SAML SSO により、企業のセキュリティが向上すると同時に、生産性が向上します。SAML 2.0 プロトコルを使用して、SAML SSO はシスコ コラボレーション インフラストラクチャをサードパーティ アイデンティティ プロバイダーに接続し、ドメイン全体や製品全体にわたって管理者およびクライアントのログイン用のセキュアなログインおよび認証サービスを提供します。アイデンティティ プロバイダーが単一のログインを保存しているため、ワーカーの生産性が向上します。Collaboration アプリケーションの 1 つに正常にログインしたら、再度ログインする必要なしにこれらのアプリケーションにアクセスできます。

SAML SSO は、アイデンティティ フレームワークに次の利点があります。

• 異なるユーザ名およびパスワードの組み合わせを入力する必要がなくなり、パスワードによる疲労が軽減されます。

• アプリケーションをホストしている自社システムからサード パーティのシステムに、認証を転送できます。

• 認証情報を保護して、安全性が向上します。SAML SSO は、暗号化機能により、IdP、サービスプロバイダー、およびユーザ間で転送される認証情報を保護します。SAML SSO では、IdP とサービス プロバイダー間で転送される認証メッセージを外部ユーザから保護することもできます。

• 同じアイデンティティのログイン情報を再入力する時間が省けるため、生産性が向上します。

• パスワードをリセットするためのヘルプデスクへの問い合わせが減るため、コスト削減につながります。

IdP との信頼関係

SAML SSO の導入は、サービスプロバイダー（Cisco Unified Communications Manager）とサードパーティのアイデンティティ プロバイダー間の信頼関係の作成に依存しています。次の 2 つの SSO モードのいずれかを使用して、SAML SSO の関係を設定できます。

• ノード単位の契約：UC メタデータ zip ファイルには、ノードごとに別々の XML ファイルが含まれています。

• クラスタごとの契約：クラスタ用の単一のメタデータファイル

この信頼関係は、最初のメタデータファイルの交換によって作成されます。Cisco UC メタデータファイルは、次の情報を含む XML ファイルです。

• 一意の識別子

• マニュアルの構成

• この情報の有効期限

• キャッシング期間

• この情報の XML 署名

• 担当者

• エンティティの一意の識別子（エンティティ ID）

• この SAML インスタンスの SAML ロールの説明（アイデンティティ プロバイダー、サービス プロバイダーなど）

認可

IdP によって認証されると、Cisco Unified Communications Manager リソースへのユーザアクセスは、ローカルに設定されているアクセス制御グループと、それらのグループが提供するロールの権限によって決定されます。

SAML SSO の設定とアイデンティティ プロバイダーの要件

アイデンティティ プロバイダーの設定情報や要件など、SAML SSO の詳細については、『SAML SSO Deployment Guide for Cisco Unified Communications Applications』を参照してください。

SAML SSO を導入しなかった場合に、ユーザを会社の LDAP ディレクトリと同期している場合、LDAP 認証により、会社の LDAP ディレクトリに保存されているログイン情報に対してユーザパスワードを認証できます。このオプションにより、Cisco Unified Communications Manager のアイデンティティ管理システム（IMS）ライブラリは、LDAP が同期されたユーザのユーザパスワードを認証するために、会社の LDAP ディレクトリを使用できます。

エンドユーザは、セルフケアポータルにログインするときに、会社の LDAP ディレクトリで設定されている会社パスワード（AD パスワードなど）を入力します。

このオプションが設定されている場合、

• LDAP からインポートされたユーザのエンド ユーザ パスワードは、シンプル バインド操作によって社内ディレクトリに対して認証される。

• ローカルユーザのエンドユーザパスワードは、Unified CM データベースに対して認証される。

• アプリケーション ユーザ パスワードは、Unified CM データベースに対して認証される。

• エンドユーザ PIN は、Unified CM データベースに対して認証される。

サードパーティ アイデンティティ プロバイダーを使用して SAML SSO を導入しない場合、または LDAP 認証が設定されていない場合は、エンドユーザに対して Cisco Unified Communications Manager データベースに対するローカル認証が必要です。このオプションでは、ユーザパスワードがローカルデータベースに保存され、エンドユーザ設定によって管理されます。

アプリケーションユーザとエンドユーザの PIN の両方について、ローカルデータベース認証は常に認証の管理に使用されます。次の表に、3 つの主なパスワードタイプと、その管理方法を示します。

Note	すべてのローカルパスワードと PIN は、暗号化された形式でデータベースに保存されます。

OAuth 認証フレームワークは、IETF の RFC 6749 で定義されています。OAuth 2.0 認証プロトコルでは、リソース所有者（Cisco Unified Communications Manager など）は、サードパーティ製アプリケーションが HTTP サービスへの制限されたアクセスを取得するのを許可することができます。Cisco Unified Communications Manager を使用すると、OAuth フレームワークはアクセストークンを使用してアクセスを許可し、トークンを更新してトークンの有効期限を越えてリソースにアクセスできるようにすることができます。OAuth を使用すると、ユーザが情報にアクセスしようとするときに Web サイトでパスワードの入力を求める必要がなくなります。OAuth を使用すると、クライアントがサーバ上のリソースにアクセスするのをユーザ自身が許可します。

Cisco Jabber クライアントは、OAuth 更新ログインを使用して Cisco Unified Communications Manager からリソースにアクセスします。最初のログイン後に、OAuth アクセストークンと更新トークンは、トークンの有効期限を越えて、リソースへのシームレスなアクセスを提供します。

OAuth 更新ログイン

OAuth 更新ログインを使用すると、短い有効期限のアクセストークンによって Jabber を認証し、トークンの有効期限が有効である間、アクセスを許可します（アクセストークンのデフォルトの有効期限は 60 分です)。期間の長い更新トークンは、古いアクセストークンが期限切れになったときに、Jabber に新しいアクセストークンを提供します。更新トークンが有効である限り（デフォルトの有効期間は 60 日）、Jabber クライアントは新しいアクセストークンを動的に取得できます。これにより、ユーザは再認証する必要なしにシームレスにアクセスできます。

OAuth トークンが存続期間の 75% に達するごとに、認証するためのオプションがユーザに提供され、それによって新しい更新トークンが生成されます。更新トークンが存続期間の 100% に達した場合は、新しいアクセストークンを生成する前に、再認証する必要があります。

SIP OAuth モード

SIP OAuth モードは、OAuth フレームワークを強化し、SIP 回線の OAuth アクセス トークンと更新トークンの使用を可能にすることで、Jabber クライアントに LSC 証明書をインストールする必要がなくなります。SIP OAuth モードにより、CAPF なしで Jabber のセキュアな署名とメディアが可能になります。SIP 登録中にトークンの検証が完了します。このモードでは、Jabber は LSC なしで、また、統一された CM で混合モードを有効にする必要なしに、メディアおよびシグナリングの暗号化を実行できます。

OAuth のキーの再生成

署名と OAuth トークンの暗号化に使用されるキーが侵害されたと思われる場合は、次の CLI コマンドを使用して新しいキーを生成します。署名キーは非対称で RSA ベースであるのに対し、暗号キーは対称キーです。

• set key regen authz encryption

• set key regen authz 署名