Configuratie-voorbeeld van AD FS, versie 2.0 voor SAML SSO

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:27 februari 2018
Document-id:118771

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de Active Directory Federation Service (AD FS) versie 2.0 moet configureren om Security Assertion Markup Language (SAML) Single Sign-on (SSO) in te schakelen voor Cisco Collaboration-producten zoals Cisco Unified Communications Manager (CUCM), Cisco Unity Connection (UCXN), CUCM IM en Presence, en Cisco Prime Collaboration.

    Voorwaarden

    Vereisten

    AD FS versie 2.0 moet worden geïnstalleerd en getest.

    Waarschuwing: deze installatiehandleiding is gebaseerd op een laboratoriumopstelling en AD FS versie 2.0 wordt verondersteld alleen te worden gebruikt voor SAML SSO met Cisco Collaboration-producten. Indien deze toepassing wordt gebruikt door andere bedrijfskritieke toepassingen, moet de benodigde aanpassing worden uitgevoerd volgens de officiële Microsoft Documentatie.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • AD FS versie 2.0
    • Microsoft Internet Explorer 10
    • CUCM versie 10.5
    • Cisco IBM en Presence Server versie 10.5
    • UCS XN versie 10.5
    • Cisco Prime Collaboration Provisioning 10.5

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configureren

    Metagegevens van AD FS, versie 2.0 Identity Provider (IDP) downloaden

    Om metadata van IdP te downloaden, moet u deze link op uw browser uitvoeren: https://<FQDN of ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Metagegevens voor Download Collaboration Server (SP)

    CUCM IM- en Presence-service

    Open een webbrowser, log als beheerder in bij CUCM en navigeer naar Systeem > SAML Single Sign On.

    Unity Connection

    Open een webbrowser, log als beheerder in bij UCXN en navigeer naar Systeeminstellingen > SAML Single Sign On.

    Cisco Prime Collaboration Provisioning

    Open een webbrowser, log in Prime Collaboration Assurance als globaladmin en navigeer naar Administration > System Setup > Single Sign On.

    CUCM toevoegen als Relying Party Trust

    1. Log in op de AD FS-server en start AD FS versie 2.0 vanuit het menu Programma's van Microsoft Windows.

    2. Selecteer Relying Party Trust toevoegen.

      Add Relying Party Trust



    3. Klik op Start.

      Welcome to the Add Relying Party Trust Wizard



    4. Selecteer de Importeren gegevens over de vertrouwende partij van een bestand optie, kies het SPMetadata_CUCM.xml metadata bestand dat u eerder van CUCM hebt gedownload, en klik op Volgende.

      Select the data source



    5. Typ de naam van het display en klik op Volgende.

      Add the display name and notes



    6. Kies Toestaan voor alle gebruikers om toegang te krijgen tot deze vertrouwende partij en klik op Volgende.

      Choose Issuance Authorization Rules



    7. Selecteer Open het dialoogvenster Claimregels bewerken voor het vertrouwen van de vertrouwende partij wanneer de wizard wordt gesloten en klik op Sluiten.

      Confirmation that the Relying Party Trust was successfully added



    8. Klik op Regel toevoegen.

      Edit Issuance Transform Rules



    9. Klik op Volgende met de standaardsjabloon voor de claimregels ingesteld om LDAP-kenmerken als claims te verzenden.

      Choose the rule template



    10. Voer in Configuratieregel de naam van de claimregel in, selecteer Active Directory als de attributenopslag, configureer LDAP-kenmerk en uitgaand claimtype zoals in deze afbeelding, en klik op Voltooien.

      Opmerking:
      - Het Lichtgewicht Directory Access Protocol (LDAP) attribuut moet overeenkomen met het Directory Sync attribuut op CUCM.
      - "uid" dient in kleine letters te worden gebruikt.



      Configure the rule name and template



    11. Klik op Regel toevoegen, selecteer Claims verzenden met een Aangepaste Regel als sjabloon voor de claimregel en klik op Volgende.

      List of claim rules



      Choose the rule type



    12. Voer een naam in voor de naam van de Claimregel en kopieer deze syntaxis in de ruimte onder Aangepaste regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (OPMERKING: Als u de tekst uit deze voorbeelden kopieert en plakt, moet u zich ervan bewust zijn dat sommige tekstverwerkingssoftware de ASCII-aanhalingstekens (") zal vervangen door de UNICODE-versies (""). De UNICODE-versies zullen ervoor zorgen dat de claimregel mislukt.)


      Configure a custom rule for CallManager



      Opmerking:
       - CUCM en ADFS Fully Qualified Domain Name (FQDN) is vooraf ingevuld met het lab CUCM en AD FS in dit voorbeeld en moet worden aangepast aan uw omgeving.
      - FQDN van CUCM/ADFS is hoofdlettergevoelig en moet overeenkomen met de metadata bestanden.



    13. Klik op Finish (Voltooien).

    14. Klik op Toepassen en vervolgens op OK.

    15. Start de AD FS versie 2.0 service van Services.msc.

    CUCM IM en Presence als Relying Party Trust toevoegen

    1. Herhaal stap 1 tot en met 11 zoals beschreven voor Add CUCM als Relying Party Trust en ga verder naar stap 2.

    2. Voer een naam in voor de naam van de Claimregel en kopieer deze syntaxis in de ruimte onder Aangepaste regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      Configure a custom rule for IMP




      Merk op dat IM en Presence en AD FS FQDN vooraf zijn ingevuld met het lab IM en Presence en AD FS in dit voorbeeld en moeten worden aangepast om aan uw omgeving te voldoen.

    3. Klik op Finish (Voltooien).

    4. Klik op Toepassen en vervolgens op OK.

    5. Start de AD FS versie 2.0 service vanuit Services.msc.

    UCXN toevoegen als Relying Party Trust

    1. Herhaal stap 1 tot en met 12 zoals beschreven voor Add CUCM als Relying Party Trust en ga verder naar stap 2.

    2. Voer een naam in voor de naam van de Claim-regel en kopieer deze syntaxis in de ruimte onder Aangepaste regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      Configure a custom rule for ICXN



      Bericht dat UCXN en AD FS FQDN met het laboratorium UCXN en ADFS in dit voorbeeld prepopulated zijn en moeten worden gewijzigd om uw milieu aan te passen.

    3. Klik op Finish (Voltooien).

    4. Klik op Toepassen en vervolgens op OK.

    5. Start de AD FS versie 2.0 service vanuit Services.msc.

    Voeg Cisco Prime Collaboration Provisioning toe als Relying Party Trust

    1. Herhaal stap 1 tot en met 12 zoals beschreven voor Add CUCM als Relying Party Trust en ga verder naar stap 2.

    2. Voer een naam in voor de naam van de Claimregel en kopieer deze syntaxis in de ruimte onder Aangepaste regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      Configure a custom rule for PCP



      Let op dat Prime Provisioning en AD FS FQDN zijn voorgevuld met de lab Prime Collaboration Provisioning (PCP) en AD FS uit dit voorbeeld en moeten worden aangepast om aan uw omgeving te voldoen.

    3. Klik op Finish (Voltooien).

    4. Klik op Toepassen en vervolgens op OK.

    5. Start de AD FS versie 2.0 service van Services.msc.


    Nadat u AD FS versie 2.0 hebt ingesteld, gaat u verder om SAML SSO in te schakelen voor Cisco Collaboration-producten.

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    AD FS logt diagnostische gegevens in het gebeurtenissenlogboek van het systeem in.  Vanaf Server Manager op de AD FS-server open Diagnostics -> Event Viewer -> Toepassingen en services -> AD FS 2.0 -> Admin

    Vastgelegde fouten opsporen voor AD FS-activiteit

    Server Manager Event display

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    20-Jan-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • A M Mahesh Babu
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten