SAML ベースの SSO の前提条件
SAML ベースの SSO 設定には、次のシステム設定が必要です。
-
NTP の設定
-
DNS の設定
-
ディレクトリ セットアップ
NTP の設定
SAML SSO では、Network Time Protocol(NTP)によって、Unified Communications アプリケーションと IdP 間のクロック同期が可能になります。SAML は時間的な制約のあるプロトコルであり、IdP は SAML アサーションが有効であることを時間ベースで判断します。IdP と Unified Communications アプリケーションのクロックが同期していない場合、 アサーションは無効となり、SAML SSO 機能は停止します。IdPと Unified Communications アプリケーション間の最大許容時間差は 3 秒です。
(注) |
SAML SSO を動作させるには、正しい NTP 設定をインストールする必要があり、IdP と Unified Communications アプリケーションの間の時間差が 3 秒を超えていないことを確認する必要があります。 |
クロックを同期するための NTP サーバーの追加については、『Cisco Unified Communications Manager システム設定ガイド』の「デバイスプールのコア設定」の章を参照してください。
DNS の設定
Domain Name System(DNS)により、ホスト名とネットワーク サービスをネットワーク(複数可)内の IP アドレスにマッピングできるようになります。ネットワーク内に配置された DNS サーバは、ネットワーク サービスをホスト名にマッピングし、次にホスト名を IP アドレスにマッピングするデータベースを備えています。ネットワーク上のデバイスは、DNS サーバに照会して、ネットワークにある他のデバイスの IP アドレスを受信できます。そのため、ネットワーク デバイス間の通信が容易になります。
Unified Communications アプリケーションは、完全修飾ドメイン名を IP アドレスに解決するために DNS を使用することができます。サービス プロバイダーと IdP は、ブラウザにより確定できる必要があります。たとえば、管理者がブラウザにサービスプロバイダーのホスト名(http://www.cucm.com/ccmadmin)を入力すると、ブラウザはホスト名を解決する必要があります。サービスプロバイダーが SAML SSOのためにブラウザを IdP(http://www.idp.com/saml)にリダイレクトする場合、ブラウザは IdP ホスト名も解決する必要があります。さらに、IdP がサービスプロバイダーの ACS URL にリダイレクトする場合、ブラウザはそれも解決する必要があります。
ディレクトリ セットアップ
ディレクトリ設定:さまざまな Unified Communications アプリケーション間での SAML SSO を有効にするために、LDAP ディレクトリの同期は事前に必要な必須の手順です。Unified Communications アプリケーションを LDAP ディレクトリと同期することにより、管理者は Unified Communications アプリケーションのデータ フィールドをディレクトリ属性にマッピングして、ユーザを容易にプロビジョニングできるようになります。
(注) |
SAML SSOを有効にするには、LDAP サーバーが IdP サーバーによって信頼され、Unified Communications アプリケーションによってサポートされている必要があります。 |
詳細については、以下にある『シスコ コラボレーション システム リファレンス ネットワーク 設計(SRND)』の「ディレクトリ統合とアイデンティティ管理」の章を参照してください。
証明書の管理と検証
重要 |
シスコでは、SAML SSO 用にサーバー証明書を署名し、製品サポートが利用可能な場合はマルチサーバー証明書を使用することを強く推奨します。 |
(注) |
|
SAML SSO では、SAML メッセージ交換に参加する各エンティティ(ユーザーの Web ブラウザを含む)は、必要なエンティティへのシームレスでセキュアな HTTPS 接続を確立する必要があります。シスコでは、SAML SSO 展開に参加する各 UC 製品で、信頼できる認証局によって発行された署名付き証明書を設定することを強く推奨します。
Unified Communications アプリケーションは、証明書の検証を使用してサーバーとのセキュアな接続を確立します。証明書は、データの信頼/認証と暗号化を構築するためにエンドポイント間で使用されます。これにより、エンドポイントが目的のデバイスと通信し、2 つのエンドポイント間でデータを暗号化するオプションがあることが確認されます。
セキュアな接続を確立しようとする場合、サーバーは Unified Communications クライアントに証明書を提示します。クライアントが証明書を検証できない場合、証明書を受け入れるかどうかを確認するプロンプトが表示されます。
認証局によって署名された証明書
シスコは、次のいずれかの種類の認証局(CA)により署名されるサーバ証明書を使用することを推奨します。
- パブリック CA:サードパーティ企業が、サーバーの識別情報を確認し、信頼できる証明書を発行します。
- プライベート CA:自身でローカルの CA を作成および管理し、信頼できる証明書を発行します。
署名プロセスは製品ごとに異なり、サーバのバージョン間でも異なる場合があります。各サーバのすべてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。CA により署名された証明書を取得する方法の詳細な手順については、該当するサーバのマニュアルを参照してください。
ただし、次の手順では、手順の概要を説明します。
手順
ステップ 1 |
クライアントに証明書を提示できる各製品で証明書署名要求(CSR)を生成します。 |
ステップ 2 |
各 CSR を CA に送信します。 |
ステップ 3 |
CA が各サーバーに発行する証明書をアップロードします。 |
パブリック CA により署名されたサーバ証明書を取得する場合、パブリック CA は、クライアント コンピュータの信頼ストアで、ルート証明書をあらかじめ提示しておくようにします。この場合、クライアント コンピュータでルート証明書をインポートする必要はありません。
プライベート CA など、CA により署名される証明書が信頼ストアにまだ存在しない場合は、ルート証明書をインポートしてください。
SAML SSO では、CN または SAN での正しいドメインが記載された CA 署名付き証明書が、IdP およびサービスプロバイダーに必要になります。正しい CA 証明書が検証されない場合、ブラウザはポップ アップ警告を出します。
たとえば、管理者がブラウザを https://www.cucm.com/ccmadmin に向けると、Unified Communications Manager ポータルは CA 証明書をブラウザに提示します。ブラウザが https://www.idp.com/saml にリダイレクトされると、IdP は CA 証明書を提示します。ブラウザは、サーバーによって提示された証明書にそのドメインの CN または SAN フィールドが含まれていること、および証明書が信頼できる CA によって署名されていることを確認します。
または、顧客が独自のプライベート CA を持っている場合は、その CA を、管理者がブラウザを起動しているコンピュータにルート トラスト アンカーとしてインストールする必要があります。マルチサーバー SAN 証明書の設定
各シスコ製品には、マルチサーバー SAN 証明書を生成するための独自のプロセスがあります。マルチサーバー SAN 証明書をサポートするシスコ製品については、関連するガイドを参照してください。
Microsoft Edge 相互運用性のための証明書発行者の展開
Microsoft Edge ブラウザが展開されている SAML SSO 展開内には、相互運用性の問題が存在します。Edge ブラウザが SSO 対応マシンに展開されている場合、Edge ブラウザは Unified Communications Manager 証明書の証明書発行者を認識せず、アクセスを提供しません。
この手順を使用して、グループポリシーオブジェクト(GPO)と Active Directory を介してこの問題を修正します。これにより、Unified Communications Manager 証明書の証明書発行者を、Edge ブラウザを使用するローカルマシンの信頼されたルート証明書にプッシュできます。
(注) |
「証明書発行者」は、証明書の設定方法によって異なります。たとえば、サードパーティ CA 証明書の場合、CA 自体が Unified Communications Manager 証明書に署名する場合にのみ、CA 証明書をプッシュする必要があります。ただし、中間 CA が Unified Communications Manager 証明書に署名する場合は、ルート証明書、中間証明書、およびリーフ証明書を含む完全な証明書チェーンをプッシュする必要があります。 |
始める前に
この手順を完了するには、少なくともローカルコンピュータに対する管理者のメンバーシップ、またはこれと同等の権限が必要です。
手順
ステップ 1 |
Active Directoryで、グループポリシー管理コンソールを開きます。 |
ステップ 2 |
既存の GPO を検索するか、証明書設定を含める新しい GPO を作成します。GPO は、ポリシーの影響を受けるユーザーのドメイン、サイト、または組織単位に関連付ける必要があります。 |
ステップ 3 |
GPO を右クリックし、[編集( Edit)] を選択します。 |
ステップ 4 |
ナビゲーション ウィンドウで、 を開きます。 |
ステップ 5 |
[ アクション (Action)] メニューをクリックし、[インポート( Import)] をクリックします。 |
ステップ 6 |
証明書の インポートウィザードの指示に従って、証明書 を検索してインポートします。 |
ステップ 7 |
証明書が自己署名されており、 信頼されたルート証明機関 の証明書ストアにある証明書を追跡できない場合は、そのストアに証明書をコピーする必要もあります。ナビゲーション ウィンドウで、[信頼されたルート証明機関( Trusted Root Certification Authorities)] をクリックし、手順 5 と 6 を繰り返して、そのストアに証明書のコピーをインストールします。 |
(注) |
Active Directory での信頼されたルート証明書の管理の詳細については、「https://technet.microsoft.com/en-us/library/cc754841(v=ws.11).aspx」を参照してください。 |