ID プロバイダーの要件
このセクションでは、シスコ コラボレーション アプリケーションに SAML SSO サービスを導入するためにアイデンティティ プロバイダーが満たす必要がある要件の概要を示します。
ID プロバイダーは、次のガイドラインに従う必要があります。
-
サポートは SAML 2.0 のみです。
-
サービスプロバイダーが開始した SSO のみをサポートします。
-
NameID Format 属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します。
-
LDAP 属性にマッピングされた値(SAMAccountName など)に uid 属性名を含めるように、IdP で要求を設定します。
-
Cisco Unified Communications Manager は、認証要求で ACS URL インデックスを使用します。IdP は、サービスプロバイダーのメタデータで ACS URL へのインデックスを作成できる必要があります。これは SAML 標準に準拠しています。
-
SAML アサーションの署名と暗号化の部分で複数の証明書を使用することはサポートされていません。 CSCvq78479を参照してください。
SAML SSO を設定する場合は、Cisco Collaboration Deployment に以下を展開してください。
-
Network Time Protocol:Cisco Collaboration Deployment と ID プロバイダーの時刻が同期されるように、NTP を環境に展開します。IdP とシスコ コラボレーション展開の時間差が 3 秒を超えないようにしてください。
-
DNS:シスコ コラボレーション アプリケーションと ID プロバイダーは、互いのアドレスを解決できる必要があります。
-
[LDAP]:Cisco Collaboration 展開で LDAP ディレクトリ同期を設定する必要があります。ただし、LDAP 認証を無効にすることを推奨します。
-
証明書:シスコ コラボレーション展開と ID プロバイダーの間でメタデータ ファイルを交換する必要があります。メタデータには、コラボレーション展開と ID プロバイダー間の信頼関係を作成するために必要な証明書が含まれています。Tomcat 証明書またはシステム生成の自己署名証明書を使用して、信頼を確立できます。