Inleiding
Dit document beschrijft hoe u de Security Association Markup Language (SAML) single aanmelding (SSO) kunt configureren en controleren voor Cisco Unified Communications Manager (CUCM).
Voorwaarden
Vereisten
Network Time Protocol (NTP) instellen
Om te kunnen SAML SSO's kunnen werken, moet u de juiste NTP-instellingen installeren en ervoor zorgen dat het tijdsverschil tussen de Identity Provider (IDP) en de Unified Communications-toepassingen niet meer dan drie seconden bedraagt.
Als er een time-mismatch is tussen CUCM en IDP, ontvangt u deze fout: "Ongeldige SAML respons." Deze fout kan worden veroorzaakt wanneer de tijd niet is afgestemd op de CUCM- en IDP-servers. Om te kunnen SAML SSO's werken, moet u de juiste NTP-instellingen installeren en ervoor zorgen dat het tijdsverschil tussen de IDP en de Unified Communications-toepassingen niet meer dan drie seconden bedraagt.
Raadpleeg het gedeelte NTP-instellingen in de Cisco Unified Communications Operating System Management Guide voor informatie over het synchroniseren van klokken.
Domain Name Server (DNS)-instelling
Unified Communications-toepassingen kunnen DNS gebruiken om FQDN-namen (Full Qualified Domain Names) (FQDN’s) op IP-adressen op te lossen. De serviceproviders en de IDP kunnen door de browser worden opgelost.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Active Directory Federation Service (AD FS) versie 2.0 als IDP
- CUCM versie 10.5 als serviceproviders
- Microsoft Internet Explorer 1.0
Voorzichtig: Dit document is gebaseerd op een nieuw geïnstalleerd CUCM. Als u SAML SSO op een reeds in productie server vormt, kunt u een aantal stappen dienovereenkomstig moeten overslaan. U moet ook de impact van de service begrijpen als u de stappen op de productieserver uitvoert. Aanbevolen wordt deze procedure tijdens niet-openingstijden uit te voeren.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Achtergrondinformatie
SAML is een op XML gebaseerd, open-standaard gegevensformaat dat beheerders in staat stelt om tot een bepaalde reeks Cisco samenwerkingstoepassingen naadloos toegang te hebben nadat zij in één van die toepassingen tekenen. SAML SSO stelt een Cirkel van het Vertrouwen (CoT) in wanneer het metagegevens uitwisselt als onderdeel van het leveringsproces tussen de IDP en de serviceprovider. De serviceprovider vertrouwt op de gebruikersinformatie van de ID om toegang tot de verschillende services of toepassingen te bieden.
Opmerking: Serviceprovider is niet langer betrokken bij authenticatie. SAML versie 2.0 delegeert verificatie niet aan de serviceproviders en de IDs. De client authenticeert de IDP en de IDP verleent een waarschuwing aan de klant. De client presenteert de verklaring aan de serviceprovider. Aangezien er een CoT is opgericht, vertrouwt de dienstverlener de Assertion en verleent hij toegang tot de cliënt.
Configureren
Netwerkdiagram
Instellen map
- Kies Cisco Unified CM Management > System > LDAP > LDAP-systeem.
- Klik op Nieuw toevoegen.
- Configureer het type en de eigenschap van de lichtgewicht Directory Access Protocol (LDAP).
- Kies synchroniseren vanaf LDAP Server inschakelen.
- Kies Cisco Unified CM-beheer > Systeem > LDAP > LDAP-map.
- Deze items configureren:
- Instellingen voor lire-directory
- Te synchroniseren gebruikerseigenschappen
- synchronisatieschema
- LDAP server hostname of IP-adres en poortnummer
- Schakel gebruik SSL uit als u geen Secure Socket Layer (SSL) wilt gebruiken om met de LDAP-map te communiceren.
Tip: Als u LDAP via SSL wilt configureren, uploadt u het LDAP folder certificaat naar CUCM. Zie de LDAP-directory inhoud in Cisco Unified Communications Manager SRND voor informatie over het accountsynchronisatiemechanisme voor specifieke LDAP-producten en algemene beste praktijken voor de synchronisatie van LDAP.
- Klik op Opslaan en voer vervolgens de volledige sync nu uit.
Opmerking: Zorg ervoor dat Cisco DirSync service is ingeschakeld in de webpagina voor serviceproviders voordat u op Opslaan klikt.
