Installeer en configureer de Shibboleth Identity Provider (IDP) voor Cisco Identity Service (IDS) om SSO in te schakelen

Downloadopties

  • PDF     (267.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (94.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (84.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 augustus 2017
Document-id:211578

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de configuratie op de OpenAM Identity Provider (IDP) om Single Sign On (SSO) in te schakelen.

    Cisco IDs-implementatiemodellen

    Product Implementatie
    UCCX coresident
    PCCE Co-resident met CUIC (Cisco Unified Intelligence Center) en LD (Live Data)
    UCS

    Co-resident met CUIC en LD voor 2k implementaties.

    Standalone voor 4k en 12k implementaties.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Unified Contact Center Express (UCS X) release 11.6 of Cisco Unified Contact Center Enterprise release 11.6 of Packaged Contact Center Enterprise (PCE) release 11.6, zoals van toepassing.

    Opmerking: Dit document verwijst naar de configuratie met betrekking tot de Cisco Identity Service (ID’s) en de Identity Provider (IDP). De documentreferenties UCCX in de screenshots en voorbeelden zijn echter vergelijkbaar met betrekking tot de Cisco Identity Service (UCCX/UCCE/PCCE) en de IDP.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Installeren

    Shibboleth is een opensource-project dat Single Sign-On-functies biedt en sites in staat stelt om op een privacybeschermende manier gefundeerde autorisatiebeslissingen te nemen voor individuele toegang tot beschermde online bronnen. Het ondersteunt Security Assertion Markup Language (SAML2). IdS is een SAML2-client en verwacht te ondersteunen Shibboleth met minimale of geen wijzigingen in IDs. In 11.6 is IDs gekwalificeerd om te werken met Shibboleth IDP.

    Opmerking: Dit document verwijst naar Shibboleth release 3.3.0 als onderdeel van de kwalificatie met SSO

    Systeemvereisten

    Samengesteld Details
    Shibboleth versie v3.3.0
    Downloadlocatie http://shibboleth.net/downloads/identity-provider/
    Installatieplatform

    Ubuntu 14.0.4

    Java-versie "1.8.0_121"
    Lichtgewicht Directory Access Protocol (LDAP)-versie Active Directory 2.0
    Shibboleth webserver Apache Tomcat/8.5.12

    Zie de wiki voor de installatie van Shibboleth

    https://wiki.shibboleth.net/confluence/display/IDP30/Installation

    Configureren

    Integreren met een LDAP-server

    Om een LDAP server te integreren met shibboleth, moeten de velden worden bijgewerkt in $shibboleth_home/conf/ldap.properties waar$shibboleth_home(standaard is /opt/shibboleth-idp) verwijst naar de installatiedirectory die wordt gebruikt bij de installatie van shibboleth.

    Veld Verwachte waarde Beschrijving
    idp.authn.LDAP.trustCertificaten Een middel om vertrouwensankers te laden van, gewoonlijk een lokaal bestand in ${idp.home} / referenties
    waarin idp.home een omgevingsvariabele is die als JAVA_OPTS is geëxporteerd in setenv.sh    		 %{idp.home}/credentials/ldap-server.crt
    idp.authn.LDAP.trustStore Een middel om een keystore van Java te laden die vertrouwensankers bevat, gewoonlijk een lokaal bestand in %{idp.home} / referenties %{idp.home}/credentials/ldap-server.truststore
    idp.authn.LDAP.returnAttributes De komma gescheiden lijst van LDAPA kenmerken die moet worden teruggegeven. Als u alle kenmerken wilt ophalen, voegt u "*" toe.

    		 *
    idp.authn.LDAP.baseDN De baseDN waarop de LDAP-zoekopdracht moet worden uitgevoerd CN=gebruikers, DC=cisco, DC=com
    idp.authn.LDAP.subtreeZoeken Of recursief moet worden gezocht echt
    idp.authn.LDAP.userFilter LDAP-zoekfilter (AMAaccountName={gebruiker})*
    idp.authn.LDAP.bindDN DN om mee te binden wanneer het onderzoek wordt uitgevoerd administrator@cisco.com
    idp.authn.LDAP.bindDNCredential Wachtwoord om mee te verbinden wanneer zoekactie wordt uitgevoerd  
    idp.authn.LDAP.dnOpmaak Een opmaakstring om de gebruiker DN's te genereren voor verificatie %s@adfsserver.cisco.com
    (%s@domainname)
    idp.authn.LDAP.authenticator Bestuurt de werkstroom voor hoe authenticatie optreedt tegen de LDAP bindSearchAuthenticator
    idp.authn.LDAP.ldapURL Connection URI voor LDAP directory  

    Zie voor meer informatie:

    https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration

    Monsterconfiguratiebestand

    # Tijd in milliseconden om te wachten voorreacties
    #idp.authn.LDAP.responseTime-out = PT3S
    ## SSL-configuratie, jvmTrust, certificateTrust of keyStoreTrust
    #idp.authn.LDAP.sslConfig = certificateTrust
    ## Als u certificaatTrust hierboven gebruikt, stelt u dit in op het pad van het vertrouwde certificaat
    idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
    ## Als je keyStoreTrust hierboven gebruikt, stel je dit in op het truststore pad
    idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
    ## Eigenschappen tijdens authentificatie terugkeren
    #idp.authn.LDAP.returnAttributes = userPrincipalName, sAMAaccountName
    idp.authn.LDAP.returnAttributes = *
    ## DN-resolutieeigenschappen ##
    # Zoeken DN-resolutie, gebruikt door anonSearchAuthenticator, bindSearchAuthenticator
    voorAD: CN=Gebruikers, DC=voorbeeld, DC=org
    idp.authn.LDAP.baseDN = CN=users, DC=cisco,DC=com
    idp.authn.LDAP.subtreeSearch = echt
    *idp.authn.LDAP.userFilter = (sAMAcountName={user})*
    # bind zoekconfiguratie
    voorAD: idp.authn.LDAP.bindDN=adminuser@domain.com
    idp.authn.LDAP.bindDN = beheerder@cisco.com
    idp.authn.LDAP.bindDNCredential = Cisco@123
    # Formaat DN-resolutie, gebruikt door directAuthenticator, adAuthenticator
    voorAD gebruikt idp.authn.LDAP.dnFormat=%s@domain.com
    #idp.authn.LDAP.dnOpmaak = %s@adfsserver.cisco.com
    # LDAP attributenconfiguratie, zie attribuut-resolver.xml
    # Opmerking, ditzal waarschijnlijk niet van toepassing zijn op het gebruik van oudere V2-oplossingsconfiguraties
    idp.attribuut.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
    idp.attribuut.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
    idp.attribuut.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
    idp.attribuut.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
    idp.attribuut.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
    idp.attribuut.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
    idp.attribuut.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS:echt}
    idp.attribuut.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
    idp.attribuut.resolver.LDAP.searchFilter = (sAMAcountName=$resolutionContext.main)

    Sta verzoeken van alle cliënten toe

    Om ervoor te zorgen dat de verzoeken van alle cliënten bereiken, worden de veranderingen vereist in "$shibboleth_home/conf/access-control.xml" 

    <entry key="AccessByIPdress">
    <bean id="AccessByIPAddress" parent="shibboleth.IPRangeAccess Control"
    p:allowRanges="#{{127.0.0.1/32','0.0.0.0/0', ':1/128', '10.78.93.103/32'} }" />
    </entry>

    Voeg '0.0.0.0/0' toe aan het toegestane bereik. Dit staat verzoeken van om het even welke ip waaier toe.

    Configureer Shibboleth om te integreren met IDs

    Secure Hash Algorithm (SHA1) en coderingsconfiguratie in ID’s

    Om IDs te vormen om aan SHA1 in gebreke te blijven, open "$shibboleth_home/conf/idp.properties" en plaats:

    idp.sign.config = shibboleth.SigningConfiguration.SHA1 

    Deze configuratie kan ook worden gewijzigd:

    idp.encryptie.optioneel = waar

    Als u deze instelt op true, zal het niet vinden van een te gebruiken coderingssleutel, als deze optie is ingeschakeld, niet leiden tot een foutieve aanvraag. Deze hhelpt om encryptie "opportunistisch" te doen, dat wil zeggen om te versleutelen waar mogelijk (een compatibele sleutel wordt gevonden in de metadata van de peer om mee te versleutelen) maar om encryptie anders over te slaan. 

    uid en user_main configureren voor de SAML Response

    De AttributeDefinition is toegevoegd in "$shibboleth_home/conf/attribute-resolver.xml" om AMAccountName en userPrincipalName in kaart te brengen aan de to-id en user_principal in de SAML-respons.

    Voeg bovendien de instellingen van de LDAP-connector toe met de tag <DataConnector>.

    Opmerking: ReturnAttributes dient te worden gespecificeerd met de waarde "sAMAccountName userPrincipalName".

    Opmerking: LDAPProperty is verplicht voor het geval er een integratie is met een Active Directory (AD).

    
 
 
 

 

 
 
 

 
    
        
            
                %{idp.attribute.resolver.LDAP.searchFilter}
            
        
      sAMAccountName userPrincipalName

    Neem de wijzigingen op in "$shibboleth_home/conf/attribute-filter.xml"
    Wijzig de "$shibboleth_home/conf/saml-nameid.xml" om deze op te nemen

    IDp-metagegevens

    IdP metadata is beschikbaar in de map "$shibboleth_home/metadata". Het bestand idp-metadata.xml kan geüpload worden naar IDs via de Application Programming Interface (API)

    PUT https://<idshost>:<idsport>/ids/v1/config/idpmetadata

    waarbij vervoer geen configureerbare entiteit is en de waarde "8553" is

    Waarschuwing: Shibboleth metadata kan 2 ondertekeningscertificaten, het algemene ondertekeningscertificaat en het backchannel bevatten. Navigeer naar het bestand idp-backchannel.crt in "$shibboleth_home/referenties" om het backchannel certificaat te identificeren. Als het back channel certificaat beschikbaar is in de metadata, moet U het back channel certificaat verwijderen uit de metadata xml voordat u het uploadt naar IdS. Dit komt doordat fedlet 12.0 bibliotheek die IDS gebruikt slechts één certificaat ondersteunt in de metadata. Als er meer dan één ondertekeningscertificaat beschikbaar is, gebruikt fedlet het eerste beschikbare certificaat. 

    Metagegevensproviders configureren

    We moeten de metadata providers configureren met de vermelding in $shibboleth_home/metadata-providers.xml.

    <MetadataProvider id="smart-86"  xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>

    waarbij het kenmerk "id" elke unieke naam kan zijn.

    Deze vermelding geeft aan dat een metagegevensverstrekker is geregistreerd met de gegeven id en dat de metagegevens beschikbaar zijn in het opgegeven bestand /opt/shibboleth-idp/SP/sp.xml.

    De metagegevens van de dienstverlener (SP) van IDs moeten aan het meta-gegevensdossier worden gekopieerd dat in de ingang wordt gespecificeerd.

    Opmerking: SP-metadata van IDs kunnen worden opgehaald via GET https://<idshost>:<idsport>/ids/v1/config/spmetadata, waar idsport geen configureerbare entiteit is en de waarde "8553" is.

    Verdere configuratie voor SSO 

    Dit document beschrijft de configuratie vanuit de IDp-beeldverhouding die SSO kan integreren met de Cisco Identity Service. Raadpleeg de afzonderlijke productconfiguratiehandleidingen voor meer informatie:

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    17-Aug-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Arundeep Nagaraj
      Cisco TAC
    • Balakrishnan Doraisamy
      Cisco engineering
    • Venkatesh Vedurumudi
      Cisco engineering

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten