SSO를 사용하도록 Cisco Identity Service용 ID 공급자 구성
목차
소개
이 문서에서는 SSO(Single Sign On)를 활성화하기 위한 IdP(Identity Provider)의 컨피그레이션에 대해 설명합니다.
Cisco IDs 구축 모델
| 제품 | 구축 |
| UCCX | 공동 상주 |
| PCCE | CUIC(Cisco Unified Intelligence Center) 및 LD(라이브 데이터)와 공동 상주 |
| UCCE | 2k 구축을 위해 CUIC 및 LD와 공동 상주 4k 및 12k 구축을 위한 독립형 |
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Unified Contact Center Express(UCCX) 릴리스 11.5 또는 Cisco Unified Contact Center Enterprise 릴리스 11.5 또는 PCCE(Packaged Contact Center Enterprise) 릴리스 11.5가 해당됩니다.
- Microsoft Active Directory - Windows Server에 설치된 AD
- ADFS(Active Directory Federation Service) 버전 2.0/3.0
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
SSO 개요
Cisco는 다양한 형태로 다양한 서비스를 제공하며 최종 사용자로서 모든 Cisco Services에 대한 액세스 권한을 가지려면 한 번만 로그인하면 됩니다.모든 Cisco 애플리케이션 및 디바이스에서 연락처를 찾아 관리하려는 경우, 가능한 모든 소스(Corporate Directory, Outlook, Mobile 연락처, Facebook, LinkedIn, History)를 활용하고 공통적이고 일관된 방식으로 이러한 연락처를 렌더링하여 해당 연락처의 가용성과 연락 방법을 파악하는 데 필요한 정보를 제공합니다.
SAML(Security Assertion Markup Language)을 사용하는 SSO는 이 요구 사항을 대상으로 합니다.SAML/SSO는 사용자가 IdP라는 공통 계정 및 권한 부여 ID를 통해 여러 디바이스 및 서비스에 로그인할 수 있는 기능을 제공합니다.SSO 기능은 UCCX/UCCE/PCCE 11.5 이상에서 사용할 수 있습니다.
구성 개요
구성
인증 유형
Cisco Identity Service는 ID 공급자의 양식 기반 인증만 지원합니다.
ADFS에서 양식 인증을 활성화하는 방법을 알아보려면 다음 MSDN 문서를 참조하십시오.
- ADFS 2.0은 이 Microsoft TechNet 문서를 참조하십시오.
http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx - ADFS 3.0은 이 Microsoft TechNet 문서를 참조하십시오.
https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/
신뢰 관계 설정
애플리케이션이 Single Sign-On에 Cisco Identity Service를 사용할 수 있도록 온보딩 및 활성화하려면 IdS(Identity Service)와 IdP 간의 메타데이터 교환을 수행합니다.
- SAML SP 메타데이터 파일 sp.xml을 다운로드합니다.
- Settings(설정)에서 Identity Service Management(ID 서비스 관리) 페이지의 IdS Trust(ID 신뢰) 탭으로 이동합니다.
- URL에서 IdP 메타데이터 파일을 다운로드합니다.
https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml
- Identity Service Management 페이지에서 이전 단계에서 다운로드한 ID 제공자 메타데이터 파일을 업로드합니다.
IdS 메타데이터를 업로드하고 클레임 규칙을 추가하는 절차입니다.AD FS 2.0 및 3.0에 대해 간략하게 설명합니다.
ADFS 2.0:
1단계. AD FS 서버에서 이미지에 표시된 대로 Start(시작) > All Programs(모든 프로그램) > Administrative Tools(관리 도구) > AD FS 2.0 Management(AD FS 2.0 관리)로 이동합니다.
2단계. 이미지에 표시된 대로 Add AD FS 2.0 > Trust Relationship > Relying Party Trust로 이동합니다.
3단계. 이미지에 표시된 대로 파일에서 신뢰 당사자에 대한 데이터 가져오기 옵션을 선택합니다.
4단계. 신뢰 당사자 트러스트 설정을 완료합니다.
5단계. 신뢰 당사자 트러스트의 속성에서 식별자 탭을 선택합니다.
6단계. 식별자를 sp.xml을 다운로드하는 Cisco Identity Server의 정규화된 호스트 이름으로 설정합니다.
7단계. Relying Party Trust를 마우스 오른쪽 버튼으로 클릭한 다음 Edit Claim Rules(클레임 규칙 수정)를 클릭합니다.
두 개의 클레임 규칙을 추가해야 합니다. 하나는 LDAP(Lightweight Directory Access Protocol) 특성이 일치하는 반면 두 번째는 사용자 지정 클레임 규칙을 통과하는 경우입니다.
uid - 이 특성은 응용 프로그램에서 인증된 사용자를 식별하는 데 필요합니다.
user_principal - 이 특성은 Cisco Identity Service에서 인증된 사용자의 영역을 식별하기 위해 필요합니다.
청구 R규칙 1:
NameID 형식의 이름으로 규칙 추가(LDAP 특성 값을 클레임으로 전송):
- Attribute store as Active Directory를 선택합니다.
- Ldap 특성 User-Principal-Name을 user_principal(소문자)에 매핑합니다.
- 애플리케이션 사용자가 로그인하고 uid(소문자)에 매핑하려면 userId로 사용해야 하는 LDAP 특성을 선택합니다.
SamAccountName을 사용자 ID로 사용할 경우의 구성 예:
- LDAP 특성 SamAccountName을 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
UPN을 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
- LDAP 특성 User-Principal-Name을 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
PhoneNumber를 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
- LDAP 특성 telephoneNumber를 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
클레임 규칙e-메일 2:
- 이름이 Cisco Identity Server의 FQDN(Fully Qualified Hostname)인 사용자 지정 클레임 규칙 유형의 다른 규칙을 추가하고 이 규칙 텍스트를 추가합니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
- Cisco Identity Server 클러스터에서 모든 정규화된 호스트 이름은 Cisco Identity Server 기본 또는 게시자 노드의 호스트 이름입니다.
- <Cisco Identity Server의 정규화된 호스트 이름>은 대/소문자를 구분하므로 Cisco Identity Server FQDN과 정확히 일치(대/소문자 포함)합니다.
- <ADFS Server FQDN>은 대/소문자를 구분하므로 ADFS FQDN과 정확히 일치(대/소문자 포함)합니다.
8단계. 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하고 이미지에 표시된 대로 고급 탭을 선택합니다.
9단계. 이미지에 표시된 대로 SHA(Secure Hash Algorithm)를 SHA-1로 선택합니다.
10단계. 확인을 클릭합니다.
ADFS 3.0:
1단계. ADFS 서버에서 Server Manager > Tools > AD FS Management로 이동합니다.
2단계. AD FS > Trust Relationship > Relying Party Trust로 이동합니다.
3단계. 파일에서 신뢰 당사자에 대한 데이터 가져오기 옵션을 선택합니다.
4단계. 신뢰 당사자 트러스트 설정을 완료합니다.
5단계. 신뢰 당사자 트러스트의 속성에서 식별자 탭을 선택합니다.
6단계. 식별자를 sp.xml을 다운로드하는 Cisco Identity Server의 정규화된 호스트 이름으로 설정합니다.
7단계. Relying Party Trust를 마우스 오른쪽 버튼으로 클릭한 다음 Edit Claim Rules(클레임 규칙 수정)를 클릭합니다.
두 개의 클레임 규칙을 추가해야 합니다. 하나는 LDAP(Lightweight Directory Access Protocol) 특성이 일치하는 반면 두 번째는 사용자 지정 클레임 규칙을 통과하는 경우입니다.
uid - 이 특성은 응용 프로그램에서 인증된 사용자를 식별하는 데 필요합니다.
user_principal - 이 특성은 Cisco Identity Service에서 인증된 사용자의 영역을 식별하기 위해 필요합니다.
청구 R규칙 1:
NameID 형식의 이름으로 규칙 추가(LDAP 특성 값을 클레임으로 전송):
- Attribute store as Active Directory를 선택합니다.
- Ldap 특성 User-Principal-Name을 user_principal(소문자)에 매핑합니다.
- 애플리케이션 사용자가 로그인하고 uid(소문자)에 매핑하려면 userId로 사용해야 하는 LDAP 특성을 선택합니다.
SamAccountName을 사용자 ID로 사용할 경우의 구성 예:
- LDAP 특성 SamAccountName을 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
UPN을 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
- LDAP 특성 User-Principal-Name을 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
PhoneNumber를 사용자 ID로 사용해야 하는 경우의 컨피그레이션 예 -
- LDAP 특성 telephoneNumber를 uid에 매핑합니다.
- LDAP 특성 User-Principal-Name을 user_principal에 매핑합니다.
클레임 규칙e-메일 2:
- 이름이 Cisco Identity Server의 FQDN(Fully Qualified Hostname)인 사용자 지정 클레임 규칙 유형의 다른 규칙을 추가하고 이 규칙 텍스트를 추가합니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
- Cisco Identity Server 클러스터에서 모든 정규화된 호스트 이름은 Cisco Identity Server 기본 또는 게시자 노드의 호스트 이름입니다.
- <Cisco Identity Server의 정규화된 호스트 이름>은 대/소문자를 구분하므로 Cisco Identity Server FQDN과 정확히 일치(대/소문자 포함)합니다.
- <ADFS Server FQDN>은 대/소문자를 구분하므로 ADFS FQDN과 정확히 일치(대/소문자 포함)합니다.
8단계. 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭하고 고급 탭을 선택합니다.
9단계. 이미지에 표시된 대로 SHA(Secure Hash Algorithm)를 SHA-1로 선택합니다.
10단계 - OK(확인)를 클릭합니다.
이러한 단계는 10단계 이후에 반드시 수행해야 합니다.
신뢰 당사자 트러스트(Cisco Identity Service)에 대해 서명된 SAML 어설션 사용
1단계. 시작을 클릭하고 powershell을 입력하여 Windows Powershell을 엽니다.
2단계. Add-PSSnapin Microsoft.Adfs.Powershell 명령을 실행하여 ADFS CmdLet을 powershell에 추가합니다.
3단계 - Set-ADFSRelyingPartyTrust -TargetName <신뢰 당사자 트러스트 이름> 명령을 실행합니다.
-SamlResponseSignature "MessageAndAssertion".
페더레이션 ADFS에 대한 다중 도메인 컨피그레이션
특정 도메인의 ADFS가 다른 구성된 도메인의 사용자에 대해 페더레이션된 SAML 인증을 제공하는 ADFS의 Federation의 경우 이러한 추가 컨피그레이션이 필요합니다.
이 섹션에서 기본 ADFS라는 용어는 IdS에서 사용해야 하는 ADFS를 나타냅니다.Federated ADFS라는 용어는 사용자가 IdS를 통해 로그인할 수 있는 ADFS가 기본 ADFS임을 나타냅니다.
페더레이션 ADFS 컨피그레이션
각 페더레이션 ADFS에서 기본 ADFS 및 이전 섹션에서 설명한 대로 구성된 클레임 규칙에 대해 신뢰 당사자 트러스트를 생성해야 합니다.
기본 ADFS 컨피그레이션
기본 ADFS의 경우 IdS에 대한 신뢰 당사자 트러스트를 제외하고 다음과 같은 추가 컨피그레이션이 필요합니다.
페더레이션을 설정해야 하는 ADFS에 클레임 공급자 트러스트를 추가합니다.
Claim Provider Trust에서 Pass through 또는 Filter an Incoming Claim 규칙이 모든 클레임 값을 통과하도록 구성되었는지 확인합니다.
- 이름 ID
- Choose Name ID from Incoming Claim Type(수신 클레임 유형에서 이름 ID 선택) 드롭다운 상자
- Incoming NameID 형식 옵션으로 Transient를 선택합니다.
- uid:사용자 지정 클레임입니다.Incoming Claim Type(수신 클레임 유형) 드롭다운 상자에 값 uid를 입력합니다.
- 사용자_계정:사용자 지정 클레임입니다.Incoming Claim Type(수신 클레임 유형) 드롭다운 상자에 user_principal 값을 입력합니다.
IdS에 대한 신뢰 당사자 트러스트에서 모든 클레임 값을 통과한 수신 클레임 규칙을 옵션으로 추가하거나 필터링합니다.
- 이름IDFrom 하위 도메인
- Choose Name ID from Incoming Claim Type(수신 클레임 유형에서 이름 ID 선택) 드롭다운 상자
- Incoming NameID 형식 옵션으로 Transient를 선택합니다.
- uid:사용자 지정 클레임입니다.Incoming Claim Type(수신 클레임 유형) 드롭다운 상자에 값 uid를 입력합니다.
- 사용자_계정:사용자 지정 클레임입니다.Incoming Claim Type(수신 클레임 유형) 드롭다운 상자에 user_principal 값을 입력합니다.
ADFS 자동 인증서 롤오버
- UCCX 11.6.1 이상에서는 자동 인증서 롤오버가 지원됩니다.[Fedlet 라이브러리를 버전 14.0으로 업그레이드하여 UCCX 11.6에서 수정되었습니다.]
