AD FS versie 2.0 Instellen voor SAML SFS-configuratievoorbeeld

Downloadopties

  • PDF     (1.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:27 februari 2018
Document-id:118771

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u Active Directory Federation Service (AD FS) versie 2.0 kunt configureren om Security Association Markup Language (SAML) single aanmelding (SSO) mogelijk te maken voor Cisco Collaboration-producten zoals Cisco Unified Communications Manager (CUCM), Cisco Unity Connection (UCXN), CUCM IM and Presence en Cisco Prime Collaboration.

Voorwaarden

Vereisten

AD FS versie 2.0 moet worden geïnstalleerd en getest.

Voorzichtig: Deze installatiehandleiding is gebaseerd op een labo-instelling en AD FS versie 2.0 wordt verondersteld alleen te worden gebruikt voor SAML SER met Cisco Collaboration-producten. Als de software door andere bedrijfskritieke toepassingen wordt gebruikt, moet de gewenste aanpassing plaatsvinden volgens de officiële Microsoft Documentatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • AD FS versie 2.0
  • Microsoft Internet Explorer 1.0
  • UCM versie 10.5
  • Cisco IM and Presence Server versie 10.5
  • UCXN versie 10.5
  • Cisco Prime Collaboration Provisioning 10.5

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

metagegevens over downloads en end-of-support versie 2.0 Identity Provider (IDP)

Als u IDP-metadata wilt downloaden, voert u deze link op uw browser uit: https://<FQDN van ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.

Metagegevens voor samenwerking met downloads (Collaboration Server)

CUCM IM and Presence Service

Open een webbrowser, log in CUCM als beheerder en navigeer naar Systeem > SAML Single Sign On.

Unity Connection

Open een webbrowser, log in UCXN als beheerder en navigeer naar systeeminstellingen > SAML Single Sign On.

Cisco Prime-provisioning voor samenwerking

Open een webbrowser, log in Prime Collaboration Assurance als globaladmin en navigeer naar Administration > System Setup > Single Sign On.

CUCM toevoegen als vertrouwen van een betrouwbare partij

  1. Meld u aan bij de AD FS-server en start u AD FS versie 2.0 in het menu Programma's van Microsoft Windows.

  2. Selecteer Toevoegen vertrouwen van derden.

    118771-configure-samlsso-00-00.png



  3. Klik op Start.

    118771-configure-samlsso-00-01.png



  4. Selecteer de optie Gegevens importeren over de vertrouwende partij uit een bestand optie, kies het metagegevensbestand SPMetmetadata_CUCM.xml dat u eerder van CUCM hebt gedownload en klik op Volgende.

    118771-configure-samlsso-00-02.png



  5. Typ de naam van de weergave en klik op Volgende.

    118771-configure-samlsso-00-03.png



  6. Kies Toestaan alle gebruikers van deze groep en klik op Volgende.

    118771-configure-samlsso-00-04.png



  7. Selecteer het dialoogvenster FineReader-regels bewerken voor het vertrouwen van een betrouwbare partij wanneer de wizard sluit en klik op Sluiten.

    118771-configure-samlsso-00-05.png



  8. Klik op Regel toevoegen.

    118771-configure-samlsso-00-06.png



  9. Klik op Volgende met de standaardregelsjabloon voor claims ingesteld op Verzend LDAP-kenmerken als claims.

    118771-configure-samlsso-00-07.png



  10. Typ in de regel Configureren de naam van de Claim Rule, selecteer Actieve Map als de winkel van Kenmerken, stel LDAP-kenmerk en Uitgaande claimtype in zoals in deze afbeelding weergegeven en klik op Voltooien.

    Opmerking:
    - De lichtgewicht Directory Access Protocol (LDAP) eigenschap moet overeenkomen met de Directory Sync eigenschap op CUCM.
    - "uid" moet in het kleine geval staan.



    118771-configure-samlsso-00-08.png



  11. Klik op Regel toevoegen, selecteer Claims verzenden met een aangepaste regel als de sjabloon voor de claimregel en klik op Volgende.

    118771-configure-samlsso-00-09.png



    118771-configure-samlsso-00-10.png



  12. Voer een naam in voor de naam van de Claim-regel en kopieer deze syntaxis in de ruimte die onder Aangepaste regel wordt gegeven:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
    (OPMERKING:  Als u de tekst uit deze voorbeelden kopieert en kleeft, moet u er rekening mee houden dat bepaalde tekstverwerkingssoftware de ASCII-aanhalingstekens (") zal vervangen door de UNICODE-versies (""). De UNICODE-versies zullen ervoor zorgen dat de claimregel mislukt.)


    118771-configure-samlsso-00-11.png



    Opmerking:
     - CUCM en ADFS Full Qualified Domain Name (FQDN) is in dit voorbeeld vooraf ingevuld met het laboratorium CUCM en AD FS en moet worden aangepast om uw omgeving aan te passen.
    - FQDN van CUCM/ADFS is hoofdlettergevoelig en moet met de metagegevensbestanden overeenkomen.



  13. Klik op Voltooien.

  14. Klik op Toepassen en vervolgens op OK.

  15. Start de AD FS versie 2.0 opnieuw vanaf Services.msc.

Voeg CUCM IM and Presence toe als Relay Party Trust

  1. Herhaal stap 1 tot en met 11 zoals beschreven voor Add CUCM als Relying Party Trust en ga naar stap 2.

  2. Voer een naam in voor de naam van de Claim-regel en kopieer deze syntaxis in de ruimte die onder Aangepaste regel wordt gegeven:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


    118771-configure-samlsso-00-12.png




    Merk op dat IM and Presence en AD FS FQDN in dit voorbeeld met het laboratorium IM and Presence en AD FS zijn voorbevolkt en moeten worden aangepast om uw omgeving aan te passen.

  3. Klik op Voltooien.

  4. Klik op Toepassen en vervolgens op OK.

  5. Start de AD FS versie 2.0 opnieuw vanaf Services.msc.

Voeg UCXN toe als vertrouwen van een betrouwbare partij

  1. Herhaal stap 1 tot en met 12 zoals beschreven voor Add CUCM als Relying Party Trust en ga naar stap 2.

  2. Voer een naam in voor de regelnaam van de claim en kopieer deze syntaxis in de ruimte die onder Aangepaste regel wordt gegeven:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


    118771-configure-samlsso-00-13.png



    Merk op dat UCXN en AD FS FQDN in dit voorbeeld voorbevolkt is met het lab UCXN en ADFS en moet worden aangepast om uw omgeving aan te passen.

  3. Klik op Voltooien.

  4. Klik op Toepassen en vervolgens op OK.

  5. Start de AD FS versie 2.0 opnieuw vanaf Services.msc.

Voeg Cisco Prime Collaboration Provisioning toe als vertrouwen van derden

  1. Herhaal stap 1 tot en met 12 zoals beschreven voor Add CUCM als Relying Party Trust en ga naar stap 2.

  2. Voer een naam in voor de regelnaam van de claim en kopieer deze syntaxis in de ruimte die onder Aangepaste regel wordt gegeven:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


    118771-configure-samlsso-00-14.png



    Merk op dat Prime Provisioning en AD FS FQDN wordt voorbevolkt met de lab Prime Collaboration Provisioning (PCP) en AD FS uit dit voorbeeld en moet worden gewijzigd om uw omgeving te evenaren.

  3. Klik op Voltooien.

  4. Klik op Toepassen en vervolgens op OK.

  5. Start de AD FS versie 2.0 opnieuw vanaf Services.msc.


Nadat u versie 2.0 van de AD90 hebt ingesteld, schakelt u de SAML SETO in op Cisco Collaboration-producten.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

AD FS registreert diagnostische gegevens aan het systeemEvent Log.  Vanaf Server Manager op AD FS server open Diagnostics -> Event Viewer -> Toepassingen en services -> AD FS 2.0 -> Admin

Kijk naar fouten die zijn vastgelegd voor AD FS-activiteit

118771-configure-samlsso-00-15.png

TAC Authored

Bijgedragen door Cisco-engineers

  • A M Mahesh Babu
    Cisco TAC

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten