Configurar o Auto-povoamento do usuário - identificação na página de login AD FS para UCCE SSO
Índice
Introdução
Este documento descreve como a experiência de usuário final na empresa unificada do Contact Center (UCCE) única Sinal-no início de uma sessão (SSO) pode ser melhorada. Isto pode ser melhorado, se o o usuário não está forçado a entrar em seu ID de login por uma segunda vez na página de login do fornecedor da identidade (IdP).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Início de uma sessão-fluxo UCCE SSO e AD FS
- Protocolo hyper-text transfer (HTTP)
- Linguagem de marcação do hypertext (HTML)
- Linguagem de marcação 2.0 da afirmação da Segurança (SAMLv2)
- Abra a autorização 2.0 (OAuthv2)
- Familiaridade com Windows PowerShell (PS)
- Familiaridade com o Javascript (JS)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- UCCE 11.5(1) e acima
- Fineza 11.5(1) e acima
- Cisco unificou o centro da inteligência (CUIC) 11.5(1) e acima.
- Microsoft ative directory (AD) - AD instalado em Windows Server
- AD FS 2.0/3.0
- Windows Server 2012 R2
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Em um início de uma sessão UCCE SSO, o usuário deve entrar em seu ID de login duas vezes: primeiramente na página de login do aplicativo UCCE (fineza, CUIC, por exemplo) e em segundo na página de login de IdP (se um método de autenticação dos formulários é usado). No exemplo neste documento, o serviço da federação do diretório ativo (AD FS) é usado como o IdP.
Quando o SSO está permitido em UCCE, depois que o ID de login está entrado e o botão da submissão/início de uma sessão está pressionado em CUIC/Finesse, o ID de login entrado está armazenado no cc_username do Cookie e preservado para reorienta ao server da identidade (IdS) e então ao IdP. É possível usar este Cookie na página de login de IdP para povoar automaticamente o ID de login.
Para a revisão, está aqui um diagrama de fluxo do exemplo HTTP/SAML onde o utilizador final é um agente da fineza e o aplicativo UCCE é um server da fineza.
Este é um exemplo dos encabeçamentos de pedido do HTTP da etapa 4c enviados pelo navegador da Web do utilizador final a AD FS (o IdP).
Request URL: https://dc01.omozol.lab/adfs/ls/?SAMLRequest=tZTBjtowEIbv%2BxSR... Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate, br Accept-Language: en-US,en;q=0.9 Cache-Control: no-cache Connection: keep-alive Cookie: cc_username=agent1%40omozol.lab Host: dc01.omozol.lab Pragma: no-cache Referer: https://fns01p.omozol.lab/desktop/container/landing.jsp?locale=en_US Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Configurar
Com o 3.0 AD FS como o IdP, a configuração é conseguida pela alteração do arquivo onload.js, que o AD FS injeta na página html retornada ao usuário em resposta ao pedido a https:// <AD FS FQDN>/adfs/ls/.
Etapa 1. A fim alterar o arquivo onload.js, exporte o arquivo através do cmdlet de PowerShell para o sistema de arquivos:
PS C:\ > exportação-AdfsWebTheme – Padrão do nome – DirectoryPath c:\temp\adfs\
O arquivo onload.js é colocado neste diretório:
C:\temp\adfs\script
Etapa 2. Segundo o formato do início de uma sessão, adicionar o snippet de código apropriado JS todo o lugar no arquivo fora das estruturas já atuais do código/lógica. Para a facilidade, adicionar-la à parte inferior do arquivo.
À revelia, a página do login apresentada aos usuários SSO por AD FS em Windows Server 2012 R2 exige um username que seja um formulário do userPrincipleName (UPN). Isto é email-como o formato, por exemplo, user@cisco.com. Em um único Contact Center do domínio, a página do login AD FS pode ser alterada para permitir um sAMAccountNameUser simples ID (UID) que não inclua um Domain Name como parte do nome de usuário.
Se um username UPN precisa de ser entrado na página de login AD FS, use este snippet de código:
// Get cc_username as login ID from HTTP Cookie header
if (document.cookie) {
// If the position of cc_username in the cookie is the first position, 0...
if (document.cookie.indexOf('cc_username') == 0) {
// Split the cookie into an array with the delimitor being '='
var cookies = document.cookie.split('=');
// If the first element of the array is cc_username then...
if (cookies[0] == 'cc_username') {
// ...the second element will be the actual username and we should save that.
var cc_login_name = cookies[1];
}
// Customize Login page: add domain if needed as AD FS by default require login ID in UPN form
// If the parsed login is not null, do the following logic
if (cc_login_name != null) {
// If %40 (encoded '=') does not exist in the login name...
if (cc_login_name.indexOf('%40') == -1) {
// ...then add '@domain.com' to ensure a UPN format is input
var userNameValue = cc_login_name + '@' + 'domain.com';
// Populate the UPN into the userNameInput of the page, and put the focus
// on the password.
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
} else {
// Otherwise, if %40 does exist in the username, replace it with the @ sign
// and populate the UPN into the userNameInput of the page, and put the
// focus on the password.
var userNameValue = cc_login_name.replace('%40', '@');
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
}
}
}
}
Nesta linha, domain.com deve ser alterado para combinar o domínio dos agentes UCCE se um UPN é usado como o início de uma sessão UID.
var userNameValue = cc_login_name + '@' + 'domain.com';
Se um username do sAMAccountName (UID sem o domínio) se for entrado na página de login AD FS, use este snippet de código:
// Get cc_username as login ID from HTTP Cookie header
if (document.cookie) {
// If the position of cc_username in the cookie is the first position, 0...
if (document.cookie.indexOf('cc_username') == 0) {
// Split the cookie into an array with the delimitor being '='
var cookies = document.cookie.split('=');
// If the first element of the array is cc_username then...
if (cookies[0] == 'cc_username') {
// ...the second element will be the actual username and we should save that.
var cc_login_name = cookies[1];
}
// Customize Login page: remove domain if needed to use login ID in sAMAccount form
// If the parsed login is not null, do the following logic
if (cc_login_name != null) {
// If %40 (encoded '=') DOES exist in the login name...
if (cc_login_name.indexOf('%40') != -1) {
// ...then split the login into an array about the @ sign and only keep the username.
var domainLogin = cc_login_name.replace('%40', '@')
var noDomainLogin = domainLogin.split('@');
var userNameValue = noDomainLogin[0];
// Populate the sAMAccountName into the userNameInput of the page, and put the focus
// on the password.
document.getElementById("userNameInput").value = userNameValue;
document.getElementById("passwordInput").focus();
} else {
// Otherwise, if %40 does not exist in the username, there is no "@domain",
// so populate the sAMAccountName into the userNameInput of the page,
// and put the focus on the password.
document.getElementById("userNameInput").value = cc_login_name;
document.getElementById("passwordInput").focus();
}
}
}
}
Etapa 3. Salvar onload.js e recarregue-o em um tema novo da Web AD FS com estes comandos de PowerShell:
Crie um tema do costume AD FS com o molde do tema do padrão:
PS C:\ > novo-AdfsWebTheme – Costume do nome – Padrão de SourceName
Ajuste o tema do costume AD FS como o active:
PS C:\ > grupo-AdfsWebConfig - Costume de ActiveThemeName
Carregue o arquivo alterado onload.js ao tema feito sob encomenda:
PS C:\ > grupo-AdfsWebTheme - Costume de TargetName - AdditionalFileResource @ {Uri='/adfs/portal/script/onload.js; path= " c:\temp\adfs\script\onload.js”}
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Entre à fineza ou ao CUIC com uma conta SSO-permitida com sAMAccountName ou ao UPN como o ID de login (depende da configuração AD FS) e observe que na página de login AD FS o usuário - a identificação é povoada automaticamente com foco no campo da solicitação da senha. Somente a senha precisa de ser incorporada para que o início de uma sessão continue.
Troubleshooting
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
Em caso das edições, as ferramentas do colaborador do navegador da Web estão usadas para verificar se as alterações do onload.js estão injetadas na página html retornada e se algum erro está observado no console do navegador da Web.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)