SAML SSO Microsoft Entra ID プロバイダー

改訂履歴

日付(Date)

改訂

2024 年 11 月 04 日

「Microsoft Entra ID カタログ アプリケーションを構成する」セクションを更新して、Expressway の更新を含めました。

2024 年 4 月 02 日

Microsoft からの最近の更新(2024 年 3 月)に合わせて、Azure Active Directory(Azure AD)の参照の名前を「Microsoft Entra ID」に変更。

Microsoft Entra ID エンタープライズ アプリケーション カタログの強化のための変更を含むようにドキュメントを更新。

2022 年 6 月 21 日

Unified CM、IM and Presence Service、Unity Connection、Expressway と Microsoft Entra ID のクラスタ全体の合意のサポートを追加。

はじめに

このドキュメントでは、Microsoft Entra ID を設定する方法の設定例を、以下のアプリケーションの SAML SSO ID プロバイダ(IdP)として記載しています。

  • Cisco Unified Communications Manager

  • IM and Presence Service

  • Cisco Unity Connection

  • Cisco Expressway

シングルサインオン (SSO) は、ユーザが 1 つ以上のアプリケーションにアクセスするための資格情報を提供することを可能にするセッションまたはユーザ認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証し、特定のセッション中にアプリケーションを切り替えるとき、それ以上の資格情報の要求を省略します。

SAML SSO ソリューションの詳細については、『 Cisco Unified Communications アプリケーションのための SAML SSO 導入ガイド』を参照してください。

メタデータの要件

以下の条件は、Microsoft Entra ID とのメタデータ合意に適用されます。

  • Cisco Unified Communications Manager、IM および Presence サービス、Cisco Unity Connection、および Cisco Expressway は、Microsoft Entra ID とのクラスタ全体の合意をサポートしています。


    (注)  
    Microsoft Entra ID は、クラスター全体の合意のみを正式にサポートしており、SAML SSO のノードごとの合意は推奨していません。

メタデータの例

以下に示す UC 導入を考慮に入れると、この導入からエクスポートされるメタデータファイルの合計数の例については、次の表を参照してください。 特に記載がない限り、IM およびプレゼンス サービスは標準展開で展開されることに注意してください。

  • 5 ノードの Cisco Unified Communications Manager クラスタ

  • 3 ノード IM and Presence Service クラスタ (標準展開)

  • 2 ノードの Cisco Unity Connection クラスタ

  • 3 ノード Expressway-C クラスタ

  • 3 ノード Expressway-E クラスタ

表 1. UC メタデータ ファイルがエクスポートされました

このタイプの導入

取得する XML ファイル

Expressway がクラスタ全体の合意に含まれる

クラスタ全体の合意の例

合計 3 つのメタデータ XML ファイルをエクスポートするとします。

  • Unified CM クラスタ(Unified CM と IM and Presence Service ノードを含む)用の 1 つのメタデータ XML ファイル

  • Unity Connection クラスタ用の 1 つのメタデータ XML ファイル

  • Expressway-C クラスター用の 1 つのメタデータ XML ファイル

IM およびプレゼンス サービスが集中型展開になっている

IM and Presence サービス ノードが集中型展開にある場合、IM and Presence メタデータは Unified CM テレフォニー クラスタとは別にエクスポートされます。 これにより、IM and Presence 中央クラスタ内のスタンドアロン Unified CM ノード用に、追加のメタデータ XML ファイルと追加のメタデータファイルが 1 つずつ追加されます。

これにより、Expressway 合意タイプに応じて、合計で 5 つのクラスタ全体の XML メタデータファイルが生成されるかどうかが決まります。

  • Unified CM zip には 1 つの XML ファイルが含まれています (クラスタ全体)

  • IM and Presence の場合、1 つのメタデータ XML ファイル (クラスタ全体)、および IM and Presence サービスの中央クラスタにある Unified CM パブリッシャノード用の 1 つのメタデータ XML ファイル。

  • Unity Connection zip には、1 つの XML ファイル(クラスタ全体)が含まれています。

  • Expressway は、1 つの Expressway メタデータ XML ファイル(クラスタ全体)を生成します。

Microsoft Entra ID を ID プロバイダとして設定する

これらのタスクを完了して Microsoft Entra ID を Cisco Collaboration アプリケーションの ID プロバイダとして設定します。

始める前に

LDAP ディレクトリ同期を実行します。 LDAP を使用して Microsoft Entra ID からユーザを同期することはお勧めしません。 代わりに、Cisco Webex Cloud-Connected UC Directory Services を使用することをお勧めします。

手順

  コマンドまたはアクション 目的

ステップ 1

UC メタデータファイルをエクスポートする

Cisco UC アプリケーションからメタデータ ファイルをエクスポートします。

ステップ 2

Microsoft Entra ID カタログアプリケーションの設定

UC メタデータ ファイルを Microsoft Entra ID にインポートし、Microsoft Entra ID を構成してアイデンティティ サービスを提供します。 Microsoft Entra ID からフェデレーション メタデータ ファイルをエクスポートします。

ステップ 3

コラボレーション アプリケーションの SAML SSO を有効にする

Microsoft Entra ID メタデータ ファイルを Cisco UC アプリケーションにインポートし、SSO 構成を完了します。

UC メタデータファイルをエクスポートする

Microsoft Entra ID を設定する前に、Cisco Collaboration 展開から UC メタデータをエクスポートする必要があります。

手順

ステップ 1

Cisco Unified Communications Manager からの UC メタデータのエクスポート:

  1. Cisco Unified CM の管理から、 システム > SAML Single Sign On に移動します

  2. [SSO モード(SSO Mode)] で、[クラスタ全体(Cluster wide)] 合意を選択します。

  3. [証明書(Certificates)] セクションで、[Tomcat 証明書を使用する(Use Tomcat certificate)] または [システムで生成された自己署名証明書の使用(Use system-generated self-signed certificate)] のいずれかを選択します。

  4. [ すべてのメタデータをエクスポート ] をクリックしてメタデータファイルをダウンロードします。

ステップ 2

IM and Presence サービスの一元的展開を展開した場合、IM and Presence の中央クラスタ内にある Unified CM パブリッシャノードで前の手順を繰り返します。

ステップ 3

Cisco Unity Connection から UC メタデータをエクスポートします。

  1. Cisco Unity Connection Administration から、[システム設定(System Settings)] > [SAML シングルサインオン(SAML Single Sign On)] を選択します。

  2. [SSO モード(SSO Mode)] で、[クラスタ全体(Cluster wide)] 合意を選択します。

  3. [ すべてのメタデータをエクスポート ] をクリックしてメタデータファイルをダウンロードします。

ステップ 4

Cisco Expressway から UC メタデータをエクスポートします。

  1. Expressway-C プライマリピアで、[設定(Configuration)] > [Unified Communications] > [設定(Configuration)] に移動します。

  2. [MRA アクセス制御(MRA Access Control)] セクションで、[認証パス(Authentication path)][SAML SSO 認証(SAML SSO authentication)] または [SAML SSO または UCM/LDAP(SAML SSO or UCM/LDAP)] のいずれかに設定します。

  3. [SAML 制御(SAML Control)][クラスタ(Cluster)] に設定します。

  4. [SAML データのエクスポート(Export SAML data)] をクリックします。

  5. メタデータ ファイルを安全な場所にダウンロード します。

Microsoft Entra ID カタログアプリケーションの設定

Cisco Unified Communications Manager、IM and Presence Service、Cisco Unity Connection、および Cisco Expressway 導入でのクラスタ全体の合意には、以下の手順を実行してください。

手順

ステップ 1

[エンタープライズアプリケーション |すべてのアプリケーション(Enterprise applications | All applications)] の Microsoft Entra ID で、[新しいアプリケーション(New Application)] をクリックします。

ステップ 2

[新しいアプリケーション(New Application)] ウィンドウで次の操作を行います。

  1. アプリケーションギャラリーから、製品 Cisco Unified Communications Manager、Cisco Unity Connection、または Cisco Expressway のいずれかを選択します。

    (注)  

     
    IM and Presence サービスで SAML SSO を有効にするには、IM and Presence サービスノードを Unified Communications Manager クラスタに追加してください。

  2. 新しいアプリケーションの [名前(Name)](例:UnifiedCM_Publisher、UnityConnection_Publisher、Expressway_cluster)を入力し、[作成(Create)] をクリックします。

ステップ 3

左側ナビゲーションバーから [ シングルサインオン] をクリックします。

ステップ 4

[SAML]をクリックします。

[SAML でのシングルサインオンのセットアップ] ウィンドウが表示されます。

ステップ 5

[ メタデータファイルのアップロード ] をクリックして、合意を設定しているサーバの UC メタデータ XML ファイルを参照します。 ファイルを選択して開いたら、[追加(Add)] をクリックします。

[基本的な SAML 設定(Basic SAML Configuration)] には、コラボレーションサーバーの識別子(EntityID)と返信 URL(アサーション顧客サービス URL)が自動的に入力されます。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

必要に応じて、[ユーザー属性 & クレーム(User Attributes & Claims)] セクションを [編集(Edit)] します。

(注)  

 
user.onpremisessamaccountname の値が Cisco Unified Communications Manager または Cisco Unity Connection の [ユーザー ID(User ID)] で選択した値と一致しない場合、選択した値を反映するために、Entra ID で適切な属性を見つける必要があります。 例えば、Cisco Unified Communications Manager の [ユーザー ID(User ID)] が電話番号である場合、それを user.telephoneNumber に変更する必要があります。

  1. [必須の要求(Required claim)] で、[uid] をクリックします。

  2. ネームスペース フィールドは空のままにしてください。

  3. [ソース(Source)]で、[属性(Attribute)] ラジオボタンをオンにします。

  4. お使いの Cisco Unified Communications Manager または Cisco Unity Connection システムの Entra ID から適切な属性を選択します。

