소개
이 문서에서는 Cisco CUCM(Unified Communications Manager)용 SAML(Security Assertion Markup Language) SSO(Single Sign-on)를 구성하고 확인하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
NTP(Network Time Protocol) 설정
SAML SSO가 작동하려면 올바른 NTP 설정을 설치하고 IdP(Identity Provider)와 Unified Communications 애플리케이션 간의 시간 차이가 3초를 초과하지 않는지 확인해야 합니다.
CUCM과 IdP 간에 시간 불일치가 있는 경우 다음 오류가 발생합니다."잘못된 SAML 응답입니다." 이 오류는 CUCM과 IdP 서버 간에 시간이 동기화되지 않은 경우 발생할 수 있습니다.SAML SSO가 작동하려면 올바른 NTP 설정을 설치하고 IdP와 Unified Communications 애플리케이션의 시간 차이가 3초를 초과하지 않는지 확인해야 합니다.
시계를 동기화하는 방법에 대한 자세한 내용은 Cisco Unified Communications Operating System Administration Guide의 NTP Settings 섹션을 참조하십시오.
DNS(Domain Name Server) 설정
Unified Communications 애플리케이션은 DNS를 사용하여 FQDN(정규화된 도메인 이름)을 IP 주소로 확인할 수 있습니다.서비스 공급자 및 IdP는 브라우저에서 확인할 수 있어야 합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- AD FS(Active Directory Federation Service) 버전 2.0(IdP)
- CUCM 버전 10.5를 서비스 공급자로 사용
- Microsoft Internet Explorer 10
주의:이 문서는 새로 설치된 CUCM을 기반으로 합니다.이미 운영 중인 서버에서 SAML SSO를 구성하는 경우 그에 따라 일부 단계를 건너뛰어야 할 수 있습니다.운영 서버에서 단계를 수행하는 경우 서비스에 미치는 영향도 이해해야 합니다.업무 외 시간에 이 절차를 수행하는 것이 좋습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
SAML은 XML 기반의 개방형 표준 데이터 형식으로, 관리자가 정의된 Cisco 협업 애플리케이션 세트를 해당 애플리케이션 중 하나에 로그인한 후 원활하게 액세스할 수 있도록 합니다.SAML SSO는 IdP와 서비스 제공자 간의 프로비저닝 프로세스의 일부로 메타데이터를 교환할 때 CoT(Circle of Trust)를 설정합니다.서비스 공급자는 IdP의 사용자 정보를 신뢰하여 다양한 서비스 또는 애플리케이션에 대한 액세스를 제공합니다.
참고:서비스 공급자가 더 이상 인증에 관여하지 않습니다.SAML Version 2.0은 서비스 제공자와 IdPs에 대한 인증을 위임합니다.클라이언트는 IdP에 대해 인증하고 IdP는 클라이언트에 Assertion을 부여합니다.클라이언트는 서비스 공급자에 대한 Assertion을 나타냅니다.CoT가 설정되어 있으므로 서비스 공급자는 Assertion을 신뢰하고 클라이언트에 액세스 권한을 부여합니다.
구성
네트워크 다이어그램
디렉터리 설정
- Cisco Unified CM Administration > System > LDAP > LDAP System을 선택합니다.
- Add New를 클릭합니다.
- LDAP(Lightweight Directory Access Protocol) 서버 유형 및 특성을 구성합니다.
- Enable Synchronizing from LDAP Server(LDAP 서버에서 동기화 활성화)를 선택합니다.
- Cisco Unified CM Administration > System > LDAP > LDAP Directory를 선택합니다.
- 다음 항목을 구성합니다.
- LDAP 디렉터리 계정 설정
- 동기화할 사용자 특성
- 동기화 일정
- LDAP 서버 호스트 이름 또는 IP 주소 및 포트 번호
- LDAP 디렉토리와 통신하기 위해 SSL(Secure Socket Layer)을 사용하지 않으려면 Use SSL(SSL 사용)을 선택 취소합니다.
팁:SSL을 통해 LDAP를 구성하려면 CUCM에 LDAP 디렉토리 인증서를 업로드합니다.특정 LDAP 제품의 계정 동기화 메커니즘 및 LDAP 동기화에 대한 일반 모범 사례에 대한 자세한 내용은 Cisco Unified Communications Manager SRND의 LDAP 디렉토리 내용을 참조하십시오.
- Save(저장)를 클릭한 다음 Perform Full Sync Now(지금 전체 동기화 수행)를 클릭합니다.
참고:Save(저장)를 클릭하기 전에 서비스 가용성 웹 페이지에서 Cisco DirSync 서비스가 활성화되어 있는지 확인합니다.
- User Management(사용자 관리) > End User(최종 사용자)로 이동하고 CUCM 관리 역할을 부여할 사용자를 선택합니다(이 예에서는 사용자 SSO를 선택합니다).
- 아래로 스크롤하여 Permissions Information(권한 정보)으로 이동하고 Add to Access Control Group(액세스 제어 그룹에 추가)을 클릭합니다.Standard CCM Super Users(표준 CCM 수퍼 사용자)를 선택하고 Add Selected(선택 항목 추가)를 클릭한 다음 Save(저장)를 클릭합니다.
SAML SSO 활성화
- CUCM 관리 사용자 인터페이스에 로그인합니다.
- System > SAML Single Sign-On을 선택하면 SAML Single Sign-On Configuration 창이 열립니다.
- 클러스터에서 SAML SSO를 활성화하려면 Enable SAML SSO를 클릭합니다.
- Reset Warning(경고 재설정) 창에서 Continue(계속)를 클릭합니다.
- SSO 화면에서 찾아보기를 클릭하여 Download IdP Metadata 단계와 함께 IdP(FederationMetadata.xml) 메타데이터 XML 파일을 가져옵니다.
- 메타데이터 파일이 업로드되면 Import IdP Metadata(IdP 메타데이터 가져오기)를 클릭하여 IdP 정보를 CUCM으로 가져옵니다.가져오기에 성공했는지 확인하고 Next(다음)를 클릭하여 계속합니다.
- CUCM 및 CUCM IM and Presence 메타데이터를 로컬 폴더에 저장하고 Add CUCM as Relying Party Trust(CUCM as Relying Party Trust)로 이동하려면 Download Trust Metadata File(신뢰 메타데이터 파일 다운로드(선택 사항)을 클릭합니다.AD FS 컨피그레이션이 완료되면 8단계로 진행합니다.
- 관리 사용자로 SSO를 선택하고 Run SSO Test(SSO 테스트 실행)를 클릭합니다.
- 인증서 경고를 무시하고 계속 진행합니다. 자격 증명을 입력하라는 메시지가 나타나면 사용자 SSO에 대한 사용자 이름 및 비밀번호를 입력하고 확인을 누릅니다.
참고:이 컨피그레이션 예는 CUCM 및 AD FS 자체 서명 인증서를 기반으로 합니다.CA(Certificate Authority) 인증서를 사용하는 경우 AD FS 및 CUCM 모두에 적절한 인증서를 설치해야 합니다.자세한 내용은 인증서 관리 및 검증을 참조하십시오.
- 모든 단계가 완료되면 "SSO 테스트 성공!" 메시지가 표시됩니다.Close(닫기) 및 Finish(마침)를 클릭하여 계속합니다.이제 AD FS와 함께 CUCM에서 SSO를 사용하도록 설정하기 위해 구성 작업을 완료했습니다.
- CUCM IM and Presence는 CUCM Subscriber와 같은 역할을 하므로 Add CUCM IM and Presence as Relying Party Trust(CUCM IM and Presence as Relying Party Trust)를 구성한 다음 CUCM SAML SAML SSO 페이지 자체에서 SAML SSO를 활성화하려면 Run SSO Test(SSO 테스트 실행)를 실행해야 합니다.
참고:IdP에서 모든 노드의 메타데이터 XML 파일을 구성하고 한 노드에서 SSO 작업을 활성화하면 클러스터의 모든 노드에서 SAML SSO가 활성화됩니다.
클러스터의 CUCM 및 CUCM IM and Presence의 모든 노드에 대해 AD FS를 릴레이 파티로 구성해야 합니다.
팁:또한 Cisco Jabber 클라이언트에 SAML SSO 환경을 사용하려는 경우 SAML SSO용 Cisco Unity Connection 및 CUCM IM and Presence를 구성해야 합니다.
다음을 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
- 웹 브라우저를 열고 CUCM의 FQDN을 입력합니다.
- Cisco Unified Communications Manager를 클릭합니다.
- webapp(CM Administration/Unified Serviceability/Cisco Unified Reporting)를 선택하고 Go(이동)를 누른 다음 AD FS에서 자격 증명을 입력하라는 메시지가 표시됩니다.사용자 SSO의 자격 증명을 입력하면 선택한 웹 앱(CM 관리 페이지, Unified Serviceability 페이지, Cisco Unified Reporting)에 성공적으로 로그인됩니다.
참고:SAML SSO는 다음 페이지에 대한 액세스를 활성화하지 않습니다.
- Prime Licensing Manager
- OS 관리
- 재해 복구 시스템
문제 해결
SAML을 활성화할 수 없고 로그인할 수 없는 경우 Installed Applications(복구 URL이라고 함)에서 새 옵션을 사용하여 SSO(Single Sign-on)를 우회합니다. 이 옵션은 설치 중에 생성된 자격 증명을 사용하여 로그인하거나 로컬로 생성된 CUCM 관리 사용자를 사용하여 로그인할 수 있습니다.
자세한 문제 해결 방법은 Collaboration 제품 10.x용 SAML SSO 문제 해결을 참조하십시오.