Configurar o fornecedor da identidade para que o serviço da identidade de Cisco permita o SSO

Introdução

Este original descreve a configuração no fornecedor da identidade (IdP) para permitir sobre o único sinal (SSO).

Modelos de distribuição do Cisco IDS

Produto	Desenvolvimento
UCCX	Co-residente
PCCE	Co-residente com CUIC (centro unificado Cisco da inteligência) e LD (dados vivos)
UCCE	Co-residente com CUIC e LD para as disposições 2k. Autônomo para as disposições 4k e 12k.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Liberação 11.5 do Cisco Unified Contact Center Express (UCCX) ou liberação 11.5 do Cisco Unified Contact Center Enterprise ou liberação empacotada 11.5 da empresa do Contact Center (PCCE) como aplicáveis.
• Microsoft ative directory - AD instalado em Windows Server
• Versão 2.0/3.0 do serviço da federação do diretório ativo (ADFS)

Nota: Este original provê UCCX nos screenshots e nos exemplos, porém a configuração é similar no que diz respeito ao serviço de Cisco Identitify (UCCX/UCCE/PCCE) e ao IdP.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Vista geral do SSO

Cisco proporciona muitos serviços em formulários diferentes e como um utilizador final, você quer assinar dentro somente uma vez para ter o acesso a todos os Serviços da Cisco. Se você quer encontrar e controlar contatos de alguns do aplicativo Cisco e dos dispositivos, leveraging todos os origens possíveis (contatos do diretório corporativo, da probabilidade, do móbil, Facebook, LinkedIn, história), e os tem rendidos em uma terra comum e em uma maneira consistente que forneça a informação necessária para conhecer sua Disponibilidade e em um como melhor os contactar.

O SSO que usa SAML (linguagem de marcação da afirmação da Segurança) visa esta exigência. SAML/SSO fornece a capacidade para que os usuários registrem em dispositivos múltiplos e em serviços com uma identidade comum da conta e da autorização chamada o IdP. A funcionalidade SSO está disponível em UCCX/UCCE/PCCE 11.5 avante.

Visão geral sobre a configuração 

Configurar

Tipos do autenticação

Os suportes de serviço da identidade de Cisco formam somente a autenticação baseada do fornecedor da identidade.

Consulte por favor estes artigos MSDN para aprender como permitir a autenticação do formulário em ADFS.

• Para ADFS 2.0 referem este artigo de Microsoft TechNet,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Para o 3.0 ADFS consulte referem este artigo de Microsoft TechNet,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Nota: O serviço 11.6 da identidade de Cisco e apoia acima a autenticação e a autenticação de Kerberos baseadas formulário. Para que a autenticação de Kerberos trabalhe, você deve desabilitar o formulário baseado autenticação.

Estabeleça a relação de confiança 

Para onboarding e permitir aplicativos usar o serviço da identidade de Cisco para único Sinal-em, execute a troca dos metadata entre o serviço da identidade (IdS) e IdP.

• Transfira o arquivo sp.xml dos Metadata de SAML SP.
• Dos ajustes, navegue à aba da confiança dos IdS na página do Gerenciamento do serviço da identidade.

• Transfira os Metadata de IdP arquivam do IdP da URL:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• Na página do Gerenciamento do serviço da identidade, transfira arquivos pela rede o fornecedor que da identidade os Metadata arquivam que foi transferido na etapa precedente.

Este é o procedimento para transferir arquivos pela rede os metadata dos IdS e para adicionar regras da reivindicação. Isto é esboçado para ADFS 2.0 e 3.0

ADFS 2.0:

Etapa1. No server ADFS navegue a, começo > todos os programas > ferramentas administrativas > Gerenciamento AD FS 2.0, segundo as indicações da imagem:

Etapa 2. Navegue para adicionar AD FS 2.0 > relação de confiança > confiança de confiança do partido, segundo as indicações da imagem:

Etapa 3. Segundo as indicações da imagem, selecione os dados da importação da opção sobre o partido de confiança de um arquivo.

Etapa 4. Termine o estabelecimento da confiança de confiança do partido.

Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.

Etapa 7. Direito - clique sobre a confiança de confiança do partido e clique então sobre regras da reivindicação Edit.

Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.

uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.

Regra 1 da reivindicação:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):

• Selecione a loja do atributo como o diretório ativo.
• Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).
• Escolha o atributo LDAP que tem que ser usado como o userId para que os usuários do aplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:

• Trace o atributo SamAccountName LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -

• Trace o USER-Principal-nome do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.
               

Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -

• Trace o telephoneNumber do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Nota: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.

Nota: Este original provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.

Regra 2 da reivindicação:

• Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicação com nome como o hostname totalmente qualificado (FQDN) do server da identidade de Cisco e adicionar este texto da regra.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• No cluster de servidor da identidade de Cisco, todos os nomes de host totalmente qualificados são aquele do server da identidade de Cisco preliminar ou do nó do editor.
  
  
• < o hostname totalmente qualificado da identidade Server> de Cisco é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN do server da identidade de Cisco.
  
  
• O server FQDN> <ADFS é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN ADFS.

O Direito-clique de etapa 8. na confiança de confiança do partido e clica então sobre propriedades e seleciona o guia avançada, segundo as indicações da imagem.

Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.

Etapa 10. APROVAÇÃO do clique.

3.0 ADFS:

Etapa1. No server ADFS navegue a, gerenciador do servidor > ferramentas > Gerenciamento AD FS.

Etapa 2. Navegue ao AD FS > relação de confiança > confiança de confiança do partido.

Etapa 3. Selecione os dados da importação da opção sobre o partido de confiança de um arquivo.

Etapa 4. Termine o estabelecimento da confiança de confiança do partido.

Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.

O Direito-clique de etapa 7. na confiança de confiança do partido e clica então sobre regras da reivindicação Edit.

Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.

uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.

Regra 1 da reivindicação:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):

• Selecione a loja do atributo como o diretório ativo.
• Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).
• Escolha o atributo LDAP que tem que ser usado como o userId para que os usuários do aplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:

• Trace o atributo SamAccountName LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -

• Trace o USER-Principal-nome do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.
               

Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -

• Trace o telephoneNumber do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Nota: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.

Nota: Este original provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.

Regra 2 da reivindicação:

• Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicação com nome como o hostname totalmente qualificado (FQDN) do server da identidade de Cisco e adicionar este texto da regra.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• No cluster de servidor da identidade de Cisco, todos os nomes de host totalmente qualificados são aquele do server da identidade de Cisco preliminar ou do nó do editor.
  
  
• < o hostname totalmente qualificado da identidade Server> de Cisco é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN do server da identidade de Cisco.
  
  
• O server FQDN> <ADFS é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN ADFS.

O Direito-clique de etapa 8. na confiança de confiança do partido e clica então sobre propriedades e seleciona o guia avançada

Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.

Etapa 10 - APROVAÇÃO do clique.

Estas etapas são imperativas após a etapa 10.

Permita afirmações assinadas de SAML para a confiança de confiança do partido (o serviço da identidade de Cisco)

Etapa 1. Clique o começo e incorpore o powershell ao powershell das janelas aberta.

Etapa 2. Adicionar ADFS CmdLet ao powershell executando o comando adicionam-PSSnapin Microsoft.Adfs.Powershell.

Etapa 3 - Executam o comando, grupo-ADFSRelyingPartyTrust - Confiança <Relying Name> do partido de TargetName

- SamlResponseSignature “MessageAndAssertion”.

          

Nota: Etapa 2 não pode ser precisada se você está usando o 3.0 ADFS desde que o CmdLet é instalado já como parte de adicionar os papéis e as características.

Nota: O partido que <Relying a confiança Identifier> é diferenciando maiúsculas e minúsculas, assim ele combina (incluindo o caso) com o que é ajustado na aba do identificador das propriedades de confiança de confiança do partido.

Nota: Suportes de serviço SHA-1 da identidade de Cisco. Os usos de confiança SHA-1 da confiança do partido para assinar o pedido de SAML e esperam ADFS fazer o mesmos na resposta.

Para uma configuração do Multi-domínio para ADFS federado

Em caso da federação em ADFS, onde um domínio ADFS em particular fornece a autenticação federada de SAML para usuários em outros domínios configurados, estas são as configurações adicionais que são precisadas.

Para isto as seções, o termo ADFS preliminar referem o ADFS que tem que ser usado nos IdS. O ADFS federado termo indica aqueles ADFS, são permitidos cujos aos usuários entrar através dos IdS e assim, é o ADFS preliminar.

Configuração federada ADFS

Em cada um do ADFS federado, a confiança de confiança do partido tem que ser criada para ADFS preliminar e as regras da reivindicação configuradas como mencionado na seção anterior.

Configuração preliminar ADFS

Para ADFS preliminar, independentemente da confiança de confiança do partido para IdS, a seguinte configuração adicional é precisada.

Adicionar a confiança do fornecedor da reivindicação com o ADFS a que a federação tem que ser setup.

Na confiança do fornecedor da reivindicação, assegure-se de que a passagem completamente ou filtre-se regras entrantes de uma reivindicação são configurados com passagem com todos os valores da reivindicação como a opção

• Nomeie a identificação
• Escolha a identificação do nome do tipo entrante caixa da reivindicação da gota
• Escolha o transeunte como a opção para o formato entrante de NameID
• uid: Esta é uma reivindicação feita sob encomenda. Incorpore o uid do valor ao tipo entrante caixa da reivindicação da gota.
• user_principal: Esta é uma reivindicação feita sob encomenda. Datilografe o valor user_principal no tipo entrante caixa da reivindicação da gota.

Na confiança de confiança do partido para IdS, adicionar a passagem embora ou filtre regras entrantes de uma reivindicação com passagem com todos os valores da reivindicação como a opção.

