Azure IdP와 UCCE SSO 통합 문제 해결

다운로드 옵션

PDF (215.4 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (80.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (66.3 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2021년 4월 28일 (수)

문서 ID:217089

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Microsoft Azure IdP와 UCCE SSO 통합을 수행하는 동안 발생하는 몇 가지 일반적인 문제를 해결하는 방법에 대해 설명합니다.

기고자: Anurag Atul Agarwal, Cisco TAC 엔지니어

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

SAML(Security Assertion Markup Language) 2.0
Cisco Unified/Packaged Contact Center Enterprise UCCE/PCCE
SSO(Single Sign On)
Cisco Id(Identity Service)
IdP(ID 공급자)

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Azure IdP
UCCE 12.0.1
Cisco Id 12.0.1

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

이 문서에서는 Azure 기반 SSO용 Cisco Id(Identity Service) 및 IdP(Identity Provider)를 통합하는 동안 발생하는 일반적인 문제 및 잠재적인 해결 방법에 대해 설명합니다. SSO 통합 관련 문제를 해결하려면 항상 이러한 로그를 수집하는 것이 좋습니다.

Cisco IdS 로그: 컬렉션에 대한 링크: IDS 로그
브라우저 콘솔 로그
IdP의 모든 로그

문제: 인증서가 일치하지 않습니다.

테스트 SSO가 실패하고 'IdS was not could not processed the SAML response when the authentication was successful(IdS was not be processing the SAML response during the SAML response but even the authentication was successful(인증이 성공했지만 SAML 응답을 처리할 수 없음)' 메시지와 IdS 로그에 오류 메시지가 출력됩니다. "SAML 응답 처리가 실패했습니다(예외 com.sun.identity.saml2.common.SAML2Exception): 서명 인증서가 엔터티 메타데이터에 정의된 것과 일치하지 않습니다."

솔루션

Azure에서 인증서를 확인하고 서명 알고리즘을 설정합니다. IdS 버전을 기반으로 지원되는 해시 알고리즘과 일치하는지 확인합니다. 기능 가이드의 'Single Sign-On' 장을 참조하고 지원되는 보안 해시 알고리즘을 확인합니다. 최신 IdP 메타데이터 파일을 다운로드하고 Identity Service Management 사용자 인터페이스를 통해 Cisco Id에 업로드합니다.

문제: AADSTS900235 - 인증 컨텍스트 문제

테스트 SSO가 Microsoft 페이지로 리디렉션되고 "죄송합니다. 로그인하는 데 문제가 있습니다."라는 메시지와 함께 실패합니다.
AADSTS900235: SAML 인증 요청의 RequestedAuthenticationContext 비교 값은 정확해야 합니다. 받은 값: 최소

솔루션

버그 CSCvm에 설명된 대로 AuthContext를 튜닝해야 할 수 있습니다69290 . Cisco TAC에 문의하여 Id로 해결 방법을 수행하십시오.

문제: SAML 응답이 서명되지 않았습니다.

SSO 테스트가 실패하고 메시지가 표시됨, IdS가 SAML 응답을 처리하지 못함, 인증에 성공함' 및 IdS 로그는 오류 메시지를 인쇄합니다. "SAML 응답 처리가 실패했습니다. 예외 com.sun.identity.saml2.common.SAML2Exception: 응답이 서명되지 않았습니다."

솔루션

Azure IdP는 서명된 어설션을 Id로 전송해야 합니다. 서명 옵션이 있도록 Azure 설정을 수정합니다. Sign SAML response and assertion

문제: 클레임 규칙 문제

'IdP configuration error: SAML processing failed(IdP 컨피그레이션 오류: SAML 처리 실패)' 메시지와 함께 테스트 SSO가 실패했습니다. 'SAML 응답에서 사용자 주체를 검색할 수 없습니다.' 및 IdS 로그는 오류 메시지를 인쇄합니다. "SAML 응답 처리가 실패했습니다(com.sun.identity.saml.common.SAMLException 예외): SAML 응답에서 사용자 주체를 검색할 수 없습니다."

솔루션

이 오류는 Azure에 구성된 잘못된 '클레임 이름'을 가리킵니다. 이는 UID, NameID 등과 같은 다른 특성에서 발생할 수 있으며 다른 특성 이름의 유사 오류가 생성됩니다. 이 문제를 해결하려면 Azure에서 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribute_name>' 형식의 특성을 찾으십시오. 실제 특성 이름 앞에 있는 모든 항목을 제거합니다.

이 섹션에서는 기능 가이드의 AD FS에 대한 컨피그레이션의 예를 제공하며 Azure에서 복제해야 합니다.

ADFS 컨피그레이션 예

문제: AADSTS50011 - 회신 URL이 일치하지 않습니다.

테스트 SSO가 Microsoft 페이지로 리디렉션되고 "죄송합니다. 로그인하는 데 문제가 있습니다.
AADSTS50011: 요청에 지정된 회신 URL이 애플리케이션에 대해 구성된 회신 URL과 일치하지 않습니다."

솔루션

Cisco TAC에 문의하십시오. 'Assertion Consumer Service' 매개변수는 실패하는 ID 노드의 루트에서 확인해야 합니다. 매개 변수가 올바른 경우 Microsoft Azure에서 이 문제를 해결해야 합니다.

개정 이력

개정	게시 날짜	의견
1.0	29-Apr-2021	최초 릴리스

Cisco 엔지니어가 작성

Anurag Atul Agarwal
Cisco TAC 엔지니어