Cisco Jabber が OAuth プロトコルを使用して、サービスに対するユーザのアクセス権を承認するように、Cisco Jabber を設定することができます。ユーザが OAuth 対応環境にサインインする場合、サインインのたびにログイン情報を入力する必要がありません。ただし、サーバが
OAuth に対応していない場合は、Jabber が適切に機能しないことがあります。
Cisco ユニファイドコミュニケーションマネージャー 12.5 以降を使用している場合は、SIP OAuth を有効にすることもできます。この機能を使用すると、Jabber が SIP に対して承認され、Jabber が TLS を介して SIP
サービスに接続できるようになります。また、Jabber はセキュア接続 (sRTP) 経由でメディアを送信できます。SIP OAuth は、セキュリティで保護された SIP およびメディアを有効にするには CAPF 登録が不要であることを意味します。
前提条件:
-
機能するように導入している場合は、OAuth 更新トークンをこれらのすべてのコンポーネントでオンにする必要があります。
-
Cisco Unified Communications Manager、Cisco Unified Communications Manager Instant Messaging and Presence、および Cisco Unity Connection
のバージョン 11.5(SU3) または 12.0
-
Cisco Expressway for Mobile and Remote Access バージョン X8.10 以降
-
SIP OAuth向け: Cisco Unified Communications Manager 12.5 以降、Mobile and Remote Access version X12.5 以降向けのCisco Expressway。
OAuth の設定前に、使用する展開の種類を確認します。
次のサービス上で OAuth を有効にすることができます。
デフォルトでは、OAuth はこれらのサーバ上で無効です。これらのサーバで OAuth を有効にするには、次の操作を実行します。
上記のサーバの OAuth の有効と無効を切り替えると、Jabber は設定の再取得間隔でこの切り替えを識別するため、ユーザは Jabber のサインアウトとサインインできます。
サインアウト中、Jabber はキャッシュ内に保存されているユーザログイン情報を削除して通常のサインフローでサインインします。この場合、Jabber は最初にすべての設定情報を取得するため、ユーザは Jabber サービスにアクセスできます。
Cisco Unified Communications Manager で OAuth を設定するには、次の操作を実行します。
-
に移動します。
-
[O-Authアクセストークン期限タイマー(分)(O-Auth Access Token Expiry Timer(minutes))] を任意の値に設定します。
-
[O-Auth更新トークン期限タイマー(日)(O-Auth Refresh Token Expiry Timer(days))] を任意の値に設定します。
-
[保存(Save)] ボタンをクリックします。
Cisco Expressway で OAuth を設定するには、次の操作を実行します。
-
に移動します。
-
[O-Authローカル認証(O-Auth local authentication)] を [オン(On)] に設定します。
Cisco Unity で OAuth を設定するには、次の操作を実行します。
-
[AuthZサーバ(AuthZ Servers)] に移動して [新規追加(Add New)] を選択します。
-
すべてのフィールドに詳細を入力して、[証明書エラーを無視する(Ignore Certificate Errors)] を選択します。
-
[保存(Save)] をクリックします。
制限事項
Jabber が自動侵入防御をトリガーする
条件:
Jabber は次のいずれかを行います。
-
デスクトップの休止状態からの再開
-
ネットワーク接続の回復
-
数時間サインアウトした後、高速サインインの試行
動作:
-
いくつかの Jabber モジュールが、期限切れのアクセス トークンを使用して Expressway-E で認証を試行します。
-
Expressway-E がこれらの要求を(正しく)拒否します。
-
特定の Jabber クライアントからの要求が 6 つ以上ある場合、Expressway-E はその IP アドレスを(デフォルトで)10 分間ブロックします。
症状:
影響を受ける Jabber クライアントの IP アドレスは、HTTP プロキシの認証の失敗カテゴリにある Expressway-E のブロックされたアドレス リストに追加されます。このアドレスは、 で確認できます。.
回避策:
この問題を回避するには 2 つの方法があります。つまり、その特定のカテゴリの検出しきい値を上げるか、または影響を受けるクライアントに対して免除を作成できます。免除は実際の環境では実用的でない可能性があるため、ここではしきい値オプションについて説明します。
- に移動します。
-
[HTTPプロキシの認証の失敗(HTTP proxy authorization failure)] をクリックします。
-
[トリガーレベル(Trigger level)] を 5 ~ 10 に変更します。期限が切れたトークンを提示する Jabber モジュールを容認するには 10 で十分です。
-
設定を保存すると、すぐに有効になります。
-
影響を受けるクライアントのブロックを解除します。