Exemplo de configuração do SSO SAML do Unified Communications Manager versão 10.5

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de março de 2018
ID do documento:118770

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar e verificar o SSO (Single Sign-on, login único) do SAML (Security Assertion Markup Language) para o Cisco Unified Communications Manager (CUCM).

Prerequisites

Requirements

Configuração do Network Time Protocol (NTP)

Para que o SSO SAML funcione, você deve instalar a configuração NTP correta e certificar-se de que a diferença de tempo entre o Provedor de identidade (IdP) e os aplicativos de comunicações unificadas não exceda três segundos.

Se houver uma incompatibilidade de tempo entre o CUCM e o IdP, você receberá este erro: "Resposta SAML inválida." Esse erro pode ser causado quando o tempo está fora de sincronia entre os servidores CUCM e IdP. Para que o SSO SAML funcione, você deve instalar a configuração NTP correta e certificar-se de que a diferença de tempo entre o IdP e os aplicativos de Comunicações Unificadas não exceda três segundos.

Para obter informações sobre como sincronizar relógios, consulte a seção Configurações do NTP no Guia de Administração do Sistema Operacional do Cisco Unified Communications.

Configuração do Domain Name Server (DNS)

Os aplicativos de Comunicações Unificadas podem usar DNS para resolver nomes de domínio totalmente qualificados (FQDNs) para endereços IP. Os provedores de serviços e o IdP devem ser resolvidos pelo navegador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ative Diretory Federation Service (AD FS) Versão 2.0 como IdP
  • CUCM versão 10.5 como provedor de serviços
  • Microsoft Internet Explorer 10

Caution: Este documento é baseado em um CUCM recém-instalado. Se você configurar o SSO SAML em um servidor já em produção, talvez seja necessário ignorar algumas das etapas de acordo. Você também deve entender o impacto do serviço se executar as etapas no servidor de produção. É recomendável executar este procedimento durante horários não comerciais.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O SAML é um formato de dados padrão aberto baseado em XML que permite que os administradores acessem um conjunto definido de aplicativos de colaboração da Cisco de forma transparente depois de se conectarem a um desses aplicativos. O SSO SAML estabelece um Circle of Trust (CoT) quando troca metadados como parte do processo de provisionamento entre o IdP e o provedor de serviços. O provedor de serviços confia nas informações do usuário do IdP para fornecer acesso aos vários serviços ou aplicativos.

Note: Os provedores de serviços não estão mais envolvidos na autenticação. O SAML Versão 2.0 delega a autenticação fora dos provedores de serviços e para os IdPs. O cliente se autentica em relação ao IdP e o IdP concede uma Asserção ao cliente. O cliente apresenta a Asserção ao provedor de serviços. Como há uma CoT estabelecida, o provedor de serviços confia na Asserção e concede acesso ao cliente.

Configurar

Diagrama de Rede

Configurando diretórios

  1. Escolha Cisco Unified CM Administration > System > LDAP > LDAP System.



  2. Clique em Adicionar novo.

  3. Configure o tipo e o atributo do servidor Lightweight Diretory Access Protocol (LDAP).

  4. Escolha Habilitar sincronização do servidor LDAP.



  5. Escolha Cisco Unified CM Administration > System > LDAP > LDAP Diretory.

  6. Configure estes itens:

    • Configurações de conta de diretório LDAP
    • Atributos de usuário a serem sincronizados
    • Agenda de sincronização
    • Nome de host do servidor LDAP ou endereço IP e número de porta




  7. Desmarque Usar SSL se não quiser usar SSL (Secure Socket Layer) para se comunicar com o diretório LDAP.

    Tip: Se você quiser configurar LDAP sobre SSL, carregue o certificado de diretório LDAP no CUCM. Consulte o conteúdo do diretório LDAP no Cisco Unified Communications Manager SRND para obter informações sobre o mecanismo de sincronização de conta para produtos LDAP específicos e as práticas recomendadas gerais para sincronização LDAP.



  8. Clique em Salvar e Executar Sincronização Completa Agora.

    Note: Certifique-se de que o serviço Cisco DirSync esteja habilitado na página da Web Serviceability antes de clicar em Salvar.





  9. Navegue até Gerenciamento de usuário > Usuário final e selecione um usuário ao qual você deseja dar a função Administrativa do CUCM (este exemplo seleciona SSO de usuário).



  10. Role para baixo até Permissions Information (Informações de permissão) e clique em Add to Access Control Group (Adicionar ao grupo de controle de acesso). Selecione Superusuários do CCM padrão, clique em Adicionar selecionados e clique em Salvar.

Ativar SSO SAML

  1. Efetue login na interface de usuário do CUCM Administration.

  2. Escolha System > SAML Single Sign-On e a janela SAML Single Sign-On Configuration será aberta.



  3. Para ativar o SSO SAML no cluster, clique em Ativar SSO SAML.



  4. Na janela Redefinir aviso, clique em Continuar.



  5. Na tela SSO, clique em Procurar para importar o arquivo XML dos metadados IdP (FederationMetadata.xml) com a etapa Download de metadados IdP.



  6. Depois que o arquivo de metadados for carregado, clique em Importar Metadados do IdP para importar as informações do IdP para o CUCM. Confirme se a importação foi bem-sucedida e clique em Avançar para continuar.





  7. Clique em Download Trust Metadata File (opcional) para salvar os metadados CUCM e CUCM IM e Presence em uma pasta local e vá para Add CUCM as Confiança de terceira parte. Quando a configuração do AD FS for concluída, vá para a Etapa 8.



  8. Selecione SSO como o usuário administrativo e clique em Executar teste SSO.



  9. Ignore os avisos de certificado e continue. Quando for solicitado que você forneça as credenciais, digite o nome de usuário e a senha para o SSO do usuário e clique em OK.



    Note: Este exemplo de configuração é baseado em certificados autoassinados do CUCM e do AD FS. Caso você use certificados da autoridade de certificação (CA), os certificados apropriados devem ser instalados no AD FS e no CUCM. Consulte Gerenciamento e Validação de Certificados para obter mais informações.



  10. Depois que todas as etapas forem concluídas, o "Teste SSO bem-sucedido!" é exibida. Clique em Fechar e Concluir para continuar. Você concluiu com êxito as tarefas de configuração para ativar SSO no CUCM com o AD FS.



  11. Como o CUCM IM and Presence age como o CUCM Subscriber, você deve configurar Add CUCM IM and Presence como Confiança de terceira parte confiável e, em seguida, executar Run SSO Test para ativar o SAML SSO da própria página CUCM SAML SSO.

    Note: Se você configurar os arquivos XML de metadados de todos os nós no IdP e ativar a operação SSO em um nó, o SSO SAML será ativado em todos os nós no cluster.



    O AD FS deve ser configurado para todos os nós do CUCM e CUCM IM e Presence em um cluster como Parte de Transmissão.

    Tip: Você também deve configurar o Cisco Unity Connection e o CUCM IM e Presence para SAML SSO se quiser usar a experiência SAML SSO para Cisco Jabber Clients.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Abra um navegador da Web e digite o FQDN para CUCM.

  2. Clique em Cisco Unified Communications Manager.

  3. Selecione o aplicativo Web (CM Administration/Unified Serviceability/ Cisco Unified Reporting) e pressione Go; em seguida, você deverá receber as credenciais do AD FS. Depois de inserir as credenciais do SSO do usuário, você está conectado com êxito no aplicativo Web selecionado (página Administração do CM , página Unified Serviceability, Cisco Unified Reporting).



    Note: O SSO SAML não permite o acesso a estas páginas:
               - Prime Licensing Manager
               - Administração do SO
               - Sistema de recuperação de desastres

Troubleshoot

Se você não puder habilitar o SAML e não puder fazer login, use a nova opção em Aplicativos instalados chamados URL de recuperação para ignorar o SSO (Single Sign-on, logon único), que pode ser usada para fazer login com as credenciais criadas durante a instalação ou com os usuários administrativos do CUCM criados localmente.

Para Troubleshooting adicional, consulte Troubleshooting SAML SSO para Produtos