본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 SSO(Single Sign On)를 활성화하기 위한 IdP(Identity Provider)의 컨피그레이션에 대해 설명합니다.
Cisco IDs 구축 모델
제품 | 구축 |
UCCX | 공동 상주 |
PCCE | CUIC(Cisco Unified Intelligence Center) 및 LD(라이브 데이터)와 공동 상주 |
UCCE | 2k 구축을 위해 CUIC 및 LD와 공동 상주 4k 및 12k 구축을 위한 독립형 |
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
참고:이 문서에서는 스크린샷 및 예제의 UCCX를 참조하지만 Cisco UCCX/UCCE(Identity Service) 및 IdP와 관련된 컨피그레이션이 유사합니다.
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
Cisco는 다양한 형태로 다양한 서비스를 제공하며 최종 사용자로서 모든 Cisco Services에 대한 액세스 권한을 가지려면 한 번만 로그인하면 됩니다.모든 Cisco 애플리케이션 및 디바이스에서 연락처를 찾아 관리하려는 경우, 가능한 모든 소스(Corporate Directory, Outlook, Mobile 연락처, Facebook, LinkedIn, History)를 활용하고 공통적이고 일관된 방식으로 이러한 연락처를 렌더링하여 해당 연락처의 가용성과 연락 방법을 파악하는 데 필요한 정보를 제공합니다.
SAML(Security Assertion Markup Language)을 사용하는 SSO는 이 요구 사항을 대상으로 합니다.SAML/SSO는 사용자가 IdP라는 공통 계정 및 권한 부여 ID를 통해 여러 디바이스 및 서비스에 로그인할 수 있는 기능을 제공합니다.SSO 기능은 UCCX/UCCE/PCCE 11.5 이상에서 사용할 수 있습니다.
Cisco Identity Service는 ID 공급자의 양식 기반 인증만 지원합니다.
ADFS에서 양식 인증을 활성화하는 방법을 알아보려면 다음 MSDN 문서를 참조하십시오.
참고:Cisco Identity Service 11.6 이상은 양식 기반 인증과 Kerberos 인증을 모두 지원합니다. Kerberos 인증이 작동하려면 양식 기반 인증을 비활성화해야 합니다.
애플리케이션이 Single Sign-On에 Cisco Identity Service를 사용할 수 있도록 온보딩 및 활성화하려면 IdS(Identity Service)와 IdP 간의 메타데이터 교환을 수행합니다.
IdS 메타데이터를 업로드하고 클레임 규칙을 추가하는 절차입니다.AD FS 2.0 및 3.0에 대해 간략하게 설명합니다.
1단계. AD FS 서버에서 이미지에 표시된 대로 Start(시작) > All Programs(모든 프로그램) > Administrative Tools(관리 도구) > AD FS 2.0 Management(AD FS 2.0 관리)로 이동합니다.
2단계. 이미지에 표시된 대로 Add AD FS 2.0 > Trust Relationship > Relying Party Trust로 이동합니다.
3단계. 이미지에 표시된 대로 파일에서 신뢰 당사자에 대한 데이터 가져오기 옵션을 선택합니다.
4단계. 신뢰 당사자 트러스트 설정을 완료합니다.
5단계. 신뢰 당사자 트러스트의 속성에서 식별자 탭을 선택합니다.
6단계. 식별자를 sp.xml을 다운로드하는 Cisco Identity Server의 정규화된 호스트 이름으로 설정합니다.
7단계. Relying Party Trust를 마우스 오른쪽 버튼으로 클릭한 다음 Edit Claim Rules(클레임 규칙 수정)를 클릭합니다.
두 개의 클레임 규칙을 추가해야 합니다. 하나는 LDAP(Lightweight Directory Access Protocol) 특성이 일치하는 반면 두 번째는 사용자 지정 클레임 규칙을 통과하는 경우입니다.
uid - 이 특성은 응용 프로그램에서 인증된 사용자를 식별하는 데 필요합니다.
user_principal - 이 특성은 Cisco Identity Service에서 인증된 사용자의 영역을 식별하기 위해 필요합니다.
청구 R규칙 1:
NameID 형식의 이름으로 규칙 추가(LDAP 특성 값을 클레임으로 전송):
SamAccountName을 사용자 ID로 사용할 경우의 구성 예:
UPN을 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
PhoneNumber를 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
참고:CUCM LDAP 동기화에서 사용자 ID에 대해 구성된 LDAP 특성이 ADFS 클레임 규칙 NameID의 uid에 대해 LDAP 특성으로 구성된 것과 일치해야 합니다.이는 Cisco CUIC(Unified Intelligence Center) 및 Finesse 로그인이 제대로 작동하기 위한 것입니다.
참고:이 문서는 클레임 규칙 이름 및 표시 이름(예: NameID, UCCX의 FQDN 등)에 대한 제약 조건을 참조합니다.사용자 정의 필드와 이름은 다양한 섹션에서 적용할 수 있지만, 일관성 유지 및 명명 규칙에 대한 모범 사례를 위해 클레임 규칙 이름과 표시 이름이 전체적으로 표준으로 유지됩니다.
클레임 규칙e-메일 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
8단계. 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하고 이미지에 표시된 대로 고급 탭을 선택합니다.
9단계. 이미지에 표시된 대로 SHA(Secure Hash Algorithm)를 SHA-1로 선택합니다.
10단계. 확인을 클릭합니다.
1단계. ADFS 서버에서 Server Manager > Tools > AD FS Management로 이동합니다.
2단계. AD FS > Trust Relationship > Relying Party Trust로 이동합니다.
3단계. 파일에서 신뢰 당사자에 대한 데이터 가져오기 옵션을 선택합니다.
4단계. 신뢰 당사자 트러스트 설정을 완료합니다.
5단계. 신뢰 당사자 트러스트의 속성에서 식별자 탭을 선택합니다.
6단계. 식별자를 sp.xml을 다운로드하는 Cisco Identity Server의 정규화된 호스트 이름으로 설정합니다.
7단계. Relying Party Trust를 마우스 오른쪽 버튼으로 클릭한 다음 Edit Claim Rules(클레임 규칙 수정)를 클릭합니다.
두 개의 클레임 규칙을 추가해야 합니다. 하나는 LDAP(Lightweight Directory Access Protocol) 특성이 일치하는 반면 두 번째는 사용자 지정 클레임 규칙을 통과하는 경우입니다.
uid - 이 특성은 응용 프로그램에서 인증된 사용자를 식별하는 데 필요합니다.
user_principal - 이 특성은 Cisco Identity Service에서 인증된 사용자의 영역을 식별하기 위해 필요합니다.
청구 R규칙 1:
NameID 형식의 이름으로 규칙 추가(LDAP 특성 값을 클레임으로 전송):
SamAccountName을 사용자 ID로 사용할 경우의 구성 예:
UPN을 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
PhoneNumber를 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
참고:CUCM LDAP 동기화에서 사용자 ID에 대해 구성된 LDAP 특성이 ADFS 클레임 규칙 NameID의 uid에 대해 LDAP 특성으로 구성된 것과 일치해야 합니다.이는 Cisco CUIC(Unified Intelligence Center) 및 Finesse 로그인이 제대로 작동하기 위한 것입니다.
참고:이 문서는 클레임 규칙 이름 및 표시 이름(예: NameID, UCCX의 FQDN 등)에 대한 제약 조건을 참조합니다.사용자 정의 필드와 이름은 다양한 섹션에서 적용할 수 있지만, 일관성 유지 및 명명 규칙에 대한 모범 사례를 위해 클레임 규칙 이름과 표시 이름이 전체적으로 표준으로 유지됩니다.
클레임 규칙e-메일 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
8단계. 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하고 고급 탭을 선택합니다.
9단계. 이미지에 표시된 대로 SHA(Secure Hash Algorithm)를 SHA-1로 선택합니다.
10단계 - OK(확인)를 클릭합니다.
이러한 단계는 10단계 이후에 반드시 수행해야 합니다.
1단계. 시작을 클릭하고 powershell을 입력하여 Windows Powershell을 엽니다.
2단계. Add-PSSnapin Microsoft.Adfs.Powershell 명령을 실행하여 ADFS CmdLet을 powershell에 추가합니다.
3단계 - Set-ADFSRelyingPartyTrust -TargetName <신뢰 당사자 트러스트 이름> 명령을 실행합니다.
-SamlResponseSignature "MessageAndAssertion".
참고:CmdLet이 이미 역할 및 기능 추가의 일부로 설치되어 있기 때문에 ADFS 3.0을 사용하는 경우에는 2단계가 필요하지 않을 수 있습니다.
참고:<Relying Party Trust Identifier>는 대/소문자를 구분하므로 당사자 신뢰 당사자 트러스트 속성의 Identifier(식별자) 탭에 설정된 항목과 일치(대/소문자 포함)합니다.
참고:Cisco Identity Service는 SHA-1을 지원합니다. 신뢰 당사자 트러스트는 SAML 요청에 서명하는 데 SHA-1을 사용하며 ADFS가 응답에서 동일한 작업을 수행해야 합니다.
특정 도메인의 ADFS가 다른 구성된 도메인의 사용자에 대해 페더레이션된 SAML 인증을 제공하는 ADFS의 Federation의 경우 이러한 추가 컨피그레이션이 필요합니다.
이 섹션에서 기본 ADFS라는 용어는 IdS에서 사용해야 하는 ADFS를 나타냅니다.Federated ADFS라는 용어는 사용자가 IdS를 통해 로그인할 수 있는 ADFS가 기본 ADFS임을 나타냅니다.
각 페더레이션 ADFS에서 기본 ADFS 및 이전 섹션에서 설명한 대로 구성된 클레임 규칙에 대해 신뢰 당사자 트러스트를 생성해야 합니다.
기본 ADFS의 경우 IdS에 대한 신뢰 당사자 트러스트를 제외하고 다음과 같은 추가 컨피그레이션이 필요합니다.
페더레이션을 설정해야 하는 ADFS에 클레임 공급자 트러스트를 추가합니다.
Claim Provider Trust에서 Pass through 또는 Filter an Incoming Claim 규칙이 모든 클레임 값을 통과하도록 구성되었는지 확인합니다.
IdS에 대한 신뢰 당사자 트러스트에서 모든 클레임 값을 통과한 수신 클레임 규칙을 옵션으로 추가하거나 필터링합니다.
IWA(Integrated Windows Authentication)는 사용자 인증을 위한 메커니즘을 제공하지만 네트워크를 통해 자격 증명을 전송할 수는 없습니다.통합 Windows 인증을 활성화하면 티켓을 기반으로 작동하여 비보안 네트워크를 통해 노드를 통신하여 안전한 방식으로 서로 자신의 신원을 확인할 수 있습니다.사용자는 Windows 시스템에 로그인한 후 도메인에 로그인할 수 있습니다.
참고: Kerberos 인증은 11.6 이상에서만 지원됩니다.
DC(도메인 컨트롤러)에 이미 로그인한 도메인 사용자는 자격 증명을 다시 입력할 필요 없이 SSO 클라이언트에 원활하게 로그인됩니다. 도메인이 아닌 사용자의 경우 IWA가 NTLM(New Technology Local Area Network Manager)으로 돌아가고 로그인 대화 상자가 나타납니다.IWA 인증을 사용하는 IdS에 대한 자격은 ADFS 3.0에 대해 Kerberos로 수행됩니다.
1단계. Windows 명령 프롬프트를 열고 관리자 사용자로 실행하여 setspn 명령으로 http 서비스를 등록합니다.
setspn -s http/<ADFS url> <domain>\<계정 이름>.
2단계. 폼 인증을 비활성화하고 인트라넷 사이트에 대해 Windows 인증을 활성화합니다.ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit로 이동합니다.인트라넷에서 Windows 인증만 선택되었는지 확인합니다(양식 인증 선택 취소).
1단계. Internet Explorer > Advanced > Enable Integrated Windows Authentication(통합 Windows 인증 활성화)이 선택되어 있는지 확인합니다.
2단계. ADFS URL을 Security(보안) > Intranet zones(인트라넷 영역) > Sites(사이트)에 추가해야 합니다(winadcom215.uccx116.com은 ADFS url).
3단계. Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon이 인트라넷 사이트에 로그인된 자격 증명을 사용하도록 구성되어 있는지 확인합니다.
1단계. Firefox의 컨피그레이션 모드로 들어갑니다.Firefox를 열고 URL에 about:config를 입력합니다.위험 설명을 수락합니다.
2단계. ntlm을 검색하고 network.automatic-ntlm-auth.allow-non-fqdn을 활성화하고 true로 설정합니다.
3단계. network.automatic-ntlm-auth.trusted-uris를 도메인 또는 명시적으로 ADFS URL로 설정합니다.
Windows의 Google Chrome은 Internet Explorer 설정을 사용하므로 Internet Explorer의 도구 >인터넷 옵션 대화 상자에서 또는 하위 범주의 네트워크 및 인터넷 내 인터넷 옵션 아래의 제어판에서 구성합니다.
이 문서에서는 Cisco Identity Service와 통합하기 위한 SSO의 IdP 측면에서의 컨피그레이션에 대해 설명합니다.자세한 내용은 개별 제품 구성 가이드를 참조하십시오.
이 절차는 Cisco IdS와 IDP 간에 신뢰 당사자 트러스트가 올바르게 설정되었는지 확인하는 데 사용됩니다.
참고:확인 프로세스의 일부로 나타나는 체크리스트 페이지는 오류가 아니라 트러스트가 올바르게 설정되었음을 확인하는 것입니다.
문제 해결은 다음을 참조하십시오. https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html