A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve a configuração no fornecedor da identidade (IdP) para permitir sobre o único sinal (SSO).
Modelos de distribuição do Cisco IDS
Produto | Desenvolvimento |
UCCX | Co-residente |
PCCE | Co-residente com CUIC (centro unificado Cisco da inteligência) e LD (dados vivos) |
UCCE | Co-residente com CUIC e LD para as disposições 2k. Autônomo para as disposições 4k e 12k. |
A Cisco recomenda que você tenha conhecimento destes tópicos:
Nota: Este original provê UCCX nos screenshots e nos exemplos, porém a configuração é similar no que diz respeito ao serviço de Cisco Identitify (UCCX/UCCE/PCCE) e ao IdP.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Cisco proporciona muitos serviços em formulários diferentes e como um utilizador final, você quer assinar dentro somente uma vez para ter o acesso a todos os Serviços da Cisco. Se você quer encontrar e controlar contatos de alguns do aplicativo Cisco e dos dispositivos, leveraging todos os origens possíveis (contatos do diretório corporativo, da probabilidade, do móbil, Facebook, LinkedIn, história), e os tem rendidos em uma terra comum e em uma maneira consistente que forneça a informação necessária para conhecer sua Disponibilidade e em um como melhor os contactar.
O SSO que usa SAML (linguagem de marcação da afirmação da Segurança) visa esta exigência. SAML/SSO fornece a capacidade para que os usuários registrem em dispositivos múltiplos e em serviços com uma identidade comum da conta e da autorização chamada o IdP. A funcionalidade SSO está disponível em UCCX/UCCE/PCCE 11.5 avante.
Os suportes de serviço da identidade de Cisco formam somente a autenticação baseada do fornecedor da identidade.
Consulte por favor estes artigos MSDN para aprender como permitir a autenticação do formulário em ADFS.
Nota: O serviço 11.6 da identidade de Cisco e apoia acima a autenticação e a autenticação de Kerberos baseadas formulário. Para que a autenticação de Kerberos trabalhe, você deve desabilitar o formulário baseado autenticação.
Para onboarding e permitir aplicativos usar o serviço da identidade de Cisco para único Sinal-em, execute a troca dos metadata entre o serviço da identidade (IdS) e IdP.
Este é o procedimento para transferir arquivos pela rede os metadata dos IdS e para adicionar regras da reivindicação. Isto é esboçado para ADFS 2.0 e 3.0
Etapa1. No server ADFS navegue a, começo > todos os programas > ferramentas administrativas > Gerenciamento AD FS 2.0, segundo as indicações da imagem:
Etapa 2. Navegue para adicionar AD FS 2.0 > relação de confiança > confiança de confiança do partido, segundo as indicações da imagem:
Etapa 3. Segundo as indicações da imagem, selecione os dados da importação da opção sobre o partido de confiança de um arquivo.
Etapa 4. Termine o estabelecimento da confiança de confiança do partido.
Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.
Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.
Etapa 7. Direito - clique sobre a confiança de confiança do partido e clique então sobre regras da reivindicação Edit.
Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.
uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.
Regra 1 da reivindicação:
Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):
Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:
Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -
Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -
Nota: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.
Nota: Este original provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.
Regra 2 da reivindicação:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
O Direito-clique de etapa 8. na confiança de confiança do partido e clica então sobre propriedades e seleciona o guia avançada, segundo as indicações da imagem.
Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.
Etapa 10. APROVAÇÃO do clique.
Etapa1. No server ADFS navegue a, gerenciador do servidor > ferramentas > Gerenciamento AD FS.
Etapa 2. Navegue ao AD FS > relação de confiança > confiança de confiança do partido.
Etapa 3. Selecione os dados da importação da opção sobre o partido de confiança de um arquivo.
Etapa 4. Termine o estabelecimento da confiança de confiança do partido.
Etapa 5. Nas propriedades da confiança de confiança do partido, selecione a aba do identificador.
Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidade de Cisco de que sp.xml é transferido.
O Direito-clique de etapa 7. na confiança de confiança do partido e clica então sobre regras da reivindicação Edit.
Você precisa de adicionar duas regras da reivindicação, uma é quando os atributos LDAP (protocolo lightweight directory access) são combinados quando o segundo for com as regras feitas sob encomenda da reivindicação.
uid - Este atributo é precisado para que os aplicativos identifiquem o usuário autenticado.
user_principal - Este atributo é precisado pelo serviço da identidade de Cisco de identificar o reino do usuário autenticado.
Regra 1 da reivindicação:
Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP como reivindicações):
Exemplo de configuração quando SamAccountName dever ser usada como o usuário - identificação:
Exemplo de configuração quando o UPN tiver que ser usado como o usuário - a identificação -
Exemplo de configuração quando PhoneNumber tiver que ser usado como o usuário - a identificação -
Nota: Nós precisamos de assegurar-se de que o atributo LDAP configurado para o usuário - a identificação na sincronização CUCM LDAP deve combinar o que é configurado como o atributo LDAP para o uid na regra NameID da reivindicação ADFS. Isto é para o funcionamento apropriado de Cisco unificou o início de uma sessão do centro (CUIC) e da fineza da inteligência.
Nota: Este original provê limitações nos nomes do nome e do indicador da regra da reivindicação tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomes feitos sob encomenda podem ser aplicáveis em várias seções, os nomes da regra da reivindicação e os nomes do indicador são mantidos padrão por toda parte para manter a consistência e para melhores prática na convenção de nomeação.
Regra 2 da reivindicação:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");
O Direito-clique de etapa 8. na confiança de confiança do partido e clica então sobre propriedades e seleciona o guia avançada
Etapa 9. Segundo as indicações da imagem, selecione o Secure Hash Algorithm (SHA) como o SHA-1.
Etapa 10 - APROVAÇÃO do clique.
Estas etapas são imperativas após a etapa 10.
Etapa 1. Clique o começo e incorpore o powershell ao powershell das janelas aberta.
Etapa 2. Adicionar ADFS CmdLet ao powershell executando o comando adicionam-PSSnapin Microsoft.Adfs.Powershell.
Etapa 3 - Executam o comando, grupo-ADFSRelyingPartyTrust - Confiança <Relying Name> do partido de TargetName
- SamlResponseSignature “MessageAndAssertion”.
Nota: Etapa 2 não pode ser precisada se você está usando o 3.0 ADFS desde que o CmdLet é instalado já como parte de adicionar os papéis e as características.
Nota: O partido que <Relying a confiança Identifier> é diferenciando maiúsculas e minúsculas, assim ele combina (incluindo o caso) com o que é ajustado na aba do identificador das propriedades de confiança de confiança do partido.
Nota: Suportes de serviço SHA-1 da identidade de Cisco. Os usos de confiança SHA-1 da confiança do partido para assinar o pedido de SAML e esperam ADFS fazer o mesmos na resposta.
Em caso da federação em ADFS, onde um domínio ADFS em particular fornece a autenticação federada de SAML para usuários em outros domínios configurados, estas são as configurações adicionais que são precisadas.
Para isto as seções, o termo ADFS preliminar referem o ADFS que tem que ser usado nos IdS. O ADFS federado termo indica aqueles ADFS, são permitidos cujos aos usuários entrar através dos IdS e assim, é o ADFS preliminar.
Em cada um do ADFS federado, a confiança de confiança do partido tem que ser criada para ADFS preliminar e as regras da reivindicação configuradas como mencionado na seção anterior.
Para ADFS preliminar, independentemente da confiança de confiança do partido para IdS, a seguinte configuração adicional é precisada.
Adicionar a confiança do fornecedor da reivindicação com o ADFS a que a federação tem que ser setup.
Na confiança do fornecedor da reivindicação, assegure-se de que a passagem completamente ou filtre-se regras entrantes de uma reivindicação são configurados com passagem com todos os valores da reivindicação como a opção
Na confiança de confiança do partido para IdS, adicionar a passagem embora ou filtre regras entrantes de uma reivindicação com passagem com todos os valores da reivindicação como a opção.
A autenticação do Windows integrada (AIT) fornece o mecanismo de autenticação dos usuários, mas não permite que as credenciais sejam transmitidas sobre a rede. Quando você permite a autenticação do Windows integrada, trabalha com base em bilhetes para permitir os Nós que comunicam-se sobre uma rede NON-segura para provar sua identidade a uma outra em uma maneira segura. Permite que os usuários entrem a um domínio após o início de uma sessão em suas máquinas dos indicadores.
Nota: A autenticação de Kerberos é apoiada somente de 11.6 e acima.
Os usuários de domínio que são registrados já no controlador de domínio (DC) serão registrados continuamente em clientes SSO sem a necessidade de reenter as credenciais. Para usuários do NON-domínio, o AIT cai de volta a NTLM (gerente de rede de área local da nova tecnologia) e o diálogo do início de uma sessão aparece. A qualificação para IdS com autenticação AIT é feita com o Kerberos contra o 3.0 ADFS.
Etapa 1. Janelas aberta comando prompt e corrida como o usuário admin registrar o serviço HTTP com comando do setspn
setspn - <domain> do url> s http/<ADFS \ name> do <account.
Etapa 2. Desabilite a autenticação do formulário e permita a autenticação do Windows para locais do intranet. Vão ao Gerenciamento > às políticas de autenticação ADFS > a autenticação > as configurações globais preliminares > editam. Sob o intranet, assegure-se de que somente a autenticação do Windows esteja verificada (Uncheck a autenticação do formulário).
Etapa1. Assegure-se de que o internet explorer > avance > permita a autenticação do Windows integrada esteja verificado.
Etapa 2. ADFS URL precisa de ser adicionado às zonas do >Intranet da Segurança > aos locais (winadcom215.uccx116.com é ADFS URL)
Etapa 3. Assegure-se de que > segurança de Exporer do Internet > de > segurança do intranet local ajustes > autenticação de usuário - o fazer logon é configurado a fim usar as credenciais entradas para locais do intranet.
Etapa 1. Participe no modo de configuração para Firefox. Abra Firefox e entre-o aproximadamente: configuração na URL. Aceite a indicação dos riscos.
Etapa 2. Procure pelo ntlm e permita o network.automatic-ntlm-auth.allow-non-fqdn e ajuste-o para retificar.
Etapa 3. Ajuste o network.automatic-ntlm-auth.trusted-uris ao domínio ou explicitamente ao ADFS URL.
Google Chrome em Windows usa os ajustes do internet explorer, assim que configurar dentro do diálogo de opções do >Internet das ferramentas do internet explorer, ou do Control Panel sob opções de internet dentro da rede e do Internet da subcategoria.
Este original descreve a configuração do aspecto de IdP para que o SSO integre com o serviço da identidade de Cisco. Para uns detalhes mais adicionais, refira os manuais de configuração dos produtos individuais:
Este procedimento está usado para determinar se a confiança de confiança do partido é estabelecida corretamente entre o Cisco IDS e o IDP.
Nota: A página da lista de verificação que se publica porque parte do processo de verificação é um não erro mas uma confirmação que a confiança está estabelecida corretamente.
Para pesquise defeitos consultam - o https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html