この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
SAML シングル サインオン(SSO)を使用することにより、シスコ アプリケーションの定義されたセットのいずれかのアプリケーションにサインすることで、そのセットの他のアプリケーションにもアクセスすることができます。SAML では、信頼できるビジネス パートナー間で、セキュリティに関連した情報交換を記述します。これは、ユーザを認証するために、サービス プロバイダ(Cisco Unified Communications Manager など)が使用する認証プロトコルです。SAML を使用して、アイデンティティ プロバイダー(IdP)とサービス プロバイダーの間でセキュリティ認証情報が交換されます。この機能は、さまざまなアプリケーションにわたり、共通の資格情報と関連情報を使用するための安全な機構を提供します。
SAML SSO は、IdP とサービス プロバイダの間のプロビジョニング プロセスの一部としてメタデータと証明書を交換することで、信頼の輪(CoT)を確立します。サービス プロバイダは IdP のユーザ情報を信頼して、さまざまなサービスやアプリケーションにアクセスできるようにします。
クライアントは IdP に対する認証を行い、IdP はクライアントにアサーションを与えます。クライアントはサービス プロバイダにアサーションを示します。CoT が確立されているため、サービス プロバイダはアサーションを信頼し、クライアントにアクセス権を与えます。
本リリースの Cisco Unified Communications Manager では、iOS 上の Cisco Jabber の SSO ログイン動作を ID プロバイダー(IdP)を使用して制御するオプトイン設定オプションが導入されています。制御されたモバイル デバイス管理(MDM)の環境で IdP による証明書ベースの認証を Cisco Jabber で実行するには、このオプションを使用します。
Cisco Unified Communications Manager の SSO Login Behavior for iOS エンタープライズ パラメータで、オプトイン制御を設定できます。
(注) | このパラメータのデフォルト値を変更する前に、http://www.cisco.com/c/en/us/support/unified-communications/jabber-windows/tsd-products-support-series-home.html にある Cisco Jabber 機能サポートおよびドキュメントを参照して、iOS 上の Cisco Jabber による SSO ログイン動作と証明書ベースの認証のサポートについて確認してください。 |
この機能を有効にするには、iOS Cisco Jabber の SSO ログインの動作設定 の手順を参照してください。
必須属性 "uid" が IdP で設定されていること。この属性は、Cisco Unified Communications Manager で LDAP 同期ユーザ ID で使用される属性と一致していなければなりません。
(注) | 現在のところ、Cisco Unified Communications Manager でユーザ ID 設定の LDAP 属性としてサポートされているのは、sAMAccountName オプションのみです。 必須属性マッピングの設定の詳細については、IdP の製品マニュアルを参照してください。 |
SAML SSO に参加するすべてのエンティティのクロックを同期させる必要があります。クロックの同期については、『System Configuration Guide for Cisco Unified Communications Manager』(http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html)の「NTP Settings」を参照してください。
(注) | 同期エージェント検証テストが成功するまでは、SAML SSO を有効にできません。 |
ユーザ データが Unified Communications Manager データベースと同期されていることを確認します。詳細については、『System Configuration Guide for Cisco Unified Communications Manager』(http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html)を参照してください。
Cisco Unified CM IM and Presence Service Cisco Sync Agent サービスによるデータ同期化が正常に完了していることを確認します。このテストのステータスを確認するため、" " テストは、データ同期が正常に完了した場合にテスト合格の結果が示されています。
の順に選択します。[Sync Agent が関連データ(デバイス、ユーザ、ライセンス情報など)を使用して同期したことを確認する(Verify Sync Agent has sync'ed over relevant data (e.g. devices, users, licensing information)][Cisco Unified CM の管理(Cisco Unified CM Administration)] にアクセスできるように、1 人以上の LDAP 同期ユーザを Standard CCM Super Users グループに追加していることを確認します。詳細については、『System Configuration Guide for Cisco Unified Communications Manager』(http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html)を参照してください。
IdP とサーバ間の信頼関係を設定するには、IdP から信頼メタデータ ファイルを取得し、このファイルをすべてのサーバにインポートする必要があります。
アップグレード後に Cisco WebDialer で SAML シングル サインオンを再びアクティブにするには、次のタスクを実行します。SAML シングル サインオンを有効にする前に Cisco WebDialer がアクティブになっている場合、デフォルトでは Cisco WebDialer で SAML シングル サインオンは有効になりません。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco WebDialer サービスの無効化 | |
ステップ 2 | SAML シングル サインオンの無効化 | |
ステップ 3 | Cisco WebDialer サービスの有効化 | |
ステップ 4 | SAML シングル サインオンの有効化 |
Cisco WebDialer Web サービスがすでにアクティブな場合は、このサービスを非アクティブにします。
SAML シングル サインオンがすでに有効な場合は、この機能を無効にします。
ステップ 1 | Cisco Unified Serviceability から、 を選択します。 |
ステップ 2 | [サーバ(Servers)] ドロップダウン リストから、リストされている Cisco Unified Communications Manager サーバを選択します。 |
ステップ 3 | [CTI サービス(CTI Services)] から、[Cisco WebDialer Web サービス(Cisco WebDialer Web Service)] チェック ボックスをオンにします。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | Cisco Unified Serviceability から、 を選択して、CTI Manager サービスがアクティブでスタート モードになっていることを確認します。 WebDialer を正しく機能させるには、CTI Manager サービスをアクティブにして、スタート モードにする必要があります。 |
リカバリ URL を使用して SAML シングル サインオンをバイパスし、トラブルシューティングのために Cisco Unified CM の管理および Cisco Unified CM IM and Presence サービス インターフェイスにログインします。たとえば、サーバのドメインまたはホスト名を変更する前に、リカバリ URL を有効にします。リカバリ URL にログインすることで、サーバ メタデータの更新が容易になります。
ドメインまたはホスト名の変更後は、次の手順を実行するまでは SAML シングル サインオンが機能しません。
(注) | この手順を実行しても [SAML シングル サインオン(SAML Single Sign-On)] ウィンドウ にログインできない場合は、ブラウザのキャッシュをクリアしてもう一度ログインしてみてください。 |
リカバリ URL が無効になっている場合、シングル サインオン リンクをバイパスするようには表示されません。リカバリ URL を有効にするには、CLI にログインして次のコマンドを実行します:utils sso recovery-url enable。
ステップ 1 | Web ブラウザのアドレス バーに次の URL を入力します。
https://<Unified CM-server-name> <Unified CM-server-name> はホスト名またはサーバの IP アドレスです。 |
ステップ 2 | [シングル サインオンをバイパスするリカバリURL(Recovery URL to bypass Single Sign-On (SSO))] をクリックします。 |
ステップ 3 | 管理者ロールを持つアプリケーション ユーザのクレデンシャルを入力し、[ログイン(Login)] をクリックします。 |
ステップ 4 | Cisco Unified CM の管理で、 を選択します。 |
ステップ 5 | [メタデータのエクスポート(Export Metadata)] をクリックしてサーバ メタデータをダウンロードします。 |
ステップ 6 | サーバ メタデータ ファイルを IdP にアップロードします。 |
ステップ 7 | [テストを実行(Run Test)] をクリックします。 |
ステップ 8 | 有効なユーザ ID とパスワードを入力します。 |
ステップ 9 | 成功のメッセージが表示されたら、ブラウザウィンドウを閉じます。 |
ID プロバイダーで複数の UC アプリケーション向けに 1 つの接続をプロビジョニングするには、ID プロバイダーとサービス プロバイダー間の信頼の輪の設定時に、サーバ メタデータを手動でプロビジョニングする必要があります。信頼の輪の設定の詳細については、IdP 製品ドキュメントを参照してください。
一般的な URL 構文は次のとおりです。
https://<SP FQDN>:8443/ssosp/saml/SSO/alias/<SP FQDN>
例: ACS URL の例:<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cucm.ucsso.cisco.com:8443/ssosp/saml/SSO/alias/cucm.ucsso.cisco.com" index="0"/> |