Configurar logon único com CUCM e AD FS 2.0

Opções de download

  • PDF     (914.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (754.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (821.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de Março de 2022
ID do documento:211302

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o SSO (Single Sign-On, login único) no Cisco Unified Communications Manager (CUCM) e no AD FS (Ative Diretory Federation Service). O procedimento para AD FS 2.0 com Windows Server 2008 R2 é fornecido. Estas etapas também funcionam para o AD FS 3.0 no Windows Server 2016.

    Contribuído por Scott Kiewert, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco Unified Communications Manager
    • Conhecimento básico do AD FS

    Para ativar o SSO no ambiente do laboratório, você precisa desta configuração:

    • Windows Server com AD FS instalado
    • CUCM com sincronização LDAP configurada
    • Um usuário final com a função de superusuários CCM padrão selecionada

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Windows Server com AD FS 2.0
    • CUCM 10.5.2

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Baixe e instale o AD FS 2.0 no Windows Server

    Etapa 1. Navegue até https://www.microsoft.com/en-us/download/details.aspx?id=10909 e clique em Continuar.

    Etapa 2. Certifique-se de selecionar o download apropriado com base no seu Windows Server.

    Etapa 3. Mova o arquivo baixado para o Windows Server.

    Etapa 4. Continue com a instalação:

    Etapa 5. Quando solicitado, selecione Servidor de Federação:

    SSO with CUCM and AD FS - Install AD FS 2.0 - Select the Federation Server option

    Etapa 6.  Algumas dependências são instaladas automaticamente - depois que isso for feito, clique em Concluir.

    Agora que o AD FS 2.0 está instalado no servidor, tem de adicionar alguma configuração.

    Configurar o AD FS 2.0 no Windows Server

    Etapa 1. Se a janela do AD FS 2.0 não tiver sido aberta automaticamente após a instalação, você poderá clicar em Iniciar e procurar o Gerenciamento do AD FS 2.0 para abri-lo manualmente.

    Etapa 2. Selecione o Assistente de Configuração do Servidor de Federação do AD FS 2.0.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select AD FS 2.0 Federation Server Configuration Wizard

    Etapa 3.  Em seguida, clique em Criar um novo Serviço de Federação.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Create a New Federation Service option

    Etapa 4. Para a maioria dos ambientes, o servidor de federação independente é suficiente.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Stand-alone Federation Server option

    Etapa 5. Em seguida, é solicitado que você selecione um certificado. Esse campo será preenchido automaticamente desde que o servidor tenha um certificado.

    SSO with CUCM and AD FS - Configure AD FS 2.0 - Specify the Federation Server Name

    Etapa 6. Se já tiver um banco de dados do AD FS no servidor, você precisará removê-lo para continuar.

    Passo 7. Finalmente, você está em uma tela de resumo na qual pode clicar em Avançar.

      

    Importar os metadados de Idp para CUCM / Baixar os metadados do CUCM

    Etapa 1. Atualize o URL com o nome de host/FQDN do servidor Windows e faça o download dos metadados do servidor AD FS - https://hostname/federationmetadata/2007-06/federationmetadata.xml

    Etapa 2. Navegue até Cisco Unified CM Administration > System > SAML Single Sign-On.

    Etapa 3. Clique em Ativar SSO SAML.

    Etapa 4. Se você receber um alerta sobre as conexões do servidor Web, clique em Continuar.

    Etapa 5. Em seguida, o CUCM instrui você a fazer o download do arquivo de metadados de seu IdP.  Neste cenário, o servidor do AD FS é o IdP e baixamos os metadados na Etapa 1, então clique em Avançar.

    Etapa 6. Clique em Browse > Select the .xml from Step 1 > Click Import IdP Metadata.

    Passo 7. Uma mensagem indica que a importação foi bem-sucedida:

    SSO with CUCM and AD FS - Import IdP Metadata - Import succeeded

    Etapa 8. Clique em Next

    Etapa 9. Agora que você tem os metadados IdP importados para o CUCM, é necessário importar os metadados do CUCM para seu IdP.

    Etapa 10. Clique em Download Trust Metadata File.

    Etapa 11. Clique em Next

    Etapa 12. Mova o arquivo .zip para o Windows Server e extraia o conteúdo para uma pasta.

    Importar dados de metadados do CUCM para o servidor AD FS 2.0 e criar regras de reivindicação

    Etapa 1. Clique em Iniciar e procure Gerenciamento do AD FS 2.0.

    Etapa 2. Clique em Obrigatório: Adicionar uma parte confiável

    Observação: se essa opção não for exibida, você precisará fechar a janela e abri-la novamente.

    Etapa 3. Quando o Assistente Add Relying Party Trust estiver aberto, clique em Start.

    Etapa 4. Aqui, você precisa importar os arquivos XML que extraiu na etapa 12.  Selecione Importar dados sobre a entidade confiadora de um arquivo, navegue até os arquivos de pasta e selecione o XML para seu editor.

    Note: Siga as etapas anteriores para qualquer servidor do Unified Collaboration no qual você pretende utilizar o SSO.

    SSO with CUCM and AD FS - Import CUCM metadata to AD FS server - Select data source

    Etapa 5. Clique em Next

    Etapa 6. Edite o nome de exibição e clique em Avançar.

    Passo 7. Selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Avançar.

    Etapa 8. Clique em Avançar novamente.

    Etapa 9. Nesta tela, certifique-se de abrir a caixa de diálogo Editar regras de reivindicação para esta confiança de terceira parte confiável quando o assistente fechar marcado e clique em Fechar.

    Etapa 10. A janela Editar regras de reivindicação é aberta:

    SSO with CUCM and AD FS - Edit Claim Rules dialog box

    Etapa 11. Nesta janela, clique em Adicionar regra.

    Etapa 12. Para modelo de regra de solicitação, selecione Enviar atributos LDAP como reivindicações e clique em Próximo.

    Etapa 13. Na próxima página, digite NameID para o nome da regra de Reivindicação.

    Etapa 14. Selecione Ative Diretory para o repositório de atributos.

    Etapa 15. Selecione SAM-Account-Name para o Atributo LDAP.

    Etapa 16. Insira uid para Tipo de Solicitação de Saída.

    Note: uid não é uma opção na lista suspensa - ela deve ser inserida manualmente.

    SSO with CUCM and AD FS - Configure Rule - Enter uid for outgoing claim type

    Etapa 17. Clique em Finish

    Etapa 18. A primeira regra está agora terminada. Clique em Adicionar regra novamente.

    Etapa 19. Selecione Enviar reivindicações usando uma regra personalizada.

    Etapa 20. Introduza um nome de regra de Reivindicação.

    Etapa 21. No campo Regra personalizada, cole este texto:

    c:[Tipo == "http://schemas.microsoft.com/ws/2008/06/identity/reivindicações/windowsaccountingname"]
     => questão(Tipo = "http://schemas.xmlsoap.org/ws/2005/05/identity/clobjetivos/nameidentifier", Emitente = c.Issuer, OriginalIssuer = c.OriginalIssuer, Valor = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identidade/propriedades/formato de responsabilidade"] = "urn:oasis:nomes:tc:SAML:2.0:nameid-format:transient", Propriedades["http://schemas.xmlsoap.org/ws/2005/05/identidades/propriedades de reivindicação/nomeequalifier"] = "http://ADFS_FEDERATION_SERVICE_NAME/com/adfs/service/trust", Propriedades["http://schemas.xmlsoap.org/ws/2005/05/Identidade/propriedades de reivindicação/qualificador de nome"] = "CUCM_ENTITY_ID");

    Etapa 22. Assegure-se de alterar AD_FS_SERVICE_NAME e CUCM_ENTITY_ID para os valores apropriados.

    Note: Se não tiver certeza sobre o nome do serviço do AD FS, siga as etapas para localizá-lo.  A ID da entidade CUCM pode ser extraída da primeira linha no arquivo de metadados CUCM.  Há um ID de entidade na primeira linha do arquivo que se parece com isto, IDentidade="1cucm1052.sckiewer.lab", você precisa inserir o valor sublinhado na seção apropriada da regra de reivindicação.

    SSO with CUCM and AD FS - Configure Rule - Define custom rule

    Etapa 23. Clique em Finish

    Etapa 24. Clique em OK.

    Note: As regras de reivindicação são necessárias para qualquer servidor de colaboração unificada no qual você pretende utilizar o SSO.

    Conclua A Habilitação SSO No CUCM E Execute O Teste SSO

    Etapa 1. Agora que o servidor AD FS está totalmente configurado, você pode voltar para CUCM.

    Etapa 2. Nós saímos na página de configuração final:

    SSO with CUCM and AD FS - CUCM Configuration - SAML Single Sign-On Configuration

    Etapa 3. Selecione o usuário final com a função de superusuários CCM padrão selecionada e clique em Executar teste SSO...

    Etapa 4. Certifique-se de que o navegador permita pop-ups e insira suas credenciais no prompt.

    SSO with CUCM and AD FS - SAML SSO configuration test succeeded

    Etapa 5. Clique em Fechar na janela pop-up e em Concluir.

    Etapa 6. Após uma breve reinicialização dos aplicativos da Web, o SSO é ativado.

    Troubleshoot

    Definir logs SSO para depuração

    Para definir os logs SSO para depuração, você precisa executar esse comando na CLI do CUCM: set samltrace level debug

    Os registros SSO podem ser baixados de RTMT. O nome do conjunto de registros é Cisco SSO.


    Localizar O Nome Do Serviço De Federação

    Para localizar o nome do serviço de federação, clique em Iniciar e procure Gerenciamento do AD FS 2.0.

    · Clique em Editar Propriedades do Serviço de Federação...
    · na guia Geral, procure o nome do Serviço de Federação

    Nome Do Certificado Sem Ponto E Do Serviço De Federação

    Se receber esta mensagem de erro no assistente de configuração do AD FS, terá de criar um novo certificado.

    O certificado selecionado não pode ser usado para determinar o nome do Serviço de Federação porque o certificado selecionado tem um nome de Assunto sem ponto (nome abreviado) (por exemplo, sinane). Selecione outro certificado sem um nome de assunto sem ponto (abreviado) (por exemplo, fs.pkinane.com) e tente novamente.

    Etapa 1. Clique em Iniciar e procure se o Gerenciador do IIS (Internet Information Services) está aberto

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Search for IIS

    Etapa 2. Clique no nome do servidor

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click server name

    Etapa 3. Clique em Certificados de servidor


    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Server Certificates

    Etapa 4. Clique em Criar certificado autoassinado

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Create Self-Signed Certificate

    Etapa 5. Insira o nome que deseja para o alias do certificado

    SSO with CUCM and AD FS - Troubleshoot dotless certificate - Specify alias name for certificate

    O tempo está fora de sincronia entre os servidores CUCM e IDP

    Se você receber esse erro ao executar o teste SSO do CUCM, precisará configurar o Windows Server para usar os mesmos servidores NTP que o CUCM.

    Resposta SAML inválida. Isso pode ser causado quando o tempo está fora de sincronia entre os servidores Cisco Unified Communications Manager e IDP. Verifique a configuração do NTP em ambos os servidores. Execute "utils ntp status" na CLI para verificar esse status no Cisco Unified Communications Manager.

    Quando o Windows Server tiver os servidores NTP corretos especificados, você precisará executar outro teste SSO e ver se o problema persiste.  Em alguns casos, é necessário ignorar o período de validade da asserção.  Mais detalhes sobre esse processo aqui.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    02-Mar-2022
    Removendo informações internas
    2.0
    15-Nov-2021
    Atualizando erros gramaticais e descrição para SEO.
    1.0
    30-May-2017
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Scott Kiewert
      Engenheiro do TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos