Configurar o fornecedor da identidade para que o serviço da identidade de Cisco permita o SSO

Introdução

Este documento descreve a configuração no fornecedor da identidade (IdP) para permitir sobre o único sinal (SSO).

Modelos de distribuição do Cisco IDS

Produto	Desenvolvimento
UCCX	Co-residente
PCCE	Co-residente com CUIC (centro unificado Cisco da inteligência) e LD (dados vivos)
UCCE	Co-residente com CUIC e LD para as disposições 2k. Autônomo para as disposições 4k e 12k.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Liberação 11.5 do Cisco Unified Contact Center Express (UCCX) ou liberação 11.5 do Cisco Unified Contact Center Enterprise ou liberação empacotada 11.5 da empresa do centro de contato (PCCE) como aplicáveis.
• Microsoft ative directory - AD instalado em Windows Server
• Versão 2.0/3.0 do serviço da federação do diretório ativo (ADFS)

Note: Este documento provê UCCX nos screenshots e nos exemplos, porém a configuração é similar no que diz respeito ao serviço de Cisco Identitify (UCCX/UCCE/PCCE) e ao IdP.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Vista geral do SSO

Cisco proporciona muitos serviços em formulários diferentes e como um utilizador final, você quer assinar dentro somente uma vez para ter o acesso a todos os Serviços da Cisco. Se você quer encontrar e controlar contatos de alguns do aplicativo Cisco e dos dispositivos, leveraging todos os origens possíveis (contatos do diretório corporativo, da probabilidade, do móbil, Facebook, LinkedIn, história), e os tem rendidos em uma terra comum e em uma maneira consistente que forneça a informação necessária para conhecer sua Disponibilidade e em um como melhor os contactar.

O SSO que usa SAML (linguagem de marcação da afirmação da Segurança) visa esta exigência. SAML/SSO fornece a capacidade para que os usuários registrem em dispositivos múltiplos e em serviços com uma identidade comum da conta e da autorização chamada o IdP. A funcionalidade SSO está disponível em UCCX/UCCE/PCCE 11.5 avante.

Visão geral sobre a configuração 

Configurar

Tipos do autenticação

Os suportes de serviço da identidade de Cisco formam somente a autenticação baseada do fornecedor da identidade.

Consulte por favor estes artigos MSDN para aprender como permitir a autenticação do formulário em ADFS.

• Para ADFS 2.0 referem este artigo do Microsoft TechNet,
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx
  
• Para o 3.0 ADFS consulte referem este artigo do Microsoft TechNet,
  https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Note: O serviço 11.6 da identidade de Cisco e apoia acima a autenticação e a autenticação de Kerberos baseadas formulário. 

Estabeleça a relação de confiança 

Para onboarding e permitir aplicativos usar o serviço da identidade de Cisco para único Sinal-em, execute a troca dos metadata entre o serviço da identidade (IdS) e IdP.

• Transfira o arquivo sp.xml dos Metadata de SAML SP.
• Dos ajustes, navegue à aba da confiança dos IdS na página do Gerenciamento do serviço da identidade.

• Transfira os Metadata de IdP arquivam do IdP da URL:
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• Na página do Gerenciamento do serviço da identidade, transfira arquivos pela rede o fornecedor que da identidade os Metadata arquivam que foi transferido na etapa precedente.

Este é o procedimento para transferir arquivos pela rede os metadata dos IdS e para adicionar regras da reivindicação. Isto é esboçado para ADFS 2.0 e 3.0

ADFS 2.0:

Etapa 1. No server ADFS navegue a, começo > todos os programas > ferramentas administrativas > Gerenciamento AD FS 2.0, segundo as indicações da imagem:

Etapa 2. Navegue para adicionar AD FS 2.0 > relação de confiança > confiança de confiança do partido, segundo as indicações da imagem:

Etapa 3. Segundo as indicações da imagem, selecione os dados da importação da opção sobre o partido de confiança de um arquivo.

Etapa 4. Termine o estabelecimento da confiança de confiança do partido.

Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.

Etapa 7. Clicar com o botão direito na confiança de confiança do partido e clique então sobre regras da reivindicação Edit.

Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.

uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.

Regra 1 da reivindicação:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):

• Selecione a loja do atributo como o diretório ativo.
• Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).
• Escolha o atributo LDAP que tem que ser usado como o userId para que os usuários do aplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:

• Trace o atributo SamAccountName LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -

• Trace o USER-Principal-nome do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.
               

Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -

• Trace o telephoneNumber do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Note: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.

Note: Este documento provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.

Regra 2 da reivindicação:

• Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicação com nome como o hostname totalmente qualificado (FQDN) do server da identidade de Cisco e adicionar este texto da regra.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• No cluster de servidor da identidade de Cisco, todos os nomes de host totalmente qualificados são aquele do server da identidade de Cisco preliminar ou do nó do editor.
  
  
• < o hostname totalmente qualificado da identidade Server> de Cisco é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN do server da identidade de Cisco.
  
  
• O server FQDN> <ADFS é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN ADFS.

Etapa 8. Clicar com o botão direito na confiança de confiança do partido e clique então sobre propriedades e selecione o guia avançada, segundo as indicações da imagem.

Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.

Etapa 10. APROVAÇÃO do clique.

3.0 ADFS:

Etapa 1. No server ADFS navegue a, gerenciador do servidor > ferramentas > Gerenciamento AD FS.

Etapa 2. Navegue ao AD FS > relação de confiança > confiança de confiança do partido.

Etapa 3. Selecione os dados da importação da opção sobre o partido de confiança de um arquivo.

Etapa 4. Termine o estabelecimento da confiança de confiança do partido.

Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.

Etapa 7. Clicar com o botão direito na confiança de confiança do partido e clique então sobre regras da reivindicação Edit.

Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.

uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.

Regra 1 da reivindicação:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):

• Selecione a loja do atributo como o diretório ativo.
• Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).
• Escolha o atributo LDAP que tem que ser usado como o userId para que os usuários do aplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:

• Trace o atributo SamAccountName LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -

• Trace o USER-Principal-nome do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.
               

Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -

• Trace o telephoneNumber do atributo LDAP ao uid.
• Trace o USER-Principal-nome do atributo LDAP a user_principal.

Note: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.

Note: Este documento provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.

Regra 2 da reivindicação:

• Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicação com nome como o hostname totalmente qualificado (FQDN) do server da identidade de Cisco e adicionar este texto da regra.
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• No cluster de servidor da identidade de Cisco, todos os nomes de host totalmente qualificados são aquele do server da identidade de Cisco preliminar ou do nó do editor.
  
  
• < o hostname totalmente qualificado da identidade Server> de Cisco é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN do server da identidade de Cisco.
  
  
• O server FQDN> <ADFS é diferenciando maiúsculas e minúsculas, assim ele combina exatamente (incluindo o caso) com o FQDN ADFS.

Etapa 8. Clicar com o botão direito na confiança de confiança do partido e clique então sobre propriedades e selecione o guia avançada

Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.

Etapa 10 - APROVAÇÃO do clique.

Estas etapas são imperativas após a etapa 10.

Permita afirmações assinadas de SAML para a confiança de confiança do partido (o serviço da identidade de Cisco)

Etapa 1. Clique o começo e incorpore o powershell ao powershell das janelas aberta.

Etapa 2. Adicionar ADFS CmdLet ao powershell executando o comando adicionam-PSSnapin Microsoft.Adfs.Powershell.

Etapa 3 - Executam o comando, grupo-ADFSRelyingPartyTrust - Confiança <Relying Name> do partido de TargetName

- SamlResponseSignature “MessageAndAssertion”.

          

Note: Etapa 2 não pode ser precisada se você está usando o 3.0 ADFS desde que o CmdLet é instalado já como parte de adicionar os papéis e as características.

Note: O partido que <Relying a confiança Identifier> é diferenciando maiúsculas e minúsculas, assim ele combina (incluindo o caso) com o que é ajustado na aba do identificador das propriedades de confiança de confiança do partido.

Note: Suportes de serviço SHA-1 da identidade de Cisco. Os usos de confiança SHA-1 da confiança do partido para assinar o pedido de SAML e esperam ADFS fazer o mesmos na resposta.

Para uma configuração do Multi-domínio para ADFS federado

Em caso da federação em ADFS, onde um domínio ADFS em particular fornece a autenticação federada de SAML para usuários em outros domínios configurados, estas são as configurações adicionais que são precisadas.

Para isto as seções, o termo ADFS preliminar referem o ADFS que tem que ser usado nos IdS. O ADFS federado termo indica aqueles ADFS, são permitidos cujos aos usuários entrar através dos IdS e assim, é o ADFS preliminar.

Configuração federada ADFS

Em cada um do ADFS federado, a confiança de confiança do partido tem que ser criada para ADFS preliminar e as regras da reivindicação configuradas como mencionado na seção anterior.

Configuração preliminar ADFS

Para ADFS preliminar, independentemente da confiança de confiança do partido para IdS, a seguinte configuração adicional é precisada.

Adicionar a confiança do fornecedor da reivindicação com o ADFS a que a federação tem que ser setup.

Na confiança do fornecedor da reivindicação, assegure-se de que a passagem completamente ou filtre-se regras entrantes de uma reivindicação são configurados com passagem com todos os valores da reivindicação como a opção

• Nomeie o ID
• Escolha o nome ID do tipo entrante caixa da reivindicação da gota
• Escolha o transeunte como a opção para o formato entrante de NameID
• uid: Esta é uma reivindicação feita sob encomenda. Incorpore o uid do valor ao tipo entrante caixa da reivindicação da gota.
• user_principal: Esta é uma reivindicação feita sob encomenda. Datilografe o valor user_principal no tipo entrante caixa da reivindicação da gota.

Na confiança de confiança do partido para IdS, adicionar a passagem embora ou filtre regras entrantes de uma reivindicação com passagem com todos os valores da reivindicação como a opção.

• NameIDFromSubdomain
• Escolha o nome ID do tipo entrante caixa da reivindicação da gota
• Escolha o transeunte como a opção para o formato entrante de NameID
• uid: Esta é uma reivindicação feita sob encomenda. Datilografe o uid do valor no tipo entrante caixa da reivindicação da gota
• user_principal: Esta é uma reivindicação feita sob encomenda. Datilografe o valor user_principal no tipo entrante caixa da reivindicação da gota

Autenticação de Kerberos (autenticação do Windows integrada)

A autenticação do Windows integrada (AIT) fornece o mecanismo de autenticação dos usuários, mas não permite que as credenciais sejam transmitidas sobre a rede. Quando você permite a autenticação do Windows integrada, trabalha com base em bilhetes para permitir os Nós que comunicam-se sobre uma rede NON-segura para provar sua identidade a uma outra em uma maneira segura. Permite que os usuários entrem a um domínio após o início de uma sessão em suas máquinas dos indicadores. 

Note: A autenticação de Kerberos é apoiada somente de 11.6 e acima.

Os usuários de domínio que são registrados já no controlador de domínio (DC) serão registrados continuamente em clientes SSO sem a necessidade de reenter as credenciais.  Para usuários do NON-domínio, o AIT cai de volta a NTLM (gerente de rede de área local da nova tecnologia) e o diálogo do início de uma sessão aparece. A qualificação para IdS com autenticação AIT é feita com o Kerberos contra o 3.0 ADFS.

Etapa 1. Janelas aberta comando prompt e corrida como o usuário admin registrar o serviço HTTP com comando do setspn 

             setspn - <domain> do url> s http/<ADFS \ name> do <account.

Etapa 2. Desabilite a autenticação do formulário e permita a autenticação do Windows para locais do intranet. Vá ao Gerenciamento > às políticas de autenticação > à autenticação principal > às configurações globais ADFS > editam. Sob o intranet, assegure-se de que somente a autenticação do Windows esteja verificada (desmarcar a autenticação do formulário).

Configuração para o Microsoft Internet explorer para o apoio AIT

Etapa 1. Assegure-se de que o internet explorer > avance > permita a autenticação do Windows integrada esteja verificado.

Etapa 2. ADFS URL precisa de ser adicionado às zonas do >Intranet da Segurança > aos locais (winadcom215.uccx116.com é ADFS URL)

Etapa 3. Assegure-se de que > segurança de Exporer do Internet > de > segurança do intranet local ajustes > autenticação de usuário - o fazer logon é configurado a fim usar as credenciais entradas para locais do intranet.

Configuração exigida para Mozilla Firefox para o apoio AIT

Etapa 1. Participe no modo de configuração para Firefox. Abra Firefox e entre-o aproximadamente: configuração na URL. Aceite a indicação dos riscos.

Etapa 2. Procure pelo ntlm e permita o network.automatic-ntlm-auth.allow-non-fqdn e ajuste-o para retificar.

Etapa 3. Ajuste o network.automatic-ntlm-auth.trusted-uris ao domínio ou explicitamente ao ADFS URL.

Configuração exigida para Google Chrome para o apoio AIT

Google Chrome em Windows usa os ajustes do internet explorer, assim que configurar dentro do diálogo de opções do >Internet das ferramentas do internet explorer, ou do Control Panel sob opções de internet dentro da rede e do Internet da subcategoria.

Promova a configuração para o SSO:

Este documento descreve a configuração do aspecto de IdP para que o SSO integre com o serviço da identidade de Cisco. Para uns detalhes mais adicionais, refira os manuais de configuração dos produtos individuais:

• UCCX
• UCCE
• PCCE

Verificar

Este procedimento está usado para determinar se a confiança de confiança do partido é estabelecida corretamente entre o Cisco IDS e o IDP.

• Do broswer incorpore a URL https:// <ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx? loginToRp=<IDS_FQDN>
• ADFS fornecerá o formulário do início de uma sessão. Isto estará disponível quando a configuração acima é direita.
• Na autenticação bem sucedida, o navegador deve reorientar a https://<IDS_FQDN>:8553/ids/saml/response e uma página da lista de verificação publicar-se-á.

Note: A página da lista de verificação que se publica porque parte do processo de verificação é um não erro mas uma confirmação que a confiança está estabelecida corretamente.

Troubleshooting

Para pesquise defeitos consultam - o https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html