Instalar e Configurar o Shibboleth Identity Provider (IdP) para o Cisco Identity Service (IdS) para ativar o SSO
Opções de download
Linguagem imparcial
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
Sobre esta tradução
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Contents
Introdução
Este documento descreve a configuração no OpenAM Identity Provider (IdP) para ativar o Single Sign On (SSO).
Modelos de implantação do Cisco IdS
| Produto | Implantação |
| UCCX | Co-residente |
| PCCE | Co-residente com CUIC (Cisco Unified Intelligence Center) e LD (Live Data) |
| UCCE | Co-residente com CUIC e LD para implantações de 2k. Autônomo para implantações de 4k e 12k. |
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco Unified Contact Center Express (UCCX) versão 11.6 ou Cisco Unified Contact Center Enterprise versão 11.6 ou Packaged Contact Center Enterprise (PCCE) versão 11.6, conforme aplicável.
Note: Este documento faz referência à configuração com relação ao Cisco Identitify Service (IdS) e ao Identity Provider (IdP). O documento faz referência ao UCCX nas capturas de tela e nos exemplos, no entanto, a configuração é semelhante com relação ao Cisco Identitify Service (UCCX/UCCE/PCCE) e ao IdP.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Instalação
O Shibboleth é um projeto de código aberto que oferece recursos de Single Sign-On e permite que os sites tomem decisões de autorização informadas para o acesso individual de recursos on-line protegidos de uma maneira que preserve a privacidade. Suporta a Security Assertion Markup Language (SAML2). O IdS é um cliente SAML2 e deve suportar Shibboleth com alterações mínimas ou sem alterações no IdS. Em 11.6, a IdS está qualificada para trabalhar com a Shibboleth IdP.
Note: Este documento faz referência ao Shibboleth versão 3.3.0 como parte da qualificação com SSO
Requisitos do sistema
| Componente | Detalhes |
| Versão do Shibboleth | v3.3.0 |
| Local de download | http://shibboleth.net/downloads/identity-provider/ |
| Instalar plataforma | Ubuntu 14.0.4 versão java "1.8.0_121" |
| Versão do Lightweight Diretory Access Protocol (LDAP) | Ative Diretory 2.0 |
| Servidor Web Shibboleth | Apache Tomcat/8.5.12 |
Consulte o wiki para a instalação do Shibboleth
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
Configurar
Integrar com um servidor LDAP
Para integrar um servidor LDAP com shibboleth, os campos precisam ser atualizados em $shibboleth_home/conf/ldap.properties onde$shibboleth_home(o padrão é /opt/shibboleth-idp) se refere ao diretório de instalação que é usado na instalação de shibboleth.
| Campo | Valor esperado | Descrição |
| idp.authn.LDAP.trustCertificates | Um recurso a partir do qual carregar âncoras de confiança, geralmente um arquivo local em ${idp.home}/credenciais onde idp.home é uma variável de ambiente exportada como JAVA_OPTS em setenv.sh |
%{idp.home}/credentials/ldap-server.crt |
| idp.authn.LDAP.trustStore | Um recurso para carregar um armazenamento de chaves Java que contém âncoras de confiança, geralmente um arquivo local em %{idp.home}/credentials | %{idp.home}/credentials/ldap-server.truststore |
| idp.authn.LDAP.returnAttributes | A lista separada por vírgulas dos atributos LDAPA que precisam ser retornados. Se quiser retornar todos os atributos, adicione "*". |
* |
| idp.authn.LDAP.baseDN | O DN base no qual a pesquisa LDAP precisa ser executada | CN=usuários,DC=cisco,DC=com |
| idp.authn.LDAP.subtreeSearch | Se pesquisar recursivamente | verdadeiro |
| idp.authn.LDAP.userFilter | Filtro de pesquisa LDAP | (sAMAccountName={user})* |
| idp.authn.LDAP.bindDN | DN a ser vinculado quando a pesquisa for executada | administrator@cisco.com |
| idp.authn.LDAP.bindDNCredential | Senha para vincular quando a pesquisa for executada | |
| idp.authn.LDAP.dnFormat | Uma string de formatação para gerar os DNs de usuário para autenticação | %s@adfsserver.cisco.com (%s@domainname) |
| idp.authn.LDAP.authenticator | Controla o fluxo de trabalho de como a autenticação ocorre em relação ao LDAP | bindSearchAuthenticator |
| idp.authn.LDAP.ldapURL | URI de conexão para diretório LDAP |
Para obter mais detalhes, consulte:
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
Arquivo de configuração de exemplo
# Tempo em milissegundos de espera pararespostas
#idp.authn.LDAP.responseTimeout = PT3S
## configuração SSL, jvmTrust, certificateTrust ou keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
## Se estiver usando certificateTrust acima, defina o caminho do certificado confiável
idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
## Se estiver usando keyStoreTrust acima, defina para o caminho do armazenamento confiável
idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
## Retornar atributos durante a autenticação
#idp.authn.LDAP.returnAttributes = userPrincipalName, sAMAccountName
idp.authn.LDAP.returnAttributes = *
## Propriedades de resolução de DN ##
# Resolução de DN de pesquisa, usada por anonSearchAuthenticator, bindSearchAuthenticator
# paraAD: CN=Usuários,DC=exemplo,DC=org
idp.authn.LDAP.baseDN = CN=usuários,DC=cisco,DC=com
idp.authn.LDAP.subtreeSearch = verdadeiro
*idp.authn.LDAP.userFilter = (sAMAccountName={user})*
# vincular configuração de pesquisa
# paraAD: idp.authn.LDAP.bindDN=adminuser@domain.com
idp.authn.LDAP.bindDN = administrador@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# Resolução DN de formato, usada por directAuthenticator, adAuthenticator
# paraAD usa idp.authn.LDAP.dnFormat=%s@domain.com
#idp.authn.LDAP.dnFormat = %s@adfsserver.cisco.com
# Configuração de atributo LDAP, consulte attribute-resolver.xml
# Observação, esteprovavelmente não se aplicará ao uso de configurações do resolvedor V2 legado
idp.attribute.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
idp.attribute.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
idp.attribute.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS:verdadeiro}
idp.attribute.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
Permitir solicitações de todos os clientes
Para garantir que as solicitações de todos os clientes cheguem, são necessárias alterações em "$shibboleth_home/conf/access-control.xml"
<entry key="AccessByIPAddress">
<bean id="AccessByIPAddress" parent="shibboleth.IPRangeAccessControl"
p:allowedRanges="#{ {'127.0.0.1/32','0.0.0.0/0', '::1/128', '10.78.93.103/32'} }" />
</entry>
Adicione '0.0.0.0/0' aos intervalos permitidos. Isso permite solicitações de qualquer intervalo de IP.
Configurar Shibboleth para integrar com IdS
Algoritmo de Hash Seguro (SHA1) e configuração de criptografia em IdS
Para configurar o IdS para o padrão SHA1, abra "$shibboleth_home/conf/idp.properties" e defina:
idp.signing.config = shibboleth.SigningConfiguration.SHA1
Essa configuração também pode ser alterada:
idp.encryption.optional = verdadeiro
Se você definir como verdadeiro, a falha ao localizar uma chave de criptografia a ser usada, quando ativada, não resultará em falha na solicitação. Este hAjuda a fazer a criptografia "oportunamente", isto é, criptografar sempre que possível (uma chave compatível é encontrada nos metadados do peer para criptografar), mas ignorar a criptografia de outra forma.
Configurar uid e user_principal para a Resposta SAML
A AttributeDefinition é adicionada em "$shibboleth_home/conf/attribute-resolver.xml" para mapear sAMAccountName e userPrincipalName para uid e user_principal na resposta SAML.
Além disso, adicione as configurações do conector ldap com a marca <DataConnector>.
Observação: ReturnAttributes precisa ser especificado com o valor "sAMAccountName userPrincipalName".
Observação: LDAPProperty é obrigatório em caso de integração com um Ative Diretory (AD).
%{idp.attribute.resolver.LDAP.searchFilter}
sAMAccountName userPrincipalName
Incorpore as alterações em "$shibboleth_home/conf/attribute-filter.xml"
metadados de IdP
Os metadados do IdP estão disponíveis na pasta "$shibboleth_home/metadata". O arquivo idp-metadata.xml pode ser carregado para IdS por meio da API (Application Programming Interface, interface de programação de aplicativos)
PUT https://<idshost>:<idsport>/ids/v1/config/idpmetadata
onde idsport não é uma entidade configurável e o valor é "8553"
aviso: Os metadados do Shibboleth podem conter 2 certificados de assinatura, o certificado de assinatura geral e o backchannel. Navegue até o arquivo idp-backchannel.crt em "$shibboleth_home/credentials" para identificar o certificado backchannel. Se o certificado back channel estiver disponível nos metadados, você deve remover o certificado back channel do xml de metadados antes de carregar em IdS. Isso ocorre porque a biblioteca do fedlet 12.0 que o IdS usa suporta apenas um certificado nos metadados. Se mais de um certificado de autenticação estiver disponível, o fedlet usará o primeiro certificado disponível.
Configurar provedores de metadados
Precisamos configurar os provedores de metadados com a entrada em $shibboleth_home/metadata-providers.xml.
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
onde o atributo"id" pode ser qualquer nome exclusivo.
Esta entrada indica que um provedor de metadados está registrado com a id fornecida e os metadados estão disponíveis no arquivo especificado /opt/shibboleth-idp/SP/sp.xml.
Os metadados SP (Provedor de serviços) de IdS devem ser copiados para o arquivo de metadados especificado na entrada.
Observação: os metadados SP de IdS podem ser recuperados via GET https://<idshost>:<idsport>/ids/v1/config/spmetadata, onde idsport não é uma entidade configurável e o valor é "8553".
Configuração adicional para SSO
Este documento descreve a configuração do aspecto IdP para que o SSO se integre ao Cisco Identity Service. Para obter mais detalhes, consulte os guias de configuração de produtos individuais:
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
17-Aug-2017
|
Versão inicial |
Colaborado por engenheiros da Cisco
- Arundeep NagarajTAC da Cisco
- Balakrishnan DoraisamyEngenharia da Cisco
- Venkatesh VedurumudiEngenharia da Cisco
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)