Kerberos 인증(통합 Windows 인증)
IWA(Integrated Windows Authentication)는 사용자 인증을 위한 메커니즘을 제공하지만 네트워크를 통해 자격 증명을 전송할 수는 없습니다.통합 Windows 인증을 활성화하면 티켓을 기반으로 작동하여 비보안 네트워크를 통해 노드를 통신하여 안전한 방식으로 서로 자신의 신원을 확인할 수 있습니다.사용자는 Windows 시스템에 로그인한 후 도메인에 로그인할 수 있습니다.
DC(도메인 컨트롤러)에 이미 로그인한 도메인 사용자는 자격 증명을 다시 입력할 필요 없이 SSO 클라이언트에 원활하게 로그인됩니다. 도메인이 아닌 사용자의 경우 IWA가 NTLM(New Technology Local Area Network Manager)으로 돌아가고 로그인 대화 상자가 나타납니다.IWA 인증을 사용하는 IdS에 대한 자격은 ADFS 3.0에 대해 Kerberos로 수행됩니다.
1단계. Windows 명령 프롬프트를 열고 관리자 사용자로 실행하여 setspn 명령으로 http 서비스를 등록합니다.
setspn -s http/<ADFS url> <domain>\<계정 이름>.
2단계. 폼 인증을 비활성화하고 인트라넷 사이트에 대해 Windows 인증을 활성화합니다.ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit로 이동합니다.인트라넷에서 Windows 인증만 선택되었는지 확인합니다(양식 인증 선택 취소).
IWA 지원을 위한 Microsoft Internet Explorer 구성
1단계. Internet Explorer > Advanced > Enable Integrated Windows Authentication(통합 Windows 인증 활성화)이 선택되어 있는지 확인합니다.
2단계. ADFS URL을 Security(보안) > Intranet zones(인트라넷 영역) > Sites(사이트)에 추가해야 합니다(winadcom215.uccx116.com은 ADFS url).
3단계. Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon이 인트라넷 사이트에 로그인된 자격 증명을 사용하도록 구성되어 있는지 확인합니다.
IWA 지원을 위해 Mozilla Firefox에 필요한 구성
1단계. Firefox의 컨피그레이션 모드로 들어갑니다.Firefox를 열고 URL에 about:config를 입력합니다.위험 설명을 수락합니다.
2단계. ntlm을 검색하고 network.automatic-ntlm-auth.allow-non-fqdn을 활성화하고 true로 설정합니다.
3단계. network.automatic-ntlm-auth.trusted-uris를 도메인 또는 명시적으로 ADFS URL로 설정합니다.
IWA 지원을 위해 Google Chrome에 필요한 구성
Windows의 Google Chrome은 Internet Explorer 설정을 사용하므로 Internet Explorer의 도구 >인터넷 옵션 대화 상자에서 또는 하위 범주의 네트워크 및 인터넷 내 인터넷 옵션 아래의 제어판에서 구성합니다.
SSO에 대한 추가 구성:
이 문서에서는 Cisco Identity Service와 통합하기 위한 SSO의 IdP 측면에서의 컨피그레이션에 대해 설명합니다.자세한 내용은 개별 제품 구성 가이드를 참조하십시오.
다음을 확인합니다.
이 절차는 Cisco IdS와 IDP 간에 신뢰 당사자 트러스트가 올바르게 설정되었는지 확인하는 데 사용됩니다.
- 브라우저에서 URL https://을 입력합니다.<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
- ADFS는 로그인 양식을 제공합니다.위 컨피그레이션이 올바른 경우 이 옵션을 사용할 수 있습니다.
- 인증에 성공하면 브라우저가 https://<IDS_FQDN>:8553/ids/saml/response로 리디렉션되고 검사 목록 페이지가 나타납니다.
문제 해결
문제 해결은 다음을 참조하십시오. https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html
UCCX SSO Bypass/Recovery URL
- Cisco Unified CCX 관리 URL:https://<IP_or_FQDN>/appadmin/recovery_login.htm
- Cisco Unified CCX 서비스 가용성 URL:https://<IP_or_FQDN>/uccxservice/recovery_login.htm
SSO 비활성화
- GUI:CCX Administration(CCX 관리)> Single Sign-On(SSO) > Disable(비활성화)로 이동합니다.
- CLI:set authmode non_sso(이 명령은 Pub 및 Sub 모두에 대해 SSO를 비활성화해야 함 - HA(고가용성) 클러스터의 경우 UCCX 노드에서 실행할 수 있음)
스크린샷
CCX 관리 - 비SSO:
CCX 관리 - SSO 사용:
Finesse 로그인 - 비 SSO:
Finesse 로그인 - SSO 사용:
CUIC - 비SSO:
CUIC - SSO 사용:
피드백