Configuratievoorbeeld van Unified Communications Manager, versie 10.5 SAML

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 maart 2018
Document-id:118770

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de Security Association Markup Language (SAML) single aanmelding (SSO) kunt configureren en controleren voor Cisco Unified Communications Manager (CUCM).

Voorwaarden

Vereisten

Network Time Protocol (NTP) instellen

Om te kunnen SAML SSO's kunnen werken, moet u de juiste NTP-instellingen installeren en ervoor zorgen dat het tijdsverschil tussen de Identity Provider (IDP) en de Unified Communications-toepassingen niet meer dan drie seconden bedraagt.

Als er een time-mismatch is tussen CUCM en IDP, ontvangt u deze fout: "Ongeldige SAML respons." Deze fout kan worden veroorzaakt wanneer de tijd niet is afgestemd op de CUCM- en IDP-servers. Om te kunnen SAML SSO's werken, moet u de juiste NTP-instellingen installeren en ervoor zorgen dat het tijdsverschil tussen de IDP en de Unified Communications-toepassingen niet meer dan drie seconden bedraagt.

Raadpleeg het gedeelte NTP-instellingen in de Cisco Unified Communications Operating System Management Guide voor informatie over het synchroniseren van klokken.

Domain Name Server (DNS)-instelling

Unified Communications-toepassingen kunnen DNS gebruiken om FQDN-namen (Full Qualified Domain Names) (FQDN’s) op IP-adressen op te lossen. De serviceproviders en de IDP kunnen door de browser worden opgelost.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Active Directory Federation Service (AD FS) versie 2.0 als IDP
  • CUCM versie 10.5 als serviceproviders
  • Microsoft Internet Explorer 1.0

Voorzichtig: Dit document is gebaseerd op een nieuw geïnstalleerd CUCM. Als u SAML SSO op een reeds in productie server vormt, kunt u een aantal stappen dienovereenkomstig moeten overslaan. U moet ook de impact van de service begrijpen als u de stappen op de productieserver uitvoert. Aanbevolen wordt deze procedure tijdens niet-openingstijden uit te voeren.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

SAML is een op XML gebaseerd, open-standaard gegevensformaat dat beheerders in staat stelt om tot een bepaalde reeks Cisco samenwerkingstoepassingen naadloos toegang te hebben nadat zij in één van die toepassingen tekenen. SAML SSO stelt een Cirkel van het Vertrouwen (CoT) in wanneer het metagegevens uitwisselt als onderdeel van het leveringsproces tussen de IDP en de serviceprovider. De serviceprovider vertrouwt op de gebruikersinformatie van de ID om toegang tot de verschillende services of toepassingen te bieden.

Opmerking: Serviceprovider is niet langer betrokken bij authenticatie. SAML versie 2.0 delegeert verificatie niet aan de serviceproviders en de IDs. De client authenticeert de IDP en de IDP verleent een waarschuwing aan de klant. De client presenteert de verklaring aan de serviceprovider. Aangezien er een CoT is opgericht, vertrouwt de dienstverlener de Assertion en verleent hij toegang tot de cliënt.

Configureren

Netwerkdiagram

118770-configure-cucm-00-00.png

Instellen map

  1. Kies Cisco Unified CM Management > System > LDAP > LDAP-systeem.

    118770-configure-cucm-00-01.png



  2. Klik op Nieuw toevoegen.

  3. Configureer het type en de eigenschap van de lichtgewicht Directory Access Protocol (LDAP).

  4. Kies synchroniseren vanaf LDAP Server inschakelen.

    118770-configure-cucm-00-02.png



  5. Kies Cisco Unified CM-beheer > Systeem > LDAP > LDAP-map.

  6. Deze items configureren:

    • Instellingen voor lire-directory
    • Te synchroniseren gebruikerseigenschappen
    • synchronisatieschema
    • LDAP server hostname of IP-adres en poortnummer


    118770-configure-cucm-00-03.png



  7. Schakel gebruik SSL uit als u geen Secure Socket Layer (SSL) wilt gebruiken om met de LDAP-map te communiceren.

    Tip: Als u LDAP via SSL wilt configureren, uploadt u het LDAP folder certificaat naar CUCM. Zie de LDAP-directory inhoud in Cisco Unified Communications Manager SRND voor informatie over het accountsynchronisatiemechanisme voor specifieke LDAP-producten en algemene beste praktijken voor de synchronisatie van LDAP.



  8. Klik op Opslaan en voer vervolgens de volledige sync nu uit.

    Opmerking: Zorg ervoor dat Cisco DirSync service is ingeschakeld in de webpagina voor serviceproviders voordat u op Opslaan klikt.


    118770-configure-cucm-00-04.png




  9. Navigeer naar gebruikersbeheer > Eindgebruiker en selecteer een gebruiker aan wie u de administratieve rol van CUCM wilt geven (dit voorbeeld selecteert gebruiker SSO).

    118770-configure-cucm-00-05.png



  10. Blader naar de informatie over toegangsrechten en klik op Toevoegen aan de groep toegangscontrole. Selecteer Standaard CCM-gebruikers, klik op Geselecteerd toevoegen en klik op Opslaan.

    118770-configure-cucm-00-06.png

SAML SSO inschakelen

  1. Log in op de CUCM-gebruikersinterface.

  2. Kies Systeem > SAML single-aanmelding en het venster SAML Single aanmelding/configuratie wordt geopend.

    118770-configure-cucm-00-07.png



  3. Klik om SAML SSO op het cluster in te schakelen op SAML SSO.

    118770-configure-cucm-00-08.png



  4. Klik in het venster Waarschuwing opnieuw instellen op Doorgaan.

    118770-configure-cucm-00-09.png



  5. Klik op het SSO-scherm op Bladeren om het XML-bestand met de stap IDP-metagegevens te importeren van de IDP-metagegevens (FederationMetagegevens.xml).

    118770-configure-cucm-00-10.png



  6. Klik na het uploaden van het metagegevensbestand op Importeren van IDP-metagegevens om de IDP-informatie naar CUCM te importeren. Bevestig dat de invoer succesvol was en klik op Volgende om verder te gaan.

    118770-configure-cucm-00-11.png



    118770-configure-cucm-00-12.png



  7. Klik op Download Trust Metdata File (optioneel) om de CUCM en de CUCM IM and Presence metadata in een lokale map op te slaan en CUCM toe te voegen als vertrouwen van de vertrouwende partij. Ga verder naar stap 8 zodra de configuratie van de AD FS is voltooid.

    118770-configure-cucm-00-13.png



  8. Selecteer SSO als de beheergebruiker en klik op Test uitvoeren.

    118770-configure-cucm-00-14.png



  9. Herhaal de waarschuwing van het certificaat en ga verder. Wanneer u om geloofsbrieven wordt gevraagd, voer de gebruikersnaam en het wachtwoord voor gebruiker SSO in en klik op OK.

    118770-configure-cucm-00-15.png



    Opmerking: Dit configuratievoorbeeld is gebaseerd op zelfondertekende CUCM- en AD FS-certificaten. Indien u certificaten van de certificaatautoriteit (CA) gebruikt, moeten de juiste certificaten op zowel AD FS als CUCM worden geïnstalleerd. Raadpleeg certificaatbeheer en -validatie voor meer informatie.



  10. Nadat alle stappen zijn voltooid, is de "SSO-test voltooid!" bericht wordt weergegeven. Klik op Sluiten en Voltooien om verder te gaan. U hebt nu de configuratietaken voltooid om de SSO op CUCM met AD FS in te schakelen.

    118770-configure-cucm-00-16.png



  11. Aangezien CUCM IM and Presence net als CUCM Subscriber werkt, moet u Add CUCM IM and Presence configureren als Relying Party Trust en SSO Test uitvoeren om SAML SSO vanuit de CUCM SAML SSO-pagina zelf in te schakelen.

    Opmerking: Als u de XML-bestanden van alle knooppunten op IDP configureren en u SSO-handeling op één knooppunt activeert, dan is SAML SSO ingeschakeld op alle knooppunten in de cluster.



    AD FS moet worden geconfigureerd voor alle knooppunten van CUCM en CUCM IM and Presence in een cluster als Relay Party.

    Tip: U dient Cisco Unity Connection en CUCM IM and Presence voor SAML SBBM ook te configureren als u de SAML SLIM-ervaring wilt gebruiken voor Cisco Jabber Clients.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

  1. Open een webbrowser en voer de FQDN voor CUCM in.

  2. Klik op Cisco Unified Communications Manager.

  3. Selecteer de webapp (CM-beheer/Unified Services/Cisco Unified Reporting) en druk op Go, dan dient u te worden gevraagd naar aanmeldingsgegevens door de AD-FS. Nadat u de aanmeldingsgegevens van de gebruiker SSO hebt ingevoerd, bent u met succes aangemeld op de geselecteerde webapp (CM-beheerpagina, Unified Service-pagina, Cisco Unified Reporting).

    118770-configure-cucm-00-17.png



    Opmerking: SAML SSO biedt geen toegang tot deze pagina's:
               - Licentiebeheer voor Prime
               - OS-beheer
               - Noodherstelsysteem

Problemen oplossen

Als u geen SAML kunt inschakelen en u niet kunt inloggen, gebruikt u de nieuwe optie onder Geïnstalleerde toepassingen met de naam Terugwinning URL om de Single aanmelding (SSO) te omzeilen. Deze optie kan worden gebruikt om in te loggen met de aanmeldingsgegevens die tijdens de installatie of door lokaal gemaakte CUCM-gebruikers zijn gemaakt.

118770-configure-cucm-00-18.png

Raadpleeg voor meer informatie over probleemoplossing SAML SSP voor Collaboration Products 10.x.

TAC Authored

Bijgedragen door Cisco-engineers

  • A M Mahesh Babu
    Cisco TAC

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten