この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
SAML は XML ベースのオープン規格のデータ形式であり、いずれかのアプリケーションにサインインした後に、管理者は定義された一連のシスコのコラボレーション アプリケーションにシームレスにアクセスできます。SAML では、信頼できるビジネス パートナー間で、セキュリティに関連した情報交換を記述します。これは、ユーザを認証するために、サービス プロバイダ(Cisco Unified Communications Manager など)が使用する認証プロトコルです。SAML により、ID プロバイダ(IdP)とサービス プロバイダの間で、セキュリティ認証情報を交換できます。
SAML SSO は SAML 2.0 プロトコルを使用して、シスコのコラボレーション ソリューションのドメイン間と製品間で、シングル サインオンを実現しています。SAML 2.0 は、Cisco アプリケーション全体で SSO を有効にし、Cisco アプリケーションと IdP 間でフェデレーションを有効にします。SAML 2.0 では、高度なセキュリティ レベルを維持しながら、シスコの管理ユーザが安全なウェブ ドメインにアクセスして、IdP とサービス プロバイダの間でユーザ認証と承認データを交換できます。この機能は、さまざまなアプリケーションにわたり、共通の資格情報と関連情報を使用するための安全な機構を提供します。
SAML SSO 管理アクセスの許可は、シスコのコラボレーション アプリケーションでローカルに設定されたロールベース アクセス コントロール(RBAC)に基づいています。
SAML SSO は、IdP とサービス プロバイダの間のプロビジョニング プロセスの一部として、メタデータと証明書を交換することで信頼の輪(CoT)を確立します。サービス プロバイダは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションにアクセスできるようにします。
クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。クライアントはサービス プロバイダにアサーションを示します。CoT が確立されているため、サービス プロバイダはアサーションを信頼し、クライアントにアクセス権を与えます。
管理ユーザが、SAML SSO を有効にして、シスコのさまざまなコラボレーション アプリケーションにどのようにアクセスするかについては、SAML SSO コール フロー を参照してください。
シングル サインオンを使用すると、いずれか 1 つのシスコ コラボレーション アプリケーションにログオンした後、複数のコラボレーション アプリケーションにアクセスできます。Cisco Unified Communications Manager リリース 11.5 より前のリリースでは、管理者が SSO を有効にすると、各クラスタ ノードが URL と証明書を使って独自のサービス プロバイダ メタデータ(SP メタデータ)ファイルを作成しました。作成された各ファイルを ID プロバイダ(IDP)サーバに個別にアップロードする必要がありました。IDP サーバがそれぞれの IDP/SAML 交換を個別の合意と見なしたので、クラスタ内のノード数と等しい数の合意が作成されました。
ユーザ エクスペリエンスを改善し、大規模な導入でのソリューション全体のコストを削減するために、このリリースでは機能強化されました。現在では、Cisco Unified Communications Manager クラスタ(Unified Communications Manager とインスタント メッセージングおよびプレゼンス(IM and Presence))で単一の SAML 合意がサポートされます。
SAML SSO を有効にすると、次のようないくつかの利点が得られます。
Assertion Consumer Service(ACS)URL:この URL は、アサーションを POST 形式で送信する場所を IdP に指示します。ACS URL は、最終的な SAML 応答を特定の URL に POST 形式で送信するように IdP に指示します。
(注) | 認証が必要なすべてのインスコープ サービスでは、SSO のメカニズムとして SAML 2.0 を使用します。 |
SAML SSO ソリューションのアイデンティティ フレームワークについて、下の図を参照してください。
(注) | SAML SSO の設定の詳細については、『Features and Services Guide for Cisco Unified Communications Manager, Release 10.0(1)』の「SAML Single Sign-On」の章を参照してください。 |
(注) | Cisco Unity Connection サーバでの SAML SSO 機能設定のその他の有用な情報については、『System Administration Guide for Cisco Unity Connection Release 10.x』の「Managing SAML SSO in Cisco Unity Connection」の章を参照してください。 |
(注) | Cisco Prime Collaboration サーバでの SAML SSO の設定手順の詳細については、『Cisco Prime Collaboration 10.0 Assurance Guide - Advanced』ガイドにある、「Managing Users」の章の「Single Sign-On for Prime Collaboration」の項を参照してください。 |
(注) | RTMT 用に SAML SSO を有効化する方法について、詳しくは『System Configuration Guide for Cisco Unified Communications Manager』ガイドの「Configure Initial System and Enterprise Parameters」の章の「Configure SSO for RTMT」の手順を参照してください。 |
(注) | Cisco Expressway での SAML SSO 設定については、『Cisco Expressway Administrator Guide』を参照してください。 |
このリリースでは、Cisco Unified OS Administration およびディザスタ リカバリ システムが Security Assertion Markup Language(SAML)SSO 対応アプリケーションになりました。SAML SSO が有効になっている場合、ID プロバイダ(IdP)でシングル サインインした後、これらのアプリケーションやサポートされる他のアプリケーション(Cisco Unified Communications Manager など)を起動できます。これらのアプリケーションに個別にサインインする必要がなくなりました。
Cisco Unified OS Administration およびディザスタ リカバリ システム用に SAML SSO をサポートするには、レベル 4 管理者が Active Directory でレベル 0 およびレベル 1 管理者を作成します。レベル 4 管理者は、クラスタのすべてのノードでプラットフォーム管理者を追加します。追加すると、Active Directory とプラットフォーム データベースの間でプラットフォーム管理者が同期されます。プラットフォーム データベースでユーザを設定するとき、管理者はユーザの uid 値を設定する必要があります。Cisco Unified OS Administration およびディザスタ リカバリ システムのアプリケーションは、uid 値を使ってユーザを許可します。IdP サーバは Active Directory サーバで資格情報を認証し、SAML 応答を送信します。認証後、Cisco Unified Communications Manager は uid 値を使ってプラットフォーム データベースからユーザを許可します。uid 値の詳細については、プラットフォーム ユーザー用の一意識別値の設定の手順を参照してください。
既存のリリースで SAML SSO が有効になっている場合、旧リリースから新しいリリースにアップグレードすると、新しいリリースの Cisco Unified OS Administration およびディザスタ リカバリ システムのアプリケーションで SAML SSO サポートが使用可能になります。また、これらのアプリケーションの SAML SSO サポートは、いずれかの Cisco Unified Communications Manager Web アプリケーションで SAML SSO を有効にした場合にも使用可能になります。新しいリリースで SAML SSO サポートを有効にするには、『SAML SSO Deployment Guide for Cisco Unified Communications Applications』(http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html)の中の SAML SSO 有効化に関するトピックを参照してください。
(注) | Cisco Unified Communications Manager 管理者用に SAML SSO サポートが有効になっている場合、クラスタ全体にそれが適用されます。ただし、Cisco Unified OS Administration およびディザスタ リカバリ システムのアプリケーションでは各プラットフォーム管理者がノードに固有であり、このようなユーザ詳細はクラスタ全体に複製されません。したがって、クラスタの各サブスクライバ ノードに各プラットフォーム ユーザが作成されます。 |
(注) | 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の中の set account name および set account ssouidvalue コマンドを参照してください。 |
このリリースでは、プラットフォーム管理者が Cisco Unified OS Administration にアクセスするには、いずれかの SAML SSO 対応アプリケーションにサインインするか、またはリカバリ URL オプションを使用できます。このオプションは、SSO 対応ノードのメインページで [シングル サインオンをバイパスするためのリカバリ URL(Recovery URL to bypass Single Sign On)] リンクとして使用できます。リカバリ URL にアクセスできるプラットフォーム ユーザは、Cisco Unified OS Administration にサインインできます。
レベル 4 管理者が、プラットフォーム ユーザのためにリカバリ URL サインイン オプションを設定します。この管理者は、CLI を介してプラットフォーム管理者を作成するとき、または CLI コマンドを使ってプラットフォーム管理者の詳細を更新するときに、このオプションを有効にすることができます。新規または既存のプラットフォーム管理者用のリカバリ URL ログインに関する CLI コマンドについて、詳しくは『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の中の set account ssorecoveryurlaccess コマンドを参照してください。
(注) | デフォルトでは、[シングル サインオンをバイパスするためのリカバリ URL(Recovery URL to bypass Single Sign On)] リンクがレベル 4 管理者向けに有効になっています。以前のリリースから新しいリリースにアップグレードした場合、レベル 0 およびレベル 1 プラットフォーム管理者向けにこのリンクが有効になります。 |
SAML SSO 機能には、次のソフトウェア コンポーネントが必要です。
シスコ コラボレーション ソリューションは、SAML 2.0(セキュリティ アサーション マークアップ言語)を使用して、ユニファイド コミュニケーション サービスを利用するクライアント用の SSO(シングル サインオン)を有効にします。
SAML ベースの SSO は、企業ネットワーク内からの UC サービス要求を認証するためのオプションです。現在は、Mobile & Remote Access(MRA)経由で外部から UC サービスを要求するクライアントにまで拡張されました。
使用する環境に SAML ベース SSO を選択した場合は、次の点に注意してください。
SAML 2.0 は、SAML 1.1 との互換性がないため、SAML 2.0 標準を使用する IdP を選択する必要があります。
SAML ベースのアイデンティティ管理は、コンピューティングとネットワーキング業界のベンダーによって異なる方法で実装されています。したがって、SAML 標準に準拠するための幅広く受け入れられている規制はありません。
選択した IdP の設定や管理ポリシーは、Cisco TAC(テクニカル アシスタンス センター)のサポート対象外です。IdP ベンダーとの関係とサポート契約を利用して、IDP を正しく設定する上での支援を得られるようにしてください。シスコは IdP に関するエラー、制限、または特定の設定に関する責任を負いません。
シスコ コラボレーション インフラストラクチャは、SAML 2.0 への準拠を主張する他の IdP と互換性がある可能性もありますが、シスコ コラボレーション ソリューションでテストされているのは次の IdP だけです。
この項では、SAML SSO 機能が、Unified Communications アプリケーションに対してシングル サインオンをどのように有効にするかについて説明します。この項では、IdP とサービス プロバイダの関係も説明し、シングル サインオンを有効にするために、さまざまな設定が重要であることを示します。
以下の図に示す SAML SSO コール フローでは、IdP がユーザ名とパスワードを要求します。
1 | ブラウザ ベースのクライアントは、サービス プロバイダ上の保護されたリソースにアクセスしようとします。
|
||||||
2 | ブラウザから要求を受信すると、サービス プロバイダは SAML 認証要求を生成します。
|
||||||
3 | サービス プロバイダは、要求をブラウザにリダイレクトします。
|
||||||
4 | ブラウザはリダイレクトに従い、IdP に HTTPS GET 要求を発行します。SAML 要求は、GET 要求でのクエリ パラメータとして維持されます。 | ||||||
5 | IdP は、ブラウザとのセッションが有効であることを確認します。 | ||||||
[6] | ブラウザとの既存の cookie がない場合、IdP はブラウザへのログイン要求を生成します。また、IdP で設定および適用されている認証メカニズムを使用して、ブラウザを認証します。
|
||||||
7 | ユーザは、必要な資格情報をログイン フォームに入力し、IdP に POST 形式で戻します。
|
||||||
8 | IdP は、LDAP サーバに資格情報を送信します。 | ||||||
9 | LDAP サーバは、資格情報のディレクトリを確認し、IdP に検証ステータスを返信します。 | ||||||
10 | IdP は、資格情報を検証し、SAML アサーションを含む SAML 応答を生成します。
|
||||||
11 | IdP は、SAML 応答をブラウザにリダイレクトします。 | ||||||
12 | ブラウザは、非表示フォームの POST 指示に従い、サービス プロバイダの ACS URL に POST 形式でアサーションを送信します。 | ||||||
13 | サービス プロバイダは、アサーションを抽出し、デジタル署名を検証します。
|
||||||
14 | サービス プロバイダは、保護されたリソースへのアクセス権を許可し、ブラウザに 200 OK で返答することで、リソースの内容を提供します。
|