  5. [保存(Save)] をクリックします。

ステップ 8

[SAML ベースのサインオン(SAML-based Sign-on)] をクリックして SAML 概要に戻ります。

ステップ 9

Expressway のみ)SAML 署名証明書セクションで、[編集(Edit)] をクリックし、Expressway オプションを設定します。

  1. [署名オプション(Signing Option)][SAML レスポンスとアサーションの署名(Sign SAML Response and Assertion)] を設定します。

  2. [署名アルゴリズム(Signing Algorithm)] に適切な SHA アルゴリズムを設定します。 例:SHA-256

  3. [保存(Save)] をクリックします。

ステップ 10

[フェデレーションメタデータ XML(Federation Metadata XML)] ファイルを [ダウンロード(Download)] します。

(注)  

 
UC 展開に対して 1 回だけ、IdP からメタデータをダウンロードする必要があります。 すべてのアプリケーションに同じ IdP メタデータファイルをインポートできます。

ステップ 11

Microsoft Entra ID のアプリケーションを有効にして、ユーザーを割り当てます。

(注)  

 
Microsoft Entra ID を使用すると、Microsoft Entra ID を使用して個々のユーザーを SSO に割り当てることも、すべてのユーザーに割り当てることもできます。 この例では、すべてのユーザに対して SSO を有効にするものと想定しています。

  1. 左側ナビゲーションバーから [管理(Manage)] > [プロパティ(Properties)] を選択します。

  2. [ユーザーがサインインするために有効化しますか?(Enabled for users to sign in?)][はい(Yes)] に設定します。

  3. [ユーザーに表示しますか?(Visible to users?)][いいえ(No)] に設定します。

  4. [保存(Save)] をクリックします。

コラボレーション アプリケーションの SAML SSO を有効にする

Cisco Collaboration 環境で SAML SSO 設定を完了します。

手順

ステップ 1

Cisco Unified Communications Manager で SAML SSO を有効にします。

  1. Cisco Unified CM Administration から、[システム(System)] > [SAML シングルサインオン(SAML Single Sign On)] に移動します。

  2. [SAML SSO の有功化(Enable SAML SSO)] をクリックし、次に [続行(Continue)] をクリックしてプロンプトに従います。

  3. IdP メタデータ ファイルを Cisco Unified Communications Manager にインポートします。

  4. SSO 接続をテストします。

  5. 各 Cisco Unified Communications Manager クラスタノードで SSO テスト接続を繰り返します。

ステップ 2

IM and Presence の一元化された展開の場合、IM and Presence の中央クラスタにある Unified CM パブリッシャノードでステップ 1 を繰り返します。

ステップ 3

Cisco Unity Connection で SAML SSO を有効にする:

  1. Cisco Unity Connection Administration で、[システム設定(System Settings)] > [SAML シングルサインオン(SAML Single Sign On)] に移動します。

  2. [SAML シングルサインオンを有効にする(Enable SAML Single Sign On)] をクリックします。

  3. [続行(Continue)]をクリックし、プロンプトに従います。

  4. IdP メタデータ ファイルを Cisco Unity Connection にインポートします。

  5. SSO 接続をテストします。

  6. 各 Cisco Unity Connection ノードで SSO テスト接続を繰り返します。

ステップ 4

Expressway で SAML SSO を有効にします。

  1. Expressway-C プライマリピアで、[ 構成 > Unified Communications > ] [アイデンティティプロバイダ (IdP)] に移動します。

  2. [ 新しい IdP を SAML からインポート] をクリックします。

  3. メタデータファイルを見つけて選択します。

  4. ダイジェスト に必要な SHA アルゴリズムを設定し、[ アップロード] をクリックします。

  5. ID プロバイダが表示されていることを確認します。

  6. [ドメインを関連付ける(Associate domains)] をクリックします。

  7. この IdP に関連付ける各ドメインをチェックします。

  8. [保存(Save)] をクリックします。

トラブルシューティング

デバッグの目的で、SAML トレーサーのようなツールを使用します。

SAML アサーションの一部として送信される X.509 証明書データが Microsoft Entra ID エンタープライズアプリケーション中の証明書と一致していることを確認してください。

Ssosp ログでエラーを確認してください。 以下は、ssosp ログに表示される可能性がある証明書の問題の例です。


2020-09-21 05:45:39,131 ERROR [http-bio-8443-exec-51] fappend.SamlLogger - FMSigProvider.verify: The cert contained in the document is NOT the same as the one being passed in.
2020-09-21 05:45:39,134 ERROR [http-bio-8443-exec-51] authentication.SAMLAuthenticator - Error while processing saml response The signing certificate does not match what's defined in the entity metadata.
com.sun.identity.saml2.common.SAML2Exception: The signing certificate does not match what's defined in the entity metadata.
at com.sun.identity.saml2.xmlsig.FMSigProvider.verify(FMSigProvider.java:334)
at com.sun.identity.saml2.assertion.impl.AssertionImpl.isSignatureValid(AssertionImpl.java:651)