- Navigeer naar gebruikersbeheer > Eindgebruiker en selecteer een gebruiker aan wie u de administratieve rol van CUCM wilt geven (dit voorbeeld selecteert gebruiker SSO).
- Blader naar de informatie over toegangsrechten en klik op Toevoegen aan de groep toegangscontrole. Selecteer Standaard CCM-gebruikers, klik op Geselecteerd toevoegen en klik op Opslaan.
SAML SSO inschakelen
- Log in op de CUCM-gebruikersinterface.
- Kies Systeem > SAML single-aanmelding en het venster SAML Single aanmelding/configuratie wordt geopend.
- Klik om SAML SSO op het cluster in te schakelen op SAML SSO.
- Klik in het venster Waarschuwing opnieuw instellen op Doorgaan.
- Klik op het SSO-scherm op Bladeren om het XML-bestand met de stap IDP-metagegevens te importeren van de IDP-metagegevens (FederationMetagegevens.xml).
- Klik na het uploaden van het metagegevensbestand op Importeren van IDP-metagegevens om de IDP-informatie naar CUCM te importeren. Bevestig dat de invoer succesvol was en klik op Volgende om verder te gaan.
- Klik op Download Trust Metdata File (optioneel) om de CUCM en de CUCM IM and Presence metadata in een lokale map op te slaan en CUCM toe te voegen als vertrouwen van de vertrouwende partij. Ga verder naar stap 8 zodra de configuratie van de AD FS is voltooid.
- Selecteer SSO als de beheergebruiker en klik op Test uitvoeren.
- Herhaal de waarschuwing van het certificaat en ga verder. Wanneer u om geloofsbrieven wordt gevraagd, voer de gebruikersnaam en het wachtwoord voor gebruiker SSO in en klik op OK.
Opmerking: Dit configuratievoorbeeld is gebaseerd op zelfondertekende CUCM- en AD FS-certificaten. Indien u certificaten van de certificaatautoriteit (CA) gebruikt, moeten de juiste certificaten op zowel AD FS als CUCM worden geïnstalleerd. Raadpleeg certificaatbeheer en -validatie voor meer informatie.
- Nadat alle stappen zijn voltooid, is de "SSO-test voltooid!" bericht wordt weergegeven. Klik op Sluiten en Voltooien om verder te gaan. U hebt nu de configuratietaken voltooid om de SSO op CUCM met AD FS in te schakelen.
- Aangezien CUCM IM and Presence net als CUCM Subscriber werkt, moet u Add CUCM IM and Presence configureren als Relying Party Trust en SSO Test uitvoeren om SAML SSO vanuit de CUCM SAML SSO-pagina zelf in te schakelen.
Opmerking: Als u de XML-bestanden van alle knooppunten op IDP configureren en u SSO-handeling op één knooppunt activeert, dan is SAML SSO ingeschakeld op alle knooppunten in de cluster.
AD FS moet worden geconfigureerd voor alle knooppunten van CUCM en CUCM IM and Presence in een cluster als Relay Party.
Tip: U dient Cisco Unity Connection en CUCM IM and Presence voor SAML SBBM ook te configureren als u de SAML SLIM-ervaring wilt gebruiken voor Cisco Jabber Clients.
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
- Open een webbrowser en voer de FQDN voor CUCM in.
- Klik op Cisco Unified Communications Manager.
- Selecteer de webapp (CM-beheer/Unified Services/Cisco Unified Reporting) en druk op Go, dan dient u te worden gevraagd naar aanmeldingsgegevens door de AD-FS. Nadat u de aanmeldingsgegevens van de gebruiker SSO hebt ingevoerd, bent u met succes aangemeld op de geselecteerde webapp (CM-beheerpagina, Unified Service-pagina, Cisco Unified Reporting).
Opmerking: SAML SSO biedt geen toegang tot deze pagina's:
- Licentiebeheer voor Prime
- OS-beheer
- Noodherstelsysteem
Problemen oplossen
Als u geen SAML kunt inschakelen en u niet kunt inloggen, gebruikt u de nieuwe optie onder Geïnstalleerde toepassingen met de naam Terugwinning URL om de Single aanmelding (SSO) te omzeilen. Deze optie kan worden gebruikt om in te loggen met de aanmeldingsgegevens die tijdens de installatie of door lokaal gemaakte CUCM-gebruikers zijn gemaakt.
Raadpleeg voor meer informatie over probleemoplossing SAML SSP voor Collaboration Products 10.x.