Introdução
Este documento descreve como configurar a versão 2.0 do serviço da federação do diretório ativo (AD FS) a fim permitir o linguagem de marcação da afirmação da Segurança (SAML) escolhe Sinal-em (SSO) para o Produtos da colaboração do Cisco como o gerente das comunicações unificadas de Cisco (CUCM), o Cisco Unity Connection (UCXN), o CUCM IM e a presença, e a Colaboração principal de Cisco.
Pré-requisitos
Requisitos
A versão 2.0 AD FS deve ser instalada e testado.
Caution: Este Guia de Instalação é baseado em uma instalação de laboratório e a versão 2.0 AD FS é suposta para ser usada somente para SAML SSO com Produtos da colaboração do Cisco. Caso que é usada por outros aplicativos business-critical, a seguir a personalização necessária deve ser feita conforme a documentação Microsoft oficial.
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão 2.0 AD FS
- Microsoft Internet explorer 10
- Versão 10.5 CUCM
- Cisco IM e versão de servidor 10.5 da presença
- Versão 10.5 UCXN
- Abastecimento 10.5 da Colaboração da prima de Cisco
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Configurar
Transfira Metadata do fornecedor da identidade da versão 2.0 AD FS (IdP)
A fim transferir metadata de IdP, execute este link em você navegador: https:// <FQDN de ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.
Metadata do Collaboration Server da transferência (SP)
CUCM IM e serviço da presença
Abra um navegador da Web, log em CUCM como o administrador, e navegue ao sistema > sinal de SAML ao único sobre.
Conexão de unidade
Abra um navegador da Web, log em UCXN como o administrador, e navegue às configurações de sistema > sinal de SAML ao único sobre.
Abastecimento da Colaboração da prima de Cisco
Abra um navegador da Web, log no acreditação principal da Colaboração como o globaladmin, e navegue à administração > ao sistema Setup > único sinal sobre.
Adicionar CUCM como a confiança de confiança do partido
- O log na versão 2.0 do server e do lançamento AD FS AD FS de Microsoft Windows programa o menu.
- Seleto adicionar a confiança de confiança do partido.

- Clique em Iniciar.

- Selecione os dados da importação sobre o partido de confiança de uma opção de arquivo, escolha o arquivo dos metadata SPMetadata_CUCM.xml que você transferiu de CUCM mais cedo, e clique-o em seguida.

- Dê entrada com o nome do indicador e clique-o em seguida.

- Escolha a licença todos os usuários para alcançar este partido de confiança e para clicá-lo em seguida.

- Selecione aberto o diálogo das regras da reivindicação da edição para a confiança de confiança do partido do thee quando o assistente se fecha e clique-o perto.

- O clique adiciona a regra.

- Clique em seguida com grupo do molde da regra da reivindicação do padrão para enviar atributos LDAP como reivindicações.

- Em configurar a regra, dê entrada com o nome da regra da reivindicação, diretório ativo seleto como a loja do atributo, configura o atributo LDAP e tipo que parte da reivindicação segundo as indicações desta imagem, e clique o revestimento.
Note:
- O atributo do Lightweight Directory Access Protocol (LDAP) deve combinar o atributo da sincronização do diretório em CUCM.
- o “uid” deve estar na caixa baixa.

- O clique adiciona a regra, seleta envie reivindicações usando uma regulamentação aduaneira enquanto o molde da regra da reivindicação, e as clique em seguida.


- Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
(NOTA: Se você copia e cola o texto destes exemplos, esteja ciente que algum software do processamento de texto substituirá a cotação ASCII - identificar (") por meio das versões de UNICODE (“"). As versões de UNICODE farão com que a regra da reivindicação falhe.)

Note:
- O nome de domínio totalmente qualificado CUCM e ADFS (FQDN) prepopulated com o laboratório CUCM e AD FS neste exemplo e deve ser alterado para combinar seu ambiente.
- o FQDN de CUCM/ADFS é diferenciando maiúsculas e minúsculas e deve combinar com os arquivos dos metadata.
- Clique em Finish.
- O clique aplica-se e APROVA-SE então.
- Reinicie o serviço da versão 2.0 AD FS de Services.msc.
Adicionar CUCM IM e presença como a confiança de confiança do partido
- Repita etapas 1 11 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
- Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");

Observe que IM e a presença e o FQDN AD FS prepopulated com o laboratório IM e a presença e o AD FS neste exemplo e devem ser alterados para combinar seu ambiente.
- Clique em Finish.
- O clique aplica-se e APROVA-SE então.
- Reinicie o serviço da versão 2.0 AD FS de Services.msc.
Adicionar UCXN como a confiança de confiança do partido
- Repita etapas 1 12 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
- Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");

Observe que o FQDN UCXN e AD FS prepopulated com o laboratório UCXN e ADFS neste exemplo e deve ser alterado para combinar seu ambiente.
- Clique em Finish.
- O clique aplica-se e APROVA-SE então.
- Reinicie o serviço da versão 2.0 AD FS de Services.msc.
Adicionar o abastecimento principal da Colaboração de Cisco como a confiança de confiança do partido
- Repita etapas 1 12 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
- Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");

Observe que o abastecimento da prima e o FQDN AD FS prepopulated com o abastecimento da Colaboração da prima do laboratório (PCP) e o AD FS deste exemplo e devem ser alterados para combinar seu ambiente.
- Clique em Finish.
- O clique aplica-se e APROVA-SE então.
- Reinicie o serviço da versão 2.0 AD FS de Services.msc.
Uma vez que você estabelece a versão 2.0 AD FS, continue permitir SAML SSO no Produtos da colaboração do Cisco.
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshooting
O AD FS registra dados de diagnóstico ao log de evento do sistema. Do gerenciador do servidor no server AD FS abra diagnósticos - > visualizador de eventos - > aplicativos e serviços - > AD FS 2.0 - > Admin
Procure os erros registrados para a atividade AD FS
