Versão 2.0 AD FS Setup para o exemplo de configuração de SAML SSO

Introdução

Este documento descreve como configurar a versão 2.0 do serviço da federação do diretório ativo (AD FS) a fim permitir o linguagem de marcação da afirmação da Segurança (SAML) escolhe Sinal-em (SSO) para o Produtos da colaboração do Cisco como o gerente das comunicações unificadas de Cisco (CUCM), o Cisco Unity Connection (UCXN), o CUCM IM e a presença, e a Colaboração principal de Cisco.

Pré-requisitos

Requisitos

A versão 2.0 AD FS deve ser instalada e testado.

Cuidado: Este Guia de Instalação é baseado em uma instalação de laboratório e a versão 2.0 AD FS é suposta para ser usada somente para SAML SSO com Produtos da colaboração do Cisco. Caso que é usada por outros aplicativos business-critical, a seguir a personalização necessária deve ser feita conforme a documentação Microsoft oficial.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Versão 2.0 AD FS
• Microsoft Internet explorer 10
• Versão 10.5 CUCM
• Cisco IM e versão de servidor 10.5 da presença
• Versão 10.5 UCXN
• Abastecimento 10.5 da Colaboração da prima de Cisco

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Transfira Metadata do fornecedor da identidade da versão 2.0 AD FS (IdP)

A fim transferir metadata de IdP, execute este link em você navegador: https:// <FQDN de ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.

Metadata do Collaboration Server da transferência (SP)

CUCM IM e serviço da presença

Abra um navegador da Web, log em CUCM como o administrador, e navegue ao sistema > sinal de SAML ao único sobre.

Conexão de unidade

Abra um navegador da Web, log em UCXN como o administrador, e navegue às configurações de sistema > sinal de SAML ao único sobre.

Abastecimento da Colaboração da prima de Cisco

Abra um navegador da Web, log no acreditação principal da Colaboração como o globaladmin, e navegue à administração > ao sistema Setup > único sinal sobre.

Adicionar CUCM como a confiança de confiança do partido

1. O log na versão 2.0 do server e do lançamento AD FS AD FS de Microsoft Windows programa o menu.
   
   
2. Seleto adicionar a confiança de confiança do partido.
   
   

   

   
   
   
3. Clique em Iniciar.
   
   

   

   
   
   
4. Selecione os dados da importação sobre o partido de confiança de uma opção de arquivo, escolha o arquivo dos metadata SPMetadata_CUCM.xml que você transferiu de CUCM mais cedo, e clique-o em seguida.
   
   

   

   
   
   
5. Dê entrada com o nome do indicador e clique-o em seguida.
   
   

   

   
   
   
6. Escolha a licença todos os usuários para alcançar este partido de confiança e para clicá-lo em seguida.
   
   

   

   
   
   
7. Selecione aberto o diálogo das regras da reivindicação da edição para a confiança de confiança do partido do thee quando o assistente se fecha e clique-o perto.
   
   

   

   
   
   
8. O clique adiciona a regra.
   
   

   

   
   
   
9. Clique em seguida com grupo do molde da regra da reivindicação do padrão para enviar atributos LDAP como reivindicações.
   
   

   

   
   
   
10. Em configurar a regra, dê entrada com o nome da regra da reivindicação, diretório ativo seleto como a loja do atributo, configura o atributo LDAP e tipo que parte da reivindicação segundo as indicações desta imagem, e clique o revestimento.
    
    

    Nota:
    - O atributo do Lightweight Directory Access Protocol (LDAP) deve combinar o atributo da sincronização do diretório em CUCM.
    -? uid? deve estar na caixa baixa.

    
    
    

    

    
    
    
11. O clique adiciona a regra, seleta envie reivindicações usando uma regulamentação aduaneira enquanto o molde da regra da reivindicação, e as clique em seguida.
    
    

    

    
    
    

    

    
    
    
12. Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
    
    

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccount
    name"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    identifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value,
     ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/
    claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", 
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/name
    qualifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties
    ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = 
    "<FQDN of CUCM>");

    
    
    

    

    
    
    

    Nota:
     - O nome de domínio totalmente qualificado CUCM e ADFS (FQDN) prepopulated com o laboratório CUCM e AD FS neste exemplo e deve ser alterado para combinar seu ambiente.
    - o FQDN de CUCM/ADFS é diferenciando maiúsculas e minúsculas e deve combinar com os arquivos dos metadata.

    
    
    
13. Clique em Finish.
    
    
14. O clique aplica-se e APROVA-SE então.
    
    
15. Reinicie o serviço da versão 2.0 AD FS de Services.msc.

Adicionar CUCM IM e presença como a confiança de confiança do partido

1. Repita etapas 1 11 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
   
   
2. Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccount
   name"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   identifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, 
   ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/
   claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", 
   Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/name
   qualifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties
   ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = 
   "<FQDN of IMP>");

   
   
   

   

   
   
   
   Observe que IM e a presença e o FQDN AD FS prepopulated com o laboratório IM e a presença e o AD FS neste exemplo e devem ser alterados para combinar seu ambiente.
   
   
3. Clique em Finish.
   
   
4. O clique aplica-se e APROVA-SE então.
   
   
5. Reinicie o serviço da versão 2.0 AD FS de Services.msc.

Adicionar UCXN como a confiança de confiança do partido

1. Repita etapas 1 12 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
   
   
2. Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccount
   name"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   identifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, 
   ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/
   claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", 
   Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/name
   qualifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties
   ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = 
   "<FQDN of  UCXN>");

   
   
   

   

   
   
   Observe que o FQDN UCXN e AD FS prepopulated com o laboratório UCXN e ADFS neste exemplo e deve ser alterado para combinar seu ambiente.
   
   
3. Clique em Finish.
   
   
4. O clique aplica-se e APROVA-SE então.
   
   
5. Reinicie o serviço da versão 2.0 AD FS de Services.msc.

Adicionar o abastecimento principal da Colaboração de Cisco como a confiança de confiança do partido

1. Repita etapas 1 12 como descritos para Add CUCM como a confiança de confiança do partido e continue a etapa 2.
   
   
2. Dê entrada com um nome para o nome da regra da reivindicação e copie esta sintaxe no espaço dado sob a regulamentação aduaneira:
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccount
   name"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   identifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, 
   ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/
   claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", 
   Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/name
   qualifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties
   ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = 
   "<FQDN of PCP>");

   
   
   

   

   
   
   Observe que o abastecimento da prima e o FQDN AD FS prepopulated com o abastecimento da Colaboração da prima do laboratório (PCP) e o AD FS deste exemplo e devem ser alterados para combinar seu ambiente.
   
   
3. Clique em Finish.
   
   
4. O clique aplica-se e APROVA-SE então.
   
   
5. Reinicie o serviço da versão 2.0 AD FS de Services.msc.

Uma vez que você estabelece a versão 2.0 AD FS, continue permitir SAML SSO no Produtos da colaboração do Cisco.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.