Configureer de identiteitsprovider voor Cisco Identity Services om de SSO in te schakelen

Inleiding

In dit document wordt de configuratie op de Identity Provider (IDP) beschreven om Single gebarentaal On (SSO) in te schakelen.

Cisco IDs-implementatiemodule

Product	Plaatsing
UCCX	Medeingezetene
PCCE	Gelijktijdige inwoner met CUIC (Cisco Unified Intelligence Center) en LD (Live Data)
UCCES	Gelijktijdige inwoner met CUIC en LD voor 2k implementaties. Standalone voor 4k- en 12k-implementaties.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Unified Contact Center Express (UCCX) release 11.5 of Cisco Unified Contact Center Enterprise release 11.5 of Packaged Contact Center Enterprise (PCCE) release 11.5 indien van toepassing.
• Microsoft Active Directory - AD geïnstalleerd op Windows Server
• Active Directory Federation Service (ADFS) versie 2.0/3.0

Opmerking: Dit document verwijst naar UCCX in de screenshots en voorbeelden, maar de configuratie is vergelijkbaar met betrekking tot de Cisco Identifier Service (UCCX/UCCE/PCCE) en de IDP.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Overzicht SSO

Cisco biedt veel services in verschillende vormen en als een eindgebruiker wilt u slechts één keer intekenen om de toegang tot alle Cisco-services te hebben. Als u contacten van een of meer Cisco-toepassingen en -apparaten wilt vinden en beheren, waarbij u alle mogelijke bronnen (Corporate Directory, Outlook, Mobile contacts, Facebook, LinkedIn, History) wilt gebruiken en u deze op een gemeenschappelijke en consistente manier wilt laten weergegeven, zodat de benodigde informatie beschikbaar is en ze het best kunnen benaderen.

SSO die SAML (Security Assertion Markup Language) gebruikt, richt zich op deze eis. SAML/SSO biedt gebruikers de mogelijkheid om in meerdere apparaten en diensten te loggen door middel van een gemeenschappelijke account- en autorisatie-identiteit, genaamd IDP. De SSO-functie is beschikbaar vanaf UCCX/UCCE/PCCE 11.5.

Overzicht van configuratie 

Configureren

Verificatietypen

Cisco Identity Services Engine ondersteunt alleen formuliergebaseerde verificatie van identiteitsproviders.

Raadpleeg deze MSDN-artikelen om te leren hoe u Formulierverificatie in ADFS kunt inschakelen.

• Raadpleeg voor ADFS 2.0 dit Microsoft TechNet-artikel,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Raadpleeg voor ADFS 3.0 dit Microsoft TechNet-artikel,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Opmerking: Cisco Identity Services Service 11.6 en hoger ondersteunt zowel op formulieren gebaseerde verificatie als Kerberos verificatie. Voor Kerberos verificatie om te kunnen werken, moet u de op formulier gebaseerde verificatie uitschakelen.

Betrouwbaarheidsrelatie instellen 

Voor het instappen en inschakelen van toepassingen om Cisco Identity Services voor Single aanmelding te gebruiken, voert u de metagegevens uit tussen de Identity Services (IDs) en IDP.

• Download het SAML SP Metagegevens file sp.xml.
• Vanuit Instellingen navigeren u naar het tabblad ID's Vertrouwen op de pagina Identity Services Management.

• Downloadt het bestand van de CDP-metagegevens uit de URL:
  https://<ADSL>/federationmetadata/2007-06/federationmetadata.xml

• Op de pagina Identity Services Management uploadt u het metagegevens voor Identity Provider dat in vorige stap is gedownload.

Dit is de procedure om de IDS-metadata te uploaden en regels voor claims toe te voegen. Dit wordt geschetst voor ADFS 2.0 en 3.0

ADFS 2.0:

Stap 1. In de ADFS-server navigeer naar Start > Alle programma's > Administratieve tools > AD FS 2.0 Management, zoals in de afbeelding:

Stap 2. Navigeer om AD FS 2.0 toe te voegen > Vertrouwensrelatie > Vertrouwen tussen partijen, zoals in de afbeelding getoond:

Stap 3. Zoals in de afbeelding, selecteert u de optie Gegevens importeren over de vertrouwende partij in een bestand.

Stap 4. Voltooi de oprichting van het vertrouwen van de partijen.

Stap 5. Selecteer in de eigenschappen van het Vertrouwende Vertrouwen van de Partij, het tabblad Identifier.

Stap 6. Stel de herkenningsteken in als volledig gekwalificeerd hostname van Cisco Identity Server waarvan sp.xml wordt gedownload.

Stap 7. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Bewerken in de claimregels.

U moet twee claimregels toevoegen, één is wanneer de LDAP-kenmerken (Lichtgewicht Directory Access Protocol) worden aangepast terwijl de tweede met aangepaste claimregels wordt afgesloten.

uid - Deze eigenschap is nodig om de toepassingen de geauthentiseerde gebruiker te kunnen identificeren.
gebruiker_main - Deze eigenschap wordt door de Dienst van de Identiteit van Cisco vereist om het gebied van de geauthentiseerde gebruiker te identificeren.

Claim Rregel 1:

Voeg een regel toe door naam NameID van type (Verzend de waarden van de LDAP eigenschap als claims):

• Selecteer Opslaan als actieve map van kenmerken.
• Map Ldap attribuut user-Principal-Name aan user_main (kleine letters).
• Kies de LDAP-eigenschap die als gebruikerID moet worden gebruikt voor toepassingsgebruikers om in te loggen en in te zetten voor gebruik (kleine letters)

Voorbeeld configuratie wanneer SamAccountName moet worden gebruikt als Gebruiker ID:

• Geef de LDAP eigenschap SamAccountName op aan u.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.

Voorbeeld configuratie wanneer UPN moet worden gebruikt als gebruiker-id -

• Geef de LDAP eigenschap gebruiker-Principal-Name op voor gebruik.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.
               

Voorbeeld configuratie wanneer PhoneNumber moet worden gebruikt als gebruiker-id -

• Geef het telefoonnummer van de LDAP aan gebruiker op.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.

Opmerking: We moeten ervoor zorgen dat de LDAP-eigenschap die voor gebruiker-ID op CUCM LDAP-sync is ingesteld, overeenkomt met wat in de ADFS-claimregel wordt ingesteld als de LDAP-kenmerk voor uid. Dit is voor het goed functioneren van Cisco Unified Intelligence Center (CUIC) en Finse inloggen.

Opmerking: In dit document wordt verwezen naar beperkingen op de naam van de claimregel en worden namen weergegeven zoals NameID, FQDN of UCCX, enzovoort. Hoewel de datumvelden en namen in verschillende secties van toepassing kunnen zijn, worden de namen van de claimregels en de weergavenamen overal standaard bewaard om de consistentie te handhaven en voor de optimale werkwijzen in de naamgeving.

Claim Rule 2:

• Voeg een andere regel van type van de douanebewering toe met naam zoals de Volledig Gekwalificeerde Naam van de Hostnaam (FQDN) van de Server van de Identiteit van Cisco en voeg deze regeltekst toe.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• In Cisco Identity Server cluster alle volledig gekwalificeerde hostnamen zijn die van het Cisco Identity Server primaire of uitgeverij knooppunt.
  
  
• De <volledig gekwalificeerde hostnaam van Cisco Identity Server> is hoofdlettergevoelig, zodat het precies overeenkomt (inclusief case) met de Cisco Identity Server FQDN.
  
  
• De <ADFS Server FQDN> is hoofdlettergevoelig, zodat het exact overeenkomt (inclusief case) met de ADFS FQDN.

Stap 8. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Eigenschappen en selecteer het geavanceerde tabblad, zoals in de afbeelding.

Stap 9. Zoals in de afbeelding, selecteert u Secure Hash Algorithm (SHA) als SHA-1.

Stap 10. Klik op OK.

ADFS 3.0:

Stap 1. In ADFS server navigeer naar, Server Manager > Gereedschappen > AD FS Management.

Stap 2. Navigeer naar AD FS > Vertrouwensrelatie > Vertrouwen tussen de partijen.

Stap 3. Selecteer de optie Gegevens importeren over de legende partij uit een bestand.

Stap 4. Voltooi de oprichting van het vertrouwen van de partijen.

Stap 5. Selecteer in de eigenschappen van het Vertrouwende Vertrouwen van de Partij, het tabblad Identifier.

Stap 6. Stel de herkenningsteken in als volledig gekwalificeerd hostname van Cisco Identity Server waarvan sp.xml wordt gedownload.

Stap 7. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Bewerken in de claimregels.

U moet twee claimregels toevoegen, één is wanneer de LDAP-kenmerken (Lichtgewicht Directory Access Protocol) worden aangepast terwijl de tweede met aangepaste claimregels wordt afgesloten.

uid - Deze eigenschap is nodig om de toepassingen de geauthentiseerde gebruiker te kunnen identificeren.
gebruiker_main - Deze eigenschap wordt door de Dienst van de Identiteit van Cisco vereist om het gebied van de geauthentiseerde gebruiker te identificeren.

Claim Rregel 1:

Voeg een regel toe door naam NameID van type (Verzend de waarden van de LDAP eigenschap als claims):

• Selecteer Opslaan als actieve map van kenmerken.
• Map Ldap attribuut user-Principal-Name aan user_main (kleine letters).
• Kies de LDAP-eigenschap die als gebruikerID moet worden gebruikt voor toepassingsgebruikers om in te loggen en in te zetten voor gebruik (kleine letters)

Voorbeeld configuratie wanneer SamAccountName moet worden gebruikt als Gebruiker ID:

• Geef de LDAP eigenschap SamAccountName op aan u.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.

Voorbeeld configuratie wanneer UPN moet worden gebruikt als gebruiker-id -

• Geef de LDAP eigenschap gebruiker-Principal-Name op voor gebruik.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.
               

Voorbeeld configuratie wanneer PhoneNumber moet worden gebruikt als gebruiker-id -

• Geef het telefoonnummer van de LDAP aan gebruiker op.
• Geef de LDAP eigenschap user-Principal-Name op aan user_main.

Opmerking: We moeten ervoor zorgen dat de LDAP-eigenschap die voor gebruiker-ID op CUCM LDAP-sync is ingesteld, overeenkomt met wat in de ADFS-claimregel wordt ingesteld als de LDAP-kenmerk voor uid. Dit is voor het goed functioneren van Cisco Unified Intelligence Center (CUIC) en Finse inloggen.

Opmerking: In dit document wordt verwezen naar beperkingen op de naam van de claimregel en worden namen weergegeven zoals NameID, FQDN of UCCX, enzovoort. Hoewel de datumvelden en namen in verschillende secties van toepassing kunnen zijn, worden de namen van de claimregels en de weergavenamen overal standaard bewaard om de consistentie te handhaven en voor de optimale werkwijzen in de naamgeving.

Claim Rule 2:

• Voeg een andere regel van type van de douanebewering toe met naam zoals de Volledig Gekwalificeerde Naam van de Hostnaam (FQDN) van de Server van de Identiteit van Cisco en voeg deze regeltekst toe.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• In Cisco Identity Server cluster alle volledig gekwalificeerde hostnamen zijn die van het Cisco Identity Server primaire of uitgeverij knooppunt.
  
  
• De <volledig gekwalificeerde hostnaam van Cisco Identity Server> is hoofdlettergevoelig, zodat het precies overeenkomt (inclusief case) met de Cisco Identity Server FQDN.
  
  
• De <ADFS Server FQDN> is hoofdlettergevoelig, zodat het exact overeenkomt (inclusief case) met de ADFS FQDN.

Stap 8. Klik met de rechtermuisknop op het vertrouwen van de Relay Party en klik vervolgens op Eigenschappen en selecteer het geavanceerde tabblad

Stap 9. Zoals in de afbeelding, selecteert u Secure Hash Algorithm (SHA) als SHA-1.

Stap 10 - Klik op OK.

Deze stappen zijn verplicht na stap 10.

Signed SAML Asseringen voor het Relying Party Trust (Cisco Identity Service) inschakelen

Stap 1. Klik op Start en voer de kraan in om de vensters PowerShell te openen.

Stap 2. Voeg ADFS CmdLet toe aan de powershell door de opdracht Add-PSSnapin Microsoft.Adfs.Power shell uit te voeren.

Stap 3 - Start de opdracht, Set-ADFSRelyingPartyTrust-TargetName <Relying Party Trust Name>

-SamlResponseSignature "MessageandAssertion".

          

Opmerking: Stap 2 is mogelijk niet nodig als u ADFS 3.0 gebruikt omdat CmdLet al geïnstalleerd is als onderdeel van het toevoegen van de rollen en functies.

Opmerking: De <Relying Party Trust Identifier> is hoofdlettergevoelig, zodat het overeenkomt (inclusief case) met wat wordt ingesteld in het tabblad Identifier van de vertrouwenseigenschappen van de betrokken partij.

Opmerking: Cisco Identity Services ondersteunt SHA-1. Het vertrouwen van de betrouwbare partij gebruikt SHA-1 voor het ondertekenen van het SAML-verzoek en verwacht dat ADFS in de reactie hetzelfde zal doen.

Voor een configuratie met meerdere domeinen voor Federated ADFS

In het geval van Federatie in ADFS, waar een ADFS in een bepaald domein federatieve SAML-authenticatie biedt voor gebruikers in andere geconfigureerde domeinen, zijn dit de extra configuraties die nodig zijn.

Voor deze secties verwijst de term primaire ADFS naar de ADFS die moet worden gebruikt in IDS. De term Federated ADFS geeft die ADFS aan, waarvan de gebruikers via IDs mogen inloggen en dus de primaire ADFS zijn.

Federale ADFS-configuratie

In elk van de gefedereerde ADFS moet het vertrouwen van de verbonden partij worden gecreëerd voor primaire ADFS en moeten de claimregels worden ingesteld zoals in de voorgaande sectie wordt vermeld.

Primaire ADFS-configuratie

Voor primaire ADFS is, behalve het vertrouwen van de betrouwbare partij voor IDS, de volgende extra configuratie nodig.

Voeg Claim Provider Trust toe met de ADFS waaraan de federatie moet worden ingesteld.

Zorg er in het Vertrouwen van de Verdeler van de Verdeler van de Verdeler dat de Kopen door of het Filteren van een Inkomende Verdelingsregeling door alle claims waarden als optie worden gevormd

• Naam ID
• Naam-id kiezen uit vervolgkeuzelijst Inkomend claimtype
• Kies Transient als optie voor inkomende NameID-indeling
• uid: Dit is een douanebewering. Voer de waarde in in het uitrolvak Type inkomende claim.
• user_main: Dit is een douanebewering. Typ de waarde user_main in het vervolgkeuzevenster Inkomend Type.

In het vertrouwen van een betrouwbare partij voor IDS, voeg Pass toe of filter een Inkomende Claim regels met de doorloop door alle claimwaarden als de optie.

• NaamIDFrmSubdomein
• Naam-id kiezen uit vervolgkeuzelijst Inkomend claimtype
• Kies Transient als optie voor inkomende NameID-indeling
• uid: Dit is een douanebewering. Typ de waarde in het uitrolvak Type inkomende opvragen
• user_main: Dit is een douanebewering. Typ de waarde user_main in het vervolgkeuzevenster voor inkomende claims Type

ADFS automatisch certificaatvernieuwing

• Automatische certificaatvernieuwing wordt ondersteund voor UCCX 11.6.1 en hoger. [Dit is vastgelegd in UCCX 11.6 door de bibliotheek Fedlet te verbeteren naar versie 14.0]

Kerberos-verificatie (geïntegreerde Windows-verificatie)

Geïntegreerde Windows Verificatie (IWA) biedt een mechanisme voor verificatie van gebruikers, maar laat geen aanmeldingsgegevens via het netwerk toe. Wanneer u geïntegreerde Windows-verificatie toelaat, is dit werkt op basis van tickets om knooppunten die via een onveilig netwerk communiceren, in staat te stellen hun identiteit op een veilige manier aan elkaar te bewijzen. Hiermee kunnen gebruikers inloggen op een domein nadat ze inloggen in hun Windows-machines. 

Opmerking: Kerberos-authenticatie wordt alleen ondersteund vanaf 11.6 en hoger.

Domeingebruikers die al zijn aangemeld bij de domeincontroller (DC) zullen naadloos zijn aangemeld bij SSO-klanten zonder dat ze opnieuw aanmeldingsgegevens hoeven in te voeren.  Voor gebruikers die geen domein hebben, valt IWA terug naar NTLM (New Technology Local Area Network Manager) en verschijnt het dialoogvenster inloggen. De kwalificatie voor IDs met IWA-verificatie geschiedt met Kerberos tegen ADFS 3.0.

Stap 1. Open Windows-opdrachtmelding en voer als beheerder uit om http-service met ingestelde opdracht te registreren 

             setspn -s http/<ADFS url> <domein>\<account name>.

Stap 2. Schakel formulierverificatie uit en stel Windows-verificatie in voor intranetsites. Ga naar ADFS Management > Verificatiebeleid > Primaire verificatie > Global Settings > Bewerken. Zorg er onder Intranet voor dat alleen Windows-verificatie is ingeschakeld (Formulierverificatie uitschakelen).

Configuratie voor Microsoft Internet Explorer voor IWA-ondersteuning

Stap 1. Zorg ervoor dat Internet Explorer > Advanced > Geïntegreerde Windows-verificatie inschakelen is ingeschakeld.

Stap 2. ADFS-website moet worden toegevoegd aan Security >Intranet > Sites (winadcom215.uccx116.com is ADFS-url)

Stap 3. Zorg ervoor dat Internet-exporteur > Beveiliging > Lokaal intranet > Beveiligingsinstellingen > Gebruikersverificatie - aanmelding is ingesteld om de intranetreferenties voor intranet te gebruiken.

Configuratie vereist voor Mozilla Firefox voor IWA-ondersteuning

Stap 1. Voer de configuratiemodus in voor Firefox. Open Firefox en voer over:mede-klaar op de URL in. Aanvaard de risicoverklaring.

Stap 2. Zoek naar ntlm en laat het netwerk.automatische-ntlm-auth.allow-non-fqdn in en stel het op waarheid.

Stap 3. Stel het netwerk.automatische-ntlm-auth.vertrouwde-uris in op het domein of expliciet op de ADFS-URL.

Configuratie vereist voor Google Chrome voor IWA-ondersteuning

Google Chrome gebruikt de instellingen van Internet Explorer, dus moet u deze configureren in het dialoogvenster Gereedschappen > Internet Opties of in het Configuratiescherm onder Internet-opties binnen de subcategorie Netwerk en internet.

Aanvullende configuratie voor SSO:

In dit document wordt de configuratie vanuit het IDP-aspect beschreven zodat de BF kan integreren met de Cisco Identity Services. Raadpleeg de afzonderlijke productconfiguratiehandleidingen voor meer informatie:

• UCCX
• UCCES
• PCCE

Verifiëren

Deze procedure wordt gebruikt om te bepalen of het vertrouwen van de betrouwbare partij goed tussen Cisco IDS en IDP wordt gevestigd.

• Voer uit de bron de URL in https://<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
• ADFS geeft het inlogformulier op. Dit is beschikbaar wanneer de bovenstaande configuratie juist is.
• Bij succesvolle verificatie dient browser te worden doorgestuurd naar https://<IDS_FQDN>:8553/ids/saml/response en zal een selectielijst pagina worden weergegeven.

Opmerking: De checklist-pagina die als onderdeel van het verificatieproces wordt weergegeven, is geen fout, maar een bevestiging dat het vertrouwen naar behoren is gevestigd.

Problemen oplossen

Raadpleeg voor probleemoplossing: https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

UCCX SNELLE URL’s voor omzeilen/herstellen

• URL voor Cisco Unified CX-beheer:https://<IP_or_FQDN>/appadmin/recovery_login.htm
• URL voor Cisco Unified CCX-service:https://<IP_or_FQDN>/uccxservice/recovery_login.htm

SSO uitschakelen

• GUI: Navigeren in naar CCX-beheer> Single Sign-On (SSO) > Uitschakelen
• CLI:set authmode non_sso (deze opdracht moet SSO voor zowel Pub als Sub uitschakelen - kan worden uitgevoerd vanuit één van beide UCCX-knooppunten in het geval van een High Availability (HA) cluster)

Screenshots

CCX-beheer - Niet_SSO:

CCX-beheer - SSO ingeschakeld:

Login finesse - niet-SSO:

Inloggen afronden - SSO ingeschakeld:

CUIC - Non_SSO:

CUIC - SSO ingeschakeld: