パスワードに使用する値を設定するには、次の手順のステップ 6 または 12 を参照してください。 |
ステップ 1 |
OpenAM ベース システムを構成する Windows サーバに Apache Tomcat の推奨バージョンをダウンロードします。推奨されるソフトウェアとバージョンの一覧については、シングル サインオンのサードパーティ製ソフトウェアとシステム要件に関するトピックを参照してください。
|
||
ステップ 2 | Apache Tomcat のインストールを開始するには、ダウンロードしたファイルをダブルクリックします。 | ||
ステップ 3 | Apache Tomcat セットアップ ウィザードで [次へ(Next)] をクリックします。 | ||
ステップ 4 | [ライセンス契約書(License Agreement)] ダイアログボックスで、[同意する(I agree)] をクリックします。 | ||
ステップ 5 | [コンポーネントを選択(Choose Components)] ダイアログボックスで、インストールのタイプとして、[最少(Minimum)] をクリックして [次へ(Next)] を選択します。 | ||
ステップ 6 | [設定(Configuration)] ダイアログボックスで、デフォルト設定に同意し、[次へ(Next)] をクリックします。 | ||
ステップ 7 |
[Java 仮想マシーン(Java Virtual Machine)] ダイアログボックスで、インストールされている JRE のパスが jre-path の値に設定されていることを確認します。
|
||
ステップ 8 | [次へ(Next)] をクリックします。 | ||
ステップ 9 |
[インストール先の選択(Choose Install Location)] ダイアログボックスで、デフォルト設定を受け入れて、[インストール(Install)] をクリックします。後で必要になるので、Tomcat のインストール先を書き留めてください。
|
||
ステップ 10 | [終了(Finish)] をクリックします。 | ||
ステップ 11 | 自動的に起動するように Apache Tomcat を設定します。 | ||
ステップ 12 |
Apache Tomcat ランタイム パラメータを設定します。
|
||
ステップ 13 |
テキスト エディタを使用して、<tomcat-dir>\conf フォルダの下にある server.xml ファイルを開きます。<tomcat-dir> の値を設定するには、ステップ 9 を参照してください。 例:値の例は「C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf」です。 |
||
ステップ 14 |
8080 コネクタ ポートをコメントにします。次のようにコードを入力します。 例: <!-- <Connector port=”8080” protocol=”HTTP/1.1” connectionTimeout=”20000” redirectPort=”8443” /> --> |
||
ステップ 15 |
8443 コネクタ ポートをアンコメントにします。8443 コネクタの最後の <!- - code at the beginning and - -> を削除します。コネクタの設定に、さらに 3 つの属性を追加する必要があります。
次のようにコードを入力します。 例: <Connector port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” maxThreads=”150” scheme=”https” secure=”true” clientAuth=”false” sslProtocol=”TLS” keystoreFile=”<certstore-path>” keystorePass=”<certstore-password>” keystoreType”JKS”/>
|
||
ステップ 16 | server.xml ファイルを保存します。 | ||
ステップ 17 | Tomcat サービスを開始します。 | ||
ステップ 18 | 設定をテストするには、Tomcat インスタンスを Windows サーバの Web ブラウザを開始し、https://localhost:8443/tomcat.gif にアクセスしてください。Web ブラウザが Tomcat インスタンスによって表示されるセキュリティ証明書を信頼しないので、Web ブラウザで非セキュアな接続に関する警告ダイアログが表示される場合があります。証明書を確認するか、ローカル証明書ストアに証明書を追加することで、ブラウザが証明書を信頼するか、使用可能なブラウザ コントロールを使用してWeb アプリケーション(より低いセキュア オプション)の手順を実行できます。設定が正しい場合、Tomcat ロゴは Web ブラウザ ウィンドウに表示されます。 | ||
ステップ 19 |
Apache Tomcat への着信接続を許可するために Windows ファイアウォールを設定します。
|
||
ステップ 20 | 設定をテストするには、ネットワークの別のホストにログインして、Tomcat インスタンスを含む Windows サーバの Web ブラウザを開始し、https://<openam-fqdn>:8443/tomcat.gif の Tomcat インスタンスを含む Windows サーバの完全修飾ドメイン名である <openam-fqdn> を参照します。 Web ブラウザが Tomcat インスタンスによって表示されるセキュリティ証明書を信頼しないので、Web ブラウザで非セキュアな接続に関する警告ダイアログが表示される場合があります。証明書を確認するか、ローカル証明書ストアに証明書を追加することで、ブラウザが証明書を信頼するか、使用可能なブラウザ コントロールを使用してWeb アプリケーション(より低いセキュア オプション)の手順を実行できます。設定が正しい場合、Tomcat ロゴは Web ブラウザ ウィンドウにロードされ表示されます。 |
ステップ 1 |
ForgeRock の Web サイトから推奨される OpenAM リリースをダウンロードします。
|
||
ステップ 2 | .zip ファイルを取得し、.zip ファイルに含まれる opensso.war ファイルを検索します。 | ||
ステップ 3 | OpenAM サーバとなる Windows サーバに WAR ファイルをコピーします。この Windows サーバは、以前に設定された Tomcat サービスを実行する必要があります。 | ||
ステップ 4 | Apache Tomcat サービスが実行中の場合は、Apache Tomcat サービスを停止します | ||
ステップ 5 |
WAR ファイルを次の場所にコピーすることによって Tomcat インスタンスを含むWindows サーバの WAR ファイルを展開します。<tomcat-dir>\webapps 例:C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps
|
||
ステップ 6 |
Apache Tomcat サービスを開始します。
|
||
ステップ 7 | Web ブラウザを起動するか、または https://<openam-fqdn>:8443/<war-file-name> を入力して設定を確認します。そこでの <openam-fqdn> は、OpenAM/Tomcat インスタンスを含む Windows サーバの FQDN であり、<war-file-name> は拡張子(.war)が削除された OpenAM WAR ファイルの名前です。設定が正しい場合は、OpenAM 管理インターフェイスで Web ブラウザ ウィンドウがロードされます。 |
次の手順では、OpenAM の設定方法を指定します。既存の OpenAM サーバがある場合、または OpenAM について確実に理解している場合は、サーバを別に設定できます。
OpenAM サーバおよび J2EE Policy エージェントには、インストールを実行するマシンのホスト名の FQDN が必要です。インストール、設定、使用の問題が発生しないように、「localhost」のようなホスト名または「192.168.1.2」のような数字の IP アドレスの使用を避けることを強く推奨します。
OpenAM は Web ブラウザを使用してアクセスする必要がある、Mozilla Firefox などの Web ベースの管理インターフェイス を提供します。OpenAM に初めてアクセスする場合は、https://server1.cisco.com:8443/opensso などの URL で、OpenAM サーバの FQDN を使用する必要があります。このサンプルの URL 値では、OpenAM WAR ファイルが opensso として導入されることが想定されます。
デフォルトでは、OpenAM は Windows プラットフォームの C:\opensso の下に展開されます。
ステップ 1 |
Web ブラウザを開き、次の URL を使用して OpenAM サーバに移動します。https://<fqdn of openam server>:8443/<WAR filename>。 例:https://server1.cisco.com:8443/opensso
|
||
ステップ 2 |
[デフォルト設定の作成(Create Default Configuration)] を選択します。
|
||
ステップ 3 |
[OpenSSO コンフィギュレータ(OpenSSO Configurator)] ウィンドウで、OpenAM 管理者(amAdmin)とデフォルト ポリシー エージェントのユーザ(UrlAccessAgent)のパスワードを指定し、確認します。デフォルト ポリシー エージェント ユーザは、この設定例では後で使用しません。amAdmin は、設定を変更するために OpenAM にログインするたびに使用します。
|
||
ステップ 4 |
[構成の作成(Create Configuration)] をクリックします。 設定が完了すると通知されます。 |
||
ステップ 5 | [ログインへ進む(Proceed to Login)] を選択します。 | ||
ステップ 6 | amAdmin 用に、前に設定したユーザ名とパスワードを使用して展開した OpenAM Web アプリケーションにログインします。 | ||
ステップ 7 | [アクセス コントロール(Access Control)] タブで、[/(最上位領域)(/(Top Level Realm))] をクリックします。 | ||
ステップ 8 | [(Authentication認証)] タブで、[コア(Core)] をクリックします。 | ||
ステップ 9 | [すべてのコアの設定(All Core Settings)] クリックします。 | ||
ステップ 10 | [ユーザ プロファイル(User Profile)] を [無視(Ignored)] に設定します。 | ||
ステップ 11 | プロファイルを更新するには、[保存(Save)] をクリックします。 | ||
ステップ 12 | OpenAM GUI からログアウトします。 |
次の表で詳しく説明するポリシー ルールを使用して OpenAM サーバ ポリシーをセットアップします。
サービス タイプ(Service Type) |
Name |
リソース名 |
操作 |
---|---|---|---|
URL のポリシー エージェント(リソース名を含む) |
<hostname>-01 |
https://<IMP FQDN>/* | Enable GET, Value = Allow Enable POST , Value = Allow |
<hostname>-02 |
https://<IMP FQDN>/*?* | ||
<hostname>-03 |
https://<IMP FQDN>/*?*?* | ||
<hostname>-04 |
https://<IMP FQDN>:8443/* | ||
<hostname>-05 |
https://<IMP FQDN>:8443/*?* | ||
<hostname>-06 |
https://<IMP FQDN>:8443/*?*?* |
https://<IMP HOSTNAME> (たとえば、https://IMP-Node-01/)などのホスト名だけを指定する URL を使用して Cisco Unified CM IM and Presence の管理/ユーザ インターフェイスにアクセスすることはできません。
ステップ 1 | OpenAM 管理インターフェイスにログインします。 |
ステップ 2 | [アクセス コントロール(Access Control)] タブで、[/(トップ レベルのレルム)(/(Top Level Realm))] を選択します。 |
ステップ 3 | [ポリシー(Policies)] タブで、[新規ポリシー(New Policy)] をクリックします。 |
ステップ 4 |
[名前(Name)] フィールドに、ポリシー名(IMPPolicy など)を入力し、[OK(OK)] をクリックします。 IMPPolicy はあくまでも推奨値です。有効な名前の値を使用できます。この後の設定では、この値は必要ありません。 |
ステップ 5 | 編集のために、新しいポリシー [IMPPolicy(IMPPolicy)] を選択します。 |
ステップ 6 | [ルール(Rules)] をクリックします。 |
ステップ 7 |
次の順序でルールを追加します。
SSO の有効な各 IM and Presence サービス ノードに、この 6 つのルールのセットを追加する必要があります。 |
ステップ 8 |
ポリシーに 1 つのサブジェクトを追加する必要があります。次のようにサブジェクトを追加します。
複数の IM and Presence サービス ノードがシングル サインオンで有効な場合は、1 つのサブジェクトだけがこのポリシーで必要です。 |
ステップ 9 |
ポリシーに 1 つの条件を追加する必要があります。次のように条件を追加します。
複数の IM and Presence サービス ノードが SSO で有効な場合は、1 つの条件だけがこのポリシーで必要であることに注意してください。 |
この単一のモジュール インスタンスは、同じ Active Directory ドメインが展開全体で使用されている限り、SSO が設定されている複数の IM and Presence サービス ノードを共有することができます。複数の Active Directory ドメインを含む導入シナリオでは、このマニュアルでは説明しません。
ステップ 1 | OpenAM 管理インターフェイスにログインします。 | ||||||||||||
ステップ 2 | [アクセス コントロール(Access Control)] タブから、[トップ レベルのレルム(Top Level Realm)] をクリックします。 | ||||||||||||
ステップ 3 | [認証(Authentication)] タブで、[モジュール インスタンス(Module Instances)] をクリックします。 | ||||||||||||
ステップ 4 | [モジュール インスタンス(Module Instances)] ウィンドウで、[新規(New)] をクリックします。 | ||||||||||||
ステップ 5 | 新しいログイン モジュール インスタンス名(IMPKRBなど)を入力して、[タイプ(Type)] リストから [Windows デスクトップ SSO(Windows Desktop SSO)] を選択します。 | ||||||||||||
ステップ 6 |
[OK] をクリックします。 このモジュール インスタンス名は、後で IM and Presence ノードで SSO を有効にするときに使用されます。 |
||||||||||||
ステップ 7 | [保存(Save)] をクリックします。 | ||||||||||||
ステップ 8 |
[モジュール インスタンス(Module Instances)] ウィンドウで、新しいログイン モジュールの名前(たとえば、IMPKRB)を選択し、次の情報を入力します。
|
||||||||||||
ステップ 9 |
[保存(Save)] をクリックします。 モジュール インスタンスが IMPKRB という名前で作成されます。 |
||||||||||||
ステップ 10 |
SSO モジュールが有効な Windows ユーザとしてWindows デスクトップ セッションにログインすることで正常に機能することを確認します(AD に存在する有効なエンド ユーザでログインし、管理者アカウントは使用しないでください)。次の URL にアクセスしてください。
https://<openam-FQDN>:8443/<war-file-name>/UI/Login?module=<SSO_Module> ここで、
画面がログインに成功したことを通知します。 |
J2EE エージェントは、SSO が有効な各 IM and Presence Service ノードでインスタンス化される内部コンポーネントです。J2EE エージェントごとに、OpenAM サーバで関連する J2EE エージェント プロファイルを設定する必要があります。したがって、J2EE エージェント プロファイルは SSO が有効なすべての IM and Presence Service ノードで必要です。複数のノードを SSO 用に設定する場合は、J2EE エージェント プロファイルを追加の各ノードに作成する必要があります。
パラメータ | 説明 | ||
---|---|---|---|
名前 |
J2EE Policy Agent の名前。たとえば、<hostname-j2ee-agent>。この場合、hostname は IM and Presence Service ノードのホスト名(たとえば、impNode01 j2ee agent)です。 |
||
Password |
J2EE Policy Agent のパスワード。
|
||
Configuration |
J2EE Policy Agent 設定が保存されている場所を制御します。 [一元化(Centralized)] を選択します。 |
||
Server URL |
OpenAM サーバの完全な URL。 たとえば、https://<OpenAM FQDN>:8443/opensso。この場合、opensso は .war 拡張子が削除された OpenAM War ファイルの名前です。 |
||
Agent URL |
OpenAM が通知をパブリッシュする J2EE Policy Agent の URL。 たとえば、https://<IMP FQDN>:8443/agentapp
|
Application | サンプル値 |
---|---|
Cisco Unified CM IM and Presence の管理 |
/cupadmin/WEB-INF/pages/logon.jsp |
Cisco Unified IM and Presence サービスアビリティ |
/ccmservice/WEB-INF/pages/logon.jsp |
Cisco Unified IM and Presence のレポート |
/cucreports/WEB-INF/pages/logon.jsp |
Cisco Unified IM and Presence OS の管理 |
/cmplatform/WEB-INF/pages/logon.jsp |
IM and Presence のディザスタ リカバリ システム |
/drf/WEB-INF/pages/logon.jsp |
Real Time Monitoring Tool(RTMT) |
/ast/WEB-INF/pages/logon.jsp |
Cisco Client Profile Agent |
/ssoservlet/WEB-INF/pages/logon.html |
ステップ 1 | OpenAM 管理インターフェイスにログインします。 | ||
ステップ 2 | [アクセス コントロール(Access Control)] タブで、[/(最上位領域)(/(Top Level Realm))] をクリックします。 | ||
ステップ 3 | [エージェント(Agents)] タブから、[J2EE(J2EE)] タブを選択します。 | ||
ステップ 4 | [エージェント(Agents)] セクションで、[新規(New)] をクリックします。 | ||
ステップ 5 | J2EE セットアップ パラメータを入力します。 | ||
ステップ 6 |
[作成(Create)] をクリックします。 <hostname-j2ee-agent> の名前で J2EE エージェントが作成されます。 |
||
ステップ 7 | 作成した J2EE エージェントを選択します。 | ||
ステップ 8 | [ログイン処理(Login Processing)] セクションの下の [アプリケーション(Application)] タブで、IM and Presence Service の各 Web GUI アプリケーションの ログイン フォームの URI を追加します。 | ||
ステップ 9 | [保存(Save)] をクリックします。 | ||
ステップ 10 |
[OpenAM サービス(OpenAM Services)] タブで、https://<OpenAM FQDN>:8443/<war-file-name>/UI/Login?module=<SSO_Module> のように OpenSSO のログイン URL を追加します。
|
||
ステップ 11 | テキスト領域で、ログイン URL 以外のすべての URL を削除します。前のステップで指定したログイン URL のみがテキスト領域にリストされている必要があります。 | ||
ステップ 12 | [保存(Save)] をクリックします。 | ||
ステップ 13 | [メイン ページに戻る(Back to Main Page)] をクリックします。 | ||
ステップ 14 | SSO 用に有効にするその他すべての IM and Presence Service ノードの J2EE プロファイル エージェントを作成するために、ステップ 4 から ステップ 13 を繰り返します。 |
OpenAM セッション タイムアウトは、IM and Presence サービス ノードにセットされるセッション タイムアウト パラメータよりも大きい値に設定する必要があります。IM and Presence サービス ノードのセッション タイムアウト値を決定するには、CLI を使用して次のコマンドを入力してください。
show webapp session timeout
ステップ 1 | OpenAM 管理インターフェイスにログインします。 |
ステップ 2 | [設定(Configuration)] タブで、[グローバル(Global)] を選択します。 |
ステップ 3 | [セッション(Session)] をクリックします。 |
ステップ 4 | [ダイナミック属性(Dynamic Attributes)] をクリックします。 |
ステップ 5 | [最大アイドル時間(Maximum Idle Time)] フィールドに値を入力します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
SSO の IM and Presence サービス ノードは、暗号化されたチャネル経由の OpenAM サーバと通信します。暗号化された通信チャネルの確立は、OpenAM サーバによって提示されるセキュリティ証明書を信頼するために、SSO を有する各 IM and Presence サービス ノードが必要です。IM and Presence サービス ノードは tomcat-trust の信頼ストアに必要なセキュリティ証明書をインポートすることで、セキュリティ証明書を信頼します。
注意 |
OpenAM 証明書のインポートはサービスに影響し、メンテナンス時間帯に OpenAM 証明書をインポートすることを強く推奨します。 |
(注) |
証明書のインポートの詳細については、『Cisco Unified System Maintenance Guide for IM and Presence』を参照してください。 |
ステップ 1 | SSO 対応の IM and Presence データベース パブリッシャ ノードの Cisco Unified CM IM and Presence の管理にログインします。 | ||
ステップ 2 | を選択します。 | ||
ステップ 3 | 証明書信頼ストアとして [Tomcat 信頼(Tomcat Trust)] を選択します。 | ||
ステップ 4 | [ピア サーバ(Peer Server)] として OpenAM サーバの完全修飾ドメイン名を入力します。 | ||
ステップ 5 | [ピア サーバ ポート(Peer Server Port)] として 8443 を入力します。 | ||
ステップ 6 |
[送信(Submit)] をクリックします。 証明書インポート ツールは 2 種類のテストを実行します。
|
||
ステップ 7 | [設定(Configure)] をクリックして証明書ビューアを開きます。証明書ビューアは、TLS 接続ハンドシェイク中に OpenAM から提示される証明書チェーンを視覚的に表示します。これは、この IM and Presence サービス ノードにインポートされる必要がある証明書を表示します。 | ||
ステップ 8 | チェーンの証明書を検査し、発行者が信頼できることを確認します。 | ||
ステップ 9 |
[証明書チェーンを許可する(Accept Certificate Chain)] のチェックボックスをオンにし、[保存(Save)] をクリックします。 チェーンから必要な証明書が、この IM and Presence サービス ノードの tomcat-trust の信頼ストアに今すぐインポートされます。 |
||
ステップ 10 |
[閉じる(Close)] をクリックします。 証明書のインポート ツールは「証明書が検証に成功」と報告します。 |
||
ステップ 11 | 次の CLI コマンドを使用して、このノードのCisco Intercluster Sync Agent サービスを再起動します。utils service restart Cisco Intercluster Sync Agent | ||
ステップ 12 | 次の CLI コマンドを使用して、このノードで Tomcat サービスを再起動します。 utils service restart Cisco Tomcat | ||
ステップ 13 | このクラスタの各 IM and Presence サービス サブスクライバ ノードのステップ 11 と 12 を繰り返します。 | ||
ステップ 14 | このクラスタの各サブスクライバ ノードの証明書のインポート ツールを使用して、セキュアな接続を確認します。 | ||
ステップ 15 | SSO が有効なすべての IM and Presence サービス クラスタのための、この手順を繰り返します。 |
SSO を有効にする場合は、ここに示す順序で次のタスクを実行する必要があります。
注意 |
SSO を有効にするとサービスに影響を与えます。そのため、メンテナンス時に、SSO を有効にすることを推奨します。 |
SSO の有効化前および有効化後に設定されている必要があるユーザ アクセス権限を理解することが重要です。権限を理解することで、IM and Presence Service アプリケーションにアクセスするときにユーザの権限が誤っているという状況を避けることができます。
Application | 注記 |
|
SSO を有効にする前に、管理アクセスを容易にするために必要なユーザ グループのメンバーであるエンド ユーザが存在していることを確認します。 インストール時に作成されたデフォルトの管理者アプリケーション ユーザには次が必要です。 これらの役割を持つ上記のユーザ グループのメンバーであるユーザには、デフォルトの管理者と同様に、IM and Presence Service への完全なアクセス権があります。 IM and Presence Service のデフォルトのアプリケーション ユーザを表示するには、 を選択します。詳細を表示するには、デフォルトのアプリケーション ユーザ(インストール時に作成されたユーザ)を選択します。 IM and Presence Service のこれらのグループにエンド ユーザを追加するには、 を選択します。グループを選択し、[エンド ユーザの追加(Add End Users)] をクリックします。目的のエンド ユーザを検索してそのユーザを選択し、[グループへのエンド ユーザの追加(Add End Users to Group)] をクリックします。 |
|
通常、デフォルトの管理者アプリケーション ユーザはこれらの Web アプリケーションにアクセスできません。これらの Web アプリケーションには、Cisco Unified IM and Presence オペレーティング システムの管理者のみがアクセスできます。この管理者は、これらの Web アプリケーションに加え、管理 CLI にアクセスできます。 これらのアプリケーションに対して SSO が有効になった後は、デフォルトの管理者アプリケーション ユーザと同じ権限があるエンド ユーザがアプリケーションにアクセスできます。 |
Real-Time Monitoring Tool |
SSO を有効にする前に、リアルタイム監視ツールへの管理アクセスを許可するために必要なユーザ グループのメンバーであるエンド ユーザが存在することを確認します。 上記の Cisco Unified CM IM and Presence の管理の注記を参照してください。 |
ステータス
SSO 設定の変更によって、Tomcat が再起動することを示す警告メッセージが表示されます。
無効な Open Access Manager(OpenAM)サーバの URL(Invalid Open Access Manager (OpenAM) server URL):無効な OpenAM サーバ URL を入力すると、このエラー メッセージが表示されます。
無効なプロファイル クレデンシャル(Invalid profile credentials):間違ったプロファイル名または間違ったプロファイル パスワードあるいは両方を入力すると、このエラー メッセージが表示されます。
セキュリティ信頼エラー:この IM and Presence サービス ノードが OpenAM server によって提示される証明書チェーンを信頼しない場合、このエラー メッセージが表示されます。
(注) |
SSO を有効にするときに上記のいずれかのエラーメッセージが表示された場合は、ステータスが該当するエラーに変更します。 |
サーバの設定
SSO がすべてのアプリケーションで無効になっている場合にのみ、サーバの設定を編集できます。
アプリケーションの選択
次のアプリケーションのいずれかを使用して SSO を有効または無効にできます。
Cisco Unified CM IM and Presence の管理:Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence のサービスアビリティ、および Cisco Unified IM and Presence のレポートに対して SSO を有効にします。
Cisco Unified IM and Presence オペレーティング システムの管理:Cisco Unified IM and Presence オペレーティング システムの管理およびディザスタ リカバリ システムに対して SSO を有効にします。
RTMT: Real-Time Monitoring Tool 用に Web アプリケーションを有効にします。
Cisco UP Client Profile Agent:Cisco UP Client Profile Agent サービスの SSO を有効にします。このオプションは、共通アクセスカード(Common Access Card)(CAC) Sign-On を使用する顧客にのみ適用されます。
ステップ 1 | を選択します。 |
ステップ 2 |
Open Access Manager(OpenAM)サーバの URL を入力します。 例:https://server1.cisco.com:8443/opensso |
ステップ 3 | ポリシー エージェントを展開する相対パスを入力します。相対パスは、英数字(agentapp など)にする必要があります。 |
ステップ 4 | このポリシーエージェント用に設定されたプロファイルの名前(たとえば「cupnode01 j2ee エージェント」)を入力します。 |
ステップ 5 | プロファイル名のパスワードを入力します。 |
ステップ 6 | 「IMPKRB」などの、Windows デスクトップ SSO 用に設定されたログイン モジュール インスタンス名を入力します。詳細については、SSO のモジュール例のセットアップに関するトピックを参照してください。 |
ステップ 7 | [保存(Save)] をクリックします。 |
ステップ 8 | [確認(Confirmation)] ダイアログボックスで、[OK(OK)] をクリックして Tomcat を再起動します。 |
SSO を無効にするには、ここに示す順序で次のタスクを実行します。
SSO が SSO をサポートする任意のIM and Availability Web アプリケーションに対して無効になっている場合は、そのアプリケーションにアクセスするすべてのユーザにユーザ名とパスワードを提供する必要があります。IM and Presence Service 管理者が IM and Availability Web アプリケーションに対して SSO を無効にする場合は、SSO の無効化後にユーザがアプリケーションにアクセスできることを確認します。この操作は、アクティブな IM and Presence Service 管理アカウントを誤ってロック アウトしないようにするために重要です。
Application | 注記 |
Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence の管理、IM and Presence のサービスアビリティ、IM and Presence のレポート) |
SSO を無効にする前に、既知のユーザ名およびパスワードを持つアプリケーション ユーザが存在し、このユーザが必要なユーザ グループのメンバーであることを確認します。 インストール時に作成されたデフォルトの管理者アプリケーション ユーザには次が必要です。 SSO が無効になっている場合は、これらの役割を持つ上記のユーザ グループのメンバーであるアプリケーション ユーザは IM and Presence Service に対する完全なアクセス権限を持つことになります。 IM and Presence のアプリケーション ユーザを表示するには、 を選択します。ユーザを選択して詳細を表示します。 |
Cisco Unified IM and Presence オペレーティング システムの管理(IM and Presence オペレーティング システムの管理、 IM and Presence DRS) |
SSO を無効にする前に、既知のユーザ名およびパスワードを持つ OS 管理ユーザが存在し、このユーザに Cisco Unified IM and Presence オペレーティングシステム管理 CLI へのアクセス権があることを確認します。SSO を無効にした後に、このユーザには Cisco Unified IM and Presence オペレーティング システム管理 GUI へのアクセス権があります。 |
Real-Time Monitoring Tool |
SSO を無効にする前に、既知のユーザ名およびパスワードを持つアプリケーション ユーザが存在しており、このユーザに Cisco Unified CM IM and Presence 管理(Cisco Unified CM IM and Presence の管理、IM and Presence のサービスアビリティ、および IM and Presence のレポート)に指定されたユーザと同じアクセス権があることを確認します。 |
この手順で説明されているように、GUI または CLI を使用して SSO を無効にできます。CLI を使用して SSO を無効にする方法の詳細については、『Command Line Interface Guide for Cisco Unified Communications Solutions』の utils sso disable コマンドを参照してください。
ステップ 1 | を選択します。 |
ステップ 2 | 前に SSO 用に有効にしたすべてのアプリケーションを選択解除します。 |
ステップ 3 | [保存(Save)] をクリックします。 |
ステップ 4 | [確認(Confirmation)] ダイアログボックスで、[OK(OK)] をクリックして Tomcat を再起動します。 |
OpenAM をアンインストールする前に、次の作業が完了していることを確認します。
ステップ 1 |
OpenAM サーバの Windows デスクトップにアクセスし、
を選択します。
|
||
ステップ 2 | OpenAM サーバ上で Tomcat サービスが動作している場合は、[全般(General)] タブで [停止(Stop)] をクリックし、サービスを停止します。 | ||
ステップ 3 | OpenAM 設定データを削除します。このデータは通常、Tomcat インスタンスを実行しているユーザのホーム ディレクトリにある 2 つのディレクトリに保存されています。たとえば、C:\opensso(フォルダ名が、opensso などの OpenAM WAR ファイルの展開済みの URI と一致する場合)や、C:\.openssocfg などです。 | ||
ステップ 4 |
OpenAM/Tomcat インスタンスの tomcat-dir\webapps から、展開済みの OpenAM WAR ファイルと WAR ファイル自体を削除します。 例:C:\Program Files\Apache Software Foundation\Tomcat 7\webapps
|
||
ステップ 5 | OpenAM サーバの Windows デスクトップにアクセスし、 を選択します。 | ||
ステップ 6 | [全般(General)] タブで、[開始(Start)] をクリックして Tomcat サービスを起動します。 |
J2EE Policy Agent のログ レベルの設定に従い、IM and Presence サービス ノードの追加デバッグ情報を収集できます。このコンポーネントのログ レベルは OpenAM サーバで設定されます。デフォルトのログ レベルはエラーです。追加デバッグ情報を提供するためにログ レベルをメッセージ(Message)に変更できます。関連ログ ファイルが非常に大きくなる場合があるので、短期間だけメッセージ ログ レベルを使用することを推奨します。
ステップ 1 | Web ブラウザ(たとえば、Mozilla Firefox)から OpenAM(https://<OpenAM FQDN>:8443/opensso)にサインインします。 | ||
ステップ 2 | [アクセス コントロール(Access Control)] メニューから、 を選択します。 | ||
ステップ 3 | [全般(General)] 見出しの下で、[エージェントのデバッグ レベル(Agent Debug Level)] を選択します。 | ||
ステップ 4 | [エージェントのデバッグ レベル(Agent Debug Level)] を下で、目的のレベルを指定します(メッセージまたはエラー)。 | ||
ステップ 5 | [保存(Save)] をクリックします。 | ||
ステップ 6 | IM and Presence サービス ノードで Cisco Tomcat サービスを再起動します。 | ||
ステップ 7 |
SSO コンポーネントのログを参照およびダウンロードしてから、IM and Presence サービスのCisco Unified Real Time Monitoring Tool を使用してログを取得します。
|