• NameIDFromSubdomain
• Escolha a identificação do nome do tipo entrante caixa da reivindicação da gota
• Escolha o transeunte como a opção para o formato entrante de NameID
• uid: Esta é uma reivindicação feita sob encomenda. Datilografe o uid do valor no tipo entrante caixa da reivindicação da gota
• user_principal: Esta é uma reivindicação feita sob encomenda. Datilografe o valor user_principal no tipo entrante caixa da reivindicação da gota

Derrubamento automático do certificado ADFS

• O derrubamento automático do certificado é apoiado para UCCX 11.6.1 e acima. [Isto foi fixado em UCCX 11.6 promovendo a biblioteca de Fedlet à versão 14.0]

Autenticação de Kerberos (autenticação do Windows integrada)

A autenticação do Windows integrada (AIT) fornece o mecanismo de autenticação dos usuários, mas não permite que as credenciais sejam transmitidas sobre a rede. Quando você permite a autenticação do Windows integrada, trabalha com base em bilhetes para permitir os Nós que comunicam-se sobre uma rede NON-segura para provar sua identidade a uma outra em uma maneira segura. Permite que os usuários entrem a um domínio após o início de uma sessão em suas máquinas dos indicadores. 

Nota: A autenticação de Kerberos é apoiada somente de 11.6 e acima.

Os usuários de domínio que são registrados já no controlador de domínio (DC) serão registrados continuamente em clientes SSO sem a necessidade de reenter as credenciais.  Para usuários do NON-domínio, o AIT cai de volta a NTLM (gerente de rede de área local da nova tecnologia) e o diálogo do início de uma sessão aparece. A qualificação para IdS com autenticação AIT é feita com o Kerberos contra o 3.0 ADFS.

Etapa 1. Janelas aberta comando prompt e corrida como o usuário admin registrar o serviço HTTP com comando do setspn 

             setspn - <domain> do url> s http/<ADFS \ name> do <account.

Etapa 2. Desabilite a autenticação do formulário e permita a autenticação do Windows para locais do intranet. Vão ao Gerenciamento > às políticas de autenticação ADFS > a autenticação > as configurações globais preliminares > editam. Sob o intranet, assegure-se de que somente a autenticação do Windows esteja verificada (Uncheck a autenticação do formulário).

Configuração para o Microsoft Internet explorer para o apoio AIT

Etapa1. Assegure-se de que o internet explorer > avance > permita a autenticação do Windows integrada esteja verificado.

Etapa 2. ADFS URL precisa de ser adicionado às zonas do >Intranet da Segurança > aos locais (winadcom215.uccx116.com é ADFS URL)

Etapa 3. Assegure-se de que > segurança de Exporer do Internet > de > segurança do intranet local ajustes > autenticação de usuário - o fazer logon é configurado a fim usar as credenciais entradas para locais do intranet.

Configuração exigida para Mozilla Firefox para o apoio AIT

Etapa 1. Participe no modo de configuração para Firefox. Abra Firefox e entre-o aproximadamente: configuração na URL. Aceite a indicação dos riscos.

Etapa 2. Procure pelo ntlm e permita o network.automatic-ntlm-auth.allow-non-fqdn e ajuste-o para retificar.

Etapa 3. Ajuste o network.automatic-ntlm-auth.trusted-uris ao domínio ou explicitamente ao ADFS URL.

Configuração exigida para Google Chrome para o apoio AIT

Google Chrome em Windows usa os ajustes do internet explorer, assim que configurar dentro do diálogo de opções do >Internet das ferramentas do internet explorer, ou do Control Panel sob opções de internet dentro da rede e do Internet da subcategoria.

Promova a configuração para o SSO:

Este original descreve a configuração do aspecto de IdP para que o SSO integre com o serviço da identidade de Cisco. Para uns detalhes mais adicionais, refira os manuais de configuração dos produtos individuais:

• UCCX
• UCCE
• PCCE

Verificar

Este procedimento está usado para determinar se a confiança de confiança do partido é estabelecida corretamente entre o Cisco IDS e o IDP.

• Do broswer incorpore a URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx? loginToRp=<IDS_FQDN>
• ADFS fornecerá o formulário do início de uma sessão. Isto estará disponível quando a configuração acima é direita.
• Na autenticação bem sucedida, o navegador deve reorientar a https://<IDS_FQDN>:8553/ids/saml/response e uma página da lista de verificação publicar-se-á.

Nota: A página da lista de verificação que se publica porque parte do processo de verificação é um não erro mas uma confirmação que a confiança está estabelecida corretamente.

Troubleshooting

Para pesquise defeitos consultam - o https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

   

Desvio UCCX SSO/recuperação URL

• A URL para Cisco unificou a administração CCX: https:// <IP_or_FQDN>/appadmin/recovery_login.htm
• A URL para Cisco unificou a utilidade CCX: https:// <IP_or_FQDN>/uccxservice/recovery_login.htm

SSO de desabilitação

• GUI: Navegue à administração CCX > único Sinal-em (SSO) > inutilização
• CLI: ajuste o non_sso do authmode (este comando deve desabilitar o SSO para o bar e o sub - pode ser executado de qualquer um nos Nós UCCX em caso de uma Alta disponibilidade (HA) do conjunto)

Screenshots

A administração CCX - Non_SSO:

A administração CCX - SSO permitido:

Início de uma sessão da fineza - NON-SSO:

Início de uma sessão da fineza - SSO permitido:

CUIC - Non_SSO:

CUIC - SSO permitido: