소개
이 문서에서는 Microsoft Azure IdP와 UCCE SSO 통합을 수행하는 동안 발생하는 몇 가지 일반적인 문제를 해결하는 방법에 대해 설명합니다.
기고자: Anurag Atul Agarwal, Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- SAML(Security Assertion Markup Language) 2.0
- Cisco Unified/Packaged Contact Center Enterprise UCCE/PCCE
- SSO(Single Sign On)
- Cisco Identity Service(IdS)
- ID 공급자(IdP)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Azure IdP
- UCCE 12.0.1
- Cisco IDs 12.0.1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
이 문서에서는 Azure 기반 SSO용 Cisco IdS(Identity Service) 및 IdP(Identity Provider)를 통합하는 동안 발생하는 몇 가지 일반적인 문제와 그 잠재적 픽스에 대해 설명합니다. SSO 통합 문제를 해결하기 위해 이러한 로그를 수집하는 것이 좋습니다.
- Cisco IdS 로그: 컬렉션 링크: IDS 로그
- 브라우저 콘솔 로그
- IdP의 모든 로그
문제/장애: 인증서가 일치하지 않음
테스트 SSO가 실패하고 'IdS was not process the SAML response but the authentication was successful' 메시지가 나타나며 IdS 로그는 오류 메시지를 인쇄합니다. "com.sun.identity.saml2.common.SAML2Exception 예외로 인해 SAML 응답 처리가 실패했습니다. 서명 인증서가 엔터티 메타데이터에 정의된 것과 일치하지 않습니다.'"
솔루션
Azure에서 인증서 및 서명 알고리즘을 설정합니다. IdS 버전에 따라 지원되는 해시 알고리즘과 일치하는지 확인합니다. 기능 설명서의 '단일 사인온' 장을 참조하고 지원되는 보안 해시 알고리즘을 확인합니다. 최신 IdP 메타데이터 파일을 다운로드하고 Identity Service Management 사용자 인터페이스를 통해 Cisco IdS에 업로드합니다.
문제/장애: AADSTS900235 - 인증 컨텍스트 문제
테스트 SSO가 Microsoft 페이지로 리디렉션되고 다음 메시지와 함께 실패합니다. "죄송합니다. 로그인하는 데 문제가 있습니다."
AADSTS900235: SAML 인증 요청의 RequestedAuthenticationContext 비교 값은 정확해야 합니다. 받은 값: 최소
솔루션
AuthContext는 버그 CSCvm69290에 설명된 대로 조정해야 할 수 있습니다
. IdS에서 해결 방법을 수행하려면 Cisco TAC에 문의하십시오.
문제/장애: SAML 응답이 서명되지 않음
테스트 SSO가 실패하고 메시지가 표시됩니다. IdS가 SAML 응답을 처리할 수 없습니다. 인증이 성공했습니다. IdS 로그는 오류 메시지를 인쇄합니다. "com.sun.identity.saml2.common.SAML2Exception 예외로 인해 SAML 응답 처리가 실패했습니다. 응답이 서명되지 않았습니다."
솔루션
Azure IdP는 서명된 어설션을 IdS로 보내야 합니다. 서명 옵션을 포함하도록 Azure 설정을 수정하십시오. SAML 응답 및 어설션 서명
문제/장애: 클레임 규칙 문제
테스트 SSO가 실패하고 'IdP 구성 오류: SAML을 처리하지 못했습니다. SAML 응답에서 사용자 계정을 검색할 수 없습니다.' 및 IdS 로그는 오류 메시지를 인쇄합니다. "com.sun.identity.saml.common.SAMLException 예외로 인해 SAML 응답 처리가 실패했습니다. SAML 응답에서 사용자 보안 주체를 검색할 수 없습니다."
솔루션
이 오류는 Azure에 구성된 잘못된 '클레임 이름'을 가리킵니다. 이는 UID, NameID 등의 다른 특성과 다른 특성 이름의 유사한 오류가 생성될 수 있습니다. 이 문제를 해결하려면 Azure에서 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribute_name>' 형식의 특성을 찾습니다. 실제 특성 이름 앞에 있는 모든 항목을 제거합니다.
이 섹션에서는 기능 가이드에서 ADFS의 예제 컨피그레이션 및 Azure에서 복제해야 하는 컨피그레이션을 제공합니다.
ADFS 컨피그레이션 예
문제/장애: AADSTS50011 - 회신 URL이 일치하지 않음
테스트 SSO가 Microsoft 페이지로 리디렉션되고 다음 메시지와 함께 실패합니다. "죄송합니다. 로그인하는 데 문제가 있습니다.
AADSTS50011: 요청에 지정된 회신 URL이 애플리케이션에 대해 구성된 회신 URL과 일치하지 않습니다."
솔루션
Cisco TAC에 문의하십시오. 'Assertion Consumer Service' 매개 변수는 IdS 노드에서 루트로 체크 인해야 합니다. 이 오류가 발생합니다. 매개 변수가 올바르면 Microsoft Azure에서 이 문제를 해결해야 합니다.