この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
前提条件
SAML SSO では、Network Time Protocol(NTP)が Unified Communications アプリケーションと IdP 間のクロック同期を有効にします。SAML は時間的な制約のあるプロトコルであり、IdP は SAML アサーションが有効であることを時間ベースで判断します。IdP と Unified Communications アプリケーションのクロックが同期していない場合は、アサーションが無効になり、SAML SSO 機能は停止します。IdP と Unified Communications アプリケーション間の最大許容時間差は 3 秒です。
(注) | SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。 |
クロックの同期については、『Cisco Unified Communications Operating System Administration Guide』の「NTP Settings」の項を参照してください。
Domain Name System(DNS)を使用すると、ホスト名とネットワーク サービスをネットワーク(複数可)内の IP アドレスにマッピングできます。ネットワーク内に配置された DNS サーバは、ネットワーク サービスをホスト名にマッピングし、次にホスト名を IP アドレスにマッピングするデータベースを備えています。ネットワーク上のデバイスは、DNS サーバに照会して、ネットワークにある他のデバイスの IP アドレスを受信できます。そのため、ネットワーク デバイス間の通信が容易になります。
Unified Communications アプリケーションでは、DNS を使用して、完全修飾ドメイン名を IP アドレスに解決できます。サービス プロバイダと IdP は、ブラウザで解決できる必要があります。たとえば、管理者がブラウザにサービス プロバイダのホスト名(http://www.cucm.com/ccmadmin)を入力する場合、ブラウザはホスト名を解決する必要があります。また、サービス プロバイダが SAML SSO の IdP(http://www.idp.com/saml)にブラウザをリダイレクトする場合、ブラウザは IdP のホスト名を解決する要があります。さらに、IdP がサービス プロバイダの ACS URL にリダイレクトし直す場合、ブラウザは同様に解決する必要があります。
LDAP ディレクトリの同期化は、さまざまな Unified Communications アプリケーションにわたって SAML SSO を有効にする場合の前提条件であり、必須の手順です。Unified Communications アプリケーションを LDAP ディレクトリと同期化すると、Unified Communications アプリケーションのデータ フィールドのディレクトリ属性へのマッピングによって、管理者はユーザを簡単にプロビジョニングできます。
(注) | SAML SSO を有効にするには、LDAP サーバが IdP サーバによって信頼されていて、Unified Communications アプリケーションでサポートされる必要があります。 |
詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/srnd/collab10/directry.html
シスコは、SAML SSO 用にサーバ証明書に署名すること、および製品サポートが利用可能な場合はマルチサーバ証明書を使用することを強く推奨します。
(注) |
|
SAML SSO では、ユーザの Web ブラウザなどの、SAML メッセージ交換に関与している各エンティティは、必要なエンティティへのシームレスでセキュアな HTTPS 接続を確立する必要があります。シスコは、SAML SSO の導入環境に参加する各 UC 製品で、信頼できる認証局が発行した署名付き証明書を設定することを強く推奨します。
Unified Communications アプリケーションは、証明書の検証を使用して、サーバとのセキュアな接続を確立します。エンドポイント間での信頼性の確保、認証、およびデータの暗号化には、証明書を使用します。これにより、エンドポイントが確実に目的のデバイスと通信し、2 つのエンドポイント間でデータを暗号化するオプションが有効になります。
セキュアな接続を確立する場合、サーバは Unified Communications クライアントに証明書を提示します。クライアントが証明書を検証できない場合、ユーザに証明書を受け入れるかどうか確認するよう指示されます。
シスコは、次の認証局(CA)のいずれかにより署名されたサーバ証明書を使用することを推奨します。
署名プロセスは製品ごとに異なり、サーバのバージョン間でも異なる場合があります。各サーバのすべてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。CA により署名された証明書を取得する方法の詳細な手順については、該当するサーバのマニュアルを参照してください。
ただし、手順の概要を次に示します。
サーバ証明書はクライアント コンピュータの信頼ストアに存在する関連のルート証明書が必要です。Cisco UC アプリケーションは、信頼ストアでサーバがルート証明書に対して提示する証明書を検証します。
パブリック CA によって署名されたサーバ証明書を取得する場合、パブリック CA はすでにクライアント コンピュータの信頼ストアで提示されるルート証明書を持っている必要があります。この場合、クライアント コンピュータのルート証明書をインポートする必要はありません。
プライベート CA など、CA により署名される証明書が信頼ストアにまだ存在しない場合は、ルート証明書をインポートしてください。
SAML SSO では、CN または SAN での正しいドメインが記載された CA 署名付き証明書が、IdP およびサービス プロバイダに必要になります。正しい CA 証明書が検証されない場合、ブラウザはポップ アップ警告を表示します。
たとえば、管理者がブラウザで https://www.cucm.com/ccmadmin を指定する場合、CUCM ポータルがブラウザに CA 証明書を提示します。ブラウザが https://www.idp.com/saml にリダイレクトされる場合は、IdP が CA 証明書を提示します。ブラウザは、サーバが提示する証明書にそのドメイン用の CN または SAN フィールドがあること、そして証明書が信頼できる CA により署名されていることを確認します。
また、お客様に固有のプライベート CA がある場合は、管理者がブラウザを起動しているコンピュータで、ルート トラスト アンカーとして、その CA をインストールする必要があります。
それぞれのシスコ製品には、マルチサーバ SAN 証明書を生成するための独自のプロセスがあります。マルチサーバ SAN 証明書をサポートしているシスコ製品については、関連のガイドを参照してください。
Microsoft Edge ブラウザが導入されている環境では、SAML SSO 導入で相互運用性の問題が存在します。SSO 対応のマシンに Edge ブラウザが導入されている場合、Edge ブラウザは Cisco Unified Communications Manager 証明書の発行者を認識せず、アクセスを提供できません。
この手順に従い、グループ ポリシー オブジェクト(GPO)と Active Directory を介して問題を修正することで、Edge ブラウザを使用するローカル マシンでの信頼されたルート証明に Cisco Unified Communications Manager 証明書発行者をプッシュできます。
(注) | 「証明書発行者」は、証明書の設定方法によって異なります。たとえばサードパーティ CA 証明書の場合、CA 自体が Cisco Unified Communications Manager 証明書に署名する場合にのみ、CA 証明書をプッシュする必要が生じることがあります。ただし中間 CA が Cisco Unified Communications Manager 証明書に署名する場合、ルート証明書、中間証明書、およびリーフ証明書(存在する場合)を含む完全な証明書チェーンをプッシュする必要が生じることがあります。 |
この手順を完了するには、少なくともローカル マシンに対するローカル管理者グループのメンバーシップ、またはこれと同等の権限が必要です。
(注) | Active Directory での信頼されたルート証明書の管理について、詳しくは、https://technet.microsoft.com/en-us/library/cc754841(v=ws.11).aspx を参照してください。 |
SAML SSO 用に Cisco Unified Communications Manager を設定するには、これらの作業をすべて行います。
SAML SSO の設定では、Cisco Unified Communications Manager を設定するのと同時に ID プロバイダ(IdP)を設定する必要があります。IdP 固有の設定例については、以下を参照してください。
(注) | 上記のリンクは例にすぎません。正式な説明については、IdP のドキュメントをご覧ください。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco Unified Communications Manager からの UC メタデータのエクスポート | 信頼関係を作成するには、Cisco Unified Communications Manager と IdP の間でメタデータ ファイルを交換する必要があります。 |
ステップ 2 | ID プロバイダ(IdP)での SAML SSO の設定 | 次のタスクを実行します。 |
ステップ 3 | Cisco Unified Communications Manager での SAML SSO の有効化 | IdP メタデータをインポートし、Cisco Unified Communications Manager で SAML SSO を有効化します。 |
ステップ 4 | SAML SSO 設定の検証 | SAML SSO が正常に設定されたことを検証します。 |
サービス プロバイダ(Cisco Unified Communications Manager)から UC メタデータ ファイルをエクスポートするには、この手順に従います。「信頼の輪」関係を構築する目的で、メタデータ ファイルが ID プロバイダ(IdP)にインポートされます。
IdP で次の作業を完了します。
Cisco Unified Communications Manager からエクスポートされた UC メタデータ ファイルをアップロードします。
IdP で SAML SSO を設定します。
IdP メタデータ ファイルをエクスポートします。「信頼の輪」関係を完成させるために、このファイルが Cisco Unified Communications Manager にインポートされます。
IdP 設定が完了した後:
この手順に従って、サービス プロバイダ(Cisco Unified Communications Manager)で SAML SSO を有効にします。この手順には、Cisco Unified Communications Manager サーバに IdP メタデータをインポートする操作が含まれています。
(注) | SAML SSO を有効または無効にした後、Cisco CallManager Admin、Cisco Unified CM IM and Presence Administration、Cisco CallManager Serviceability、および Cisco Unified IM and Presence Serviceability サービスが再起動されます。 |
この手順を完了する前に、次の点を確認してください。
IdP からのエクスポート済みメタデータ ファイルが必要です。
エンド ユーザ データが Cisco Unified Communications Manager データベースに同期されていることを確認します。
Cisco Unified CM IM and Presence Cisco Sync Agent サービスでデータ同期が正常に完了していることを確認する。[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] でこの検査のステータスを確認するには、
を選択します。データ同期が正常に完了した場合は [Sync Agent が関連データ(デバイス、ユーザ、ライセンス情報など)を使用して同期したことを確認する(Verify Sync Agent has sync'ed over relevant data (e.g. devices, users, licensing information))] に [テスト合格(Test Passed)] という結果が表示されますCisco Unified Administration へのアクセスを可能にするために、Standard CCM Super Users グループに少なくとも 1 人の LDAP 同期済みユーザが追加されている。エンド ユーザ データの同期と LDAP 同期済みユーザのグループへの追加の詳細については、『Cisco Unified Communications Manager Administration Guide』の「System setup」と「End user setup」の項を参照してください
ステップ 1 | Cisco Unified CM の管理で、 をクリックします。 |
ステップ 2 | [SAML SSO の有功化(Enable SAML SSO)] をクリックして、[続行(Continue)] をクリックします。
すべてのサーバ接続が再起動されることを伝える警告メッセージが示されます。 |
ステップ 3 | [クラスタ全体(Cluster wide)] SSO モードが設定済みの場合、[マルチサーバ tomcat 証明書のテスト(Test for Multi-server tomcat certificate)] ボタンをクリックします。それ以外の場合は、このステップを省略できます。 |
ステップ 4 | [Next] をクリックします。
ダイアログボックスが開き、ここで IdP メタデータをインポートできます。IdP とサーバ間の信頼関係を設定するには、IdP から信頼メタデータ ファイルを取得し、それをすべてのサーバにインポートする必要があります。 |
ステップ 5 | IdP からエクスポートしたメタデータ ファイルをインポートします。 |
ステップ 6 | 次のように接続をテストして、設定を完了します。 |
サービス プロバイダ(Cisco Unified Communications Manager)と IdP の両方で SAML SSO を設定した後、Cisco Unified Communications Manager でこの手順に従って、設定が機能することを確認します。
次を確認します。
ステップ 1 | Cisco Unified CM Administration のユーザ インターフェイスで、 を選択して [SAML シングル サインオンの設定(SAML Single Sign-On Configuration)] ウィンドウを開き、[次へ(Next)] をクリックします。 | ||
ステップ 2 | [有効な管理者のユーザ名(Valid Administrator Usernames)] 領域から管理ユーザを選択し、[SSO テストの実行…(Run SSO Test…)] ボタンをクリックします。
|
テストが成功した場合は、SAML SSO が正常に設定されています。
リリース 11.0(1) 以降、Cisco Unified Communications Manager には OpenAM SSO ソリューションが含まれなくなりました。Open AM SSO ソリューションを設定した旧リリースからアップグレードした後には、サポートされるいずれかの IdP を使用して、システムで SAML SSO ソリューションを使用するように再設定する必要があります。SAML SSO を使用するようにシステムを再設定するには、このガイドに記載されている設定に従ってください。
(注) | ID プロバイダに OpenAM を使用する SAML SSO ソリューションと OpenAM SSO ソリューションとを混同しないでください。これらは互いに異なるソリューションです。SAML SSO を使用するようシステムを再設定するときには、このドキュメントの一覧に含まれる任意の IdP を使用できます。 |
機能 |
機能の相互作用 |
---|---|
Tomcat 証明書の再生成 |
Tomcat 証明書を再生成する場合は、サービス プロバイダーで新しいメタデータ ファイルを生成し、IdP にそのメタデータ ファイルをアップロードする必要があります。 |