De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt de configuratie op de Identity Provider (IDP) beschreven om Single gebarentaal On (SSO) in te schakelen.
Cisco IDs-implementatiemodule
Product | Plaatsing |
UCCX | Medeingezetene |
PCCE | Gelijktijdige inwoner met CUIC (Cisco Unified Intelligence Center) en LD (Live Data) |
UCCES | Gelijktijdige inwoner met CUIC en LD voor 2k implementaties. Standalone voor 4k- en 12k-implementaties. |
Cisco raadt kennis van de volgende onderwerpen aan:
Opmerking: Dit document verwijst naar UCCX in de screenshots en voorbeelden, maar de configuratie is vergelijkbaar met betrekking tot de Cisco Identifier Service (UCCX/UCCE/PCCE) en de IDP.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Cisco biedt veel services in verschillende vormen en als een eindgebruiker wilt u slechts één keer intekenen om de toegang tot alle Cisco-services te hebben. Als u contacten van een of meer Cisco-toepassingen en -apparaten wilt vinden en beheren, waarbij u alle mogelijke bronnen (Corporate Directory, Outlook, Mobile contacts, Facebook, LinkedIn, History) wilt gebruiken en u deze op een gemeenschappelijke en consistente manier wilt laten weergegeven, zodat de benodigde informatie beschikbaar is en ze het best kunnen benaderen.
SSO die SAML (Security Assertion Markup Language) gebruikt, richt zich op deze eis. SAML/SSO biedt gebruikers de mogelijkheid om in meerdere apparaten en diensten te loggen door middel van een gemeenschappelijke account- en autorisatie-identiteit, genaamd IDP. De SSO-functie is beschikbaar vanaf UCCX/UCCE/PCCE 11.5.
Cisco Identity Services Engine ondersteunt alleen formuliergebaseerde verificatie van identiteitsproviders.
Raadpleeg deze MSDN-artikelen om te leren hoe u Formulierverificatie in ADFS kunt inschakelen.
Opmerking: Cisco Identity Services Service 11.6 en hoger ondersteunt zowel op formulieren gebaseerde verificatie als Kerberos verificatie. Voor Kerberos verificatie om te kunnen werken, moet u de op formulier gebaseerde verificatie uitschakelen.
Voor het instappen en inschakelen van toepassingen om Cisco Identity Services voor Single aanmelding te gebruiken, voert u de metagegevens uit tussen de Identity Services (IDs) en IDP.
Dit is de procedure om de IDS-metadata te uploaden en regels voor claims toe te voegen. Dit wordt geschetst voor ADFS 2.0 en 3.0
Stap 1. In de ADFS-server navigeer naar Start > Alle programma's > Administratieve tools > AD FS 2.0 Management, zoals in de afbeelding:
Stap 2. Navigeer om AD FS 2.0 toe te voegen > Vertrouwensrelatie > Vertrouwen tussen partijen, zoals in de afbeelding getoond:
Stap 3. Zoals in de afbeelding, selecteert u de optie Gegevens importeren over de vertrouwende partij in een bestand.
Stap 4. Voltooi de oprichting van het vertrouwen van de partijen.
Stap 5. Selecteer in de eigenschappen van het Vertrouwende Vertrouwen van de Partij, het tabblad Identifier.
Stap 6. Stel de herkenningsteken in als volledig gekwalificeerd hostname van Cisco Identity Server waarvan sp.xml wordt gedownload.
Stap 7. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Bewerken in de claimregels.
U moet twee claimregels toevoegen, één is wanneer de LDAP-kenmerken (Lichtgewicht Directory Access Protocol) worden aangepast terwijl de tweede met aangepaste claimregels wordt afgesloten.
uid - Deze eigenschap is nodig om de toepassingen de geauthentiseerde gebruiker te kunnen identificeren.
gebruiker_main - Deze eigenschap wordt door de Dienst van de Identiteit van Cisco vereist om het gebied van de geauthentiseerde gebruiker te identificeren.
Claim Rregel 1:
Voeg een regel toe door naam NameID van type (Verzend de waarden van de LDAP eigenschap als claims):
Voorbeeld configuratie wanneer SamAccountName moet worden gebruikt als Gebruiker ID:
Voorbeeld configuratie wanneer UPN moet worden gebruikt als gebruiker-id -
Voorbeeld configuratie wanneer PhoneNumber moet worden gebruikt als gebruiker-id -
Opmerking: We moeten ervoor zorgen dat de LDAP-eigenschap die voor gebruiker-ID op CUCM LDAP-sync is ingesteld, overeenkomt met wat in de ADFS-claimregel wordt ingesteld als de LDAP-kenmerk voor uid. Dit is voor het goed functioneren van Cisco Unified Intelligence Center (CUIC) en Finse inloggen.
Opmerking: In dit document wordt verwezen naar beperkingen op de naam van de claimregel en worden namen weergegeven zoals NameID, FQDN of UCCX, enzovoort. Hoewel de datumvelden en namen in verschillende secties van toepassing kunnen zijn, worden de namen van de claimregels en de weergavenamen overal standaard bewaard om de consistentie te handhaven en voor de optimale werkwijzen in de naamgeving.
Claim Rule 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Stap 8. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Eigenschappen en selecteer het geavanceerde tabblad, zoals in de afbeelding.
Stap 9. Zoals in de afbeelding, selecteert u Secure Hash Algorithm (SHA) als SHA-1.
Stap 10. Klik op OK.
Stap 1. In ADFS server navigeer naar, Server Manager > Gereedschappen > AD FS Management.
Stap 2. Navigeer naar AD FS > Vertrouwensrelatie > Vertrouwen tussen de partijen.
Stap 3. Selecteer de optie Gegevens importeren over de legende partij uit een bestand.
Stap 4. Voltooi de oprichting van het vertrouwen van de partijen.
Stap 5. Selecteer in de eigenschappen van het Vertrouwende Vertrouwen van de Partij, het tabblad Identifier.
Stap 6. Stel de herkenningsteken in als volledig gekwalificeerd hostname van Cisco Identity Server waarvan sp.xml wordt gedownload.
Stap 7. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Bewerken in de claimregels.
U moet twee claimregels toevoegen, één is wanneer de LDAP-kenmerken (Lichtgewicht Directory Access Protocol) worden aangepast terwijl de tweede met aangepaste claimregels wordt afgesloten.
uid - Deze eigenschap is nodig om de toepassingen de geauthentiseerde gebruiker te kunnen identificeren.
gebruiker_main - Deze eigenschap wordt door de Dienst van de Identiteit van Cisco vereist om het gebied van de geauthentiseerde gebruiker te identificeren.
Claim Rregel 1:
Voeg een regel toe door naam NameID van type (Verzend de waarden van de LDAP eigenschap als claims):
Voorbeeld configuratie wanneer SamAccountName moet worden gebruikt als Gebruiker ID:
Voorbeeld configuratie wanneer UPN moet worden gebruikt als gebruiker-id -
Voorbeeld configuratie wanneer PhoneNumber moet worden gebruikt als gebruiker-id -
Opmerking: We moeten ervoor zorgen dat de LDAP-eigenschap die voor gebruiker-ID op CUCM LDAP-sync is ingesteld, overeenkomt met wat in de ADFS-claimregel wordt ingesteld als de LDAP-kenmerk voor uid. Dit is voor het goed functioneren van Cisco Unified Intelligence Center (CUIC) en Finse inloggen.
Opmerking: In dit document wordt verwezen naar beperkingen op de naam van de claimregel en worden namen weergegeven zoals NameID, FQDN of UCCX, enzovoort. Hoewel de datumvelden en namen in verschillende secties van toepassing kunnen zijn, worden de namen van de claimregels en de weergavenamen overal standaard bewaard om de consistentie te handhaven en voor de optimale werkwijzen in de naamgeving.
Claim Rule 2:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
Stap 8. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Eigenschappen en selecteer het geavanceerde tabblad
Stap 9. Zoals in de afbeelding, selecteert u Secure Hash Algorithm (SHA) als SHA-1.
Stap 10 - Klik op OK.
Deze stappen zijn verplicht na stap 10.
Stap 1. Klik op Start en voer de kraan in om de vensters PowerShell te openen.
Stap 2. Voeg ADFS CmdLet toe aan de powershell door de opdracht Add-PSSnapin Microsoft.Adfs.Power shell uit te voeren.
Stap 3 - Start de opdracht, Set-ADFSRelyingPartyTrust-TargetName <Relying Party Trust Name>
-SamlResponseSignature "MessageandAssertion".
Opmerking: Stap 2 is mogelijk niet nodig als u ADFS 3.0 gebruikt omdat CmdLet al geïnstalleerd is als onderdeel van het toevoegen van de rollen en functies.
Opmerking: De <Relying Party Trust Identifier> is hoofdlettergevoelig, zodat het overeenkomt (inclusief case) met wat wordt ingesteld in het tabblad Identifier van de vertrouwenseigenschappen van de betrokken partij.
Opmerking: Cisco Identity Services ondersteunt SHA-1. Het vertrouwen van de betrouwbare partij gebruikt SHA-1 voor het ondertekenen van het SAML-verzoek en verwacht dat ADFS in de reactie hetzelfde zal doen.
In het geval van Federatie in ADFS, waar een ADFS in een bepaald domein federatieve SAML-authenticatie biedt voor gebruikers in andere geconfigureerde domeinen, zijn dit de extra configuraties die nodig zijn.
Voor deze secties verwijst de term primaire ADFS naar de ADFS die moet worden gebruikt in IDS. De term Federated ADFS geeft die ADFS aan, waarvan de gebruikers via IDs mogen inloggen en dus de primaire ADFS zijn.
In elk van de gefedereerde ADFS moet het vertrouwen van de verbonden partij worden gecreëerd voor primaire ADFS en moeten de claimregels worden ingesteld zoals in de voorgaande sectie wordt vermeld.
Voor primaire ADFS is, behalve het vertrouwen van de betrouwbare partij voor IDS, de volgende extra configuratie nodig.
Voeg Claim Provider Trust toe met de ADFS waaraan de federatie moet worden ingesteld.
Zorg er in het Vertrouwen van de Verdeler van de Verdeler van de Verdeler dat de Kopen door of het Filteren van een Inkomende Verdelingsregeling door alle claims waarden als optie worden gevormd
In het vertrouwen van een betrouwbare partij voor IDS, voeg Pass toe of filter een Inkomende Claim regels met de doorloop door alle claimwaarden als de optie.
Geïntegreerde Windows Verificatie (IWA) biedt een mechanisme voor verificatie van gebruikers, maar laat geen aanmeldingsgegevens via het netwerk toe. Wanneer u geïntegreerde Windows-verificatie toelaat, is dit werkt op basis van tickets om knooppunten die via een onveilig netwerk communiceren, in staat te stellen hun identiteit op een veilige manier aan elkaar te bewijzen. Hiermee kunnen gebruikers inloggen op een domein nadat ze inloggen in hun Windows-machines.
Opmerking: Kerberos-authenticatie wordt alleen ondersteund vanaf 11.6 en hoger.
Domeingebruikers die al zijn aangemeld bij de domeincontroller (DC) zullen naadloos zijn aangemeld bij SSO-klanten zonder dat ze opnieuw aanmeldingsgegevens hoeven in te voeren. Voor gebruikers die geen domein hebben, valt IWA terug naar NTLM (New Technology Local Area Network Manager) en verschijnt het dialoogvenster inloggen. De kwalificatie voor IDs met IWA-verificatie geschiedt met Kerberos tegen ADFS 3.0.
Stap 1. Open Windows-opdrachtmelding en voer als beheerder uit om http-service met ingestelde opdracht te registreren
setspn -s http/<ADFS url> <domein>\<account name>.
Stap 2. Schakel formulierverificatie uit en stel Windows-verificatie in voor intranetsites. Ga naar ADFS Management > Verificatiebeleid > Primaire verificatie > Global Settings > Bewerken. Zorg er onder Intranet voor dat alleen Windows-verificatie is ingeschakeld (Formulierverificatie uitschakelen).
Stap 1. Zorg ervoor dat Internet Explorer > Advanced > Geïntegreerde Windows-verificatie inschakelen is ingeschakeld.
Stap 2. ADFS-website moet worden toegevoegd aan Security >Intranet > Sites (winadcom215.uccx116.com is ADFS-url)
Stap 3. Zorg ervoor dat Internet-exporteur > Beveiliging > Lokaal intranet > Beveiligingsinstellingen > Gebruikersverificatie - aanmelding is ingesteld om de intranetreferenties voor intranet te gebruiken.
Stap 1. Voer de configuratiemodus in voor Firefox. Open Firefox en voer over:mede-klaar op de URL in. Aanvaard de risicoverklaring.
Stap 2. Zoek naar ntlm en laat het netwerk.automatische-ntlm-auth.allow-non-fqdn in en stel het op waarheid.
Stap 3. Stel het netwerk.automatische-ntlm-auth.vertrouwde-uris in op het domein of expliciet op de ADFS-URL.
Google Chrome gebruikt de instellingen van Internet Explorer, dus moet u deze configureren in het dialoogvenster Gereedschappen > Internet Opties of in het Configuratiescherm onder Internet-opties binnen de subcategorie Netwerk en internet.
In dit document wordt de configuratie vanuit het IDP-aspect beschreven zodat de BF kan integreren met de Cisco Identity Services. Raadpleeg de afzonderlijke productconfiguratiehandleidingen voor meer informatie:
Deze procedure wordt gebruikt om te bepalen of het vertrouwen van de betrouwbare partij goed tussen Cisco IDS en IDP wordt gevestigd.
Opmerking: De checklist-pagina die als onderdeel van het verificatieproces wordt weergegeven, is geen fout, maar een bevestiging dat het vertrouwen naar behoren is gevestigd.
Raadpleeg voor probleemoplossing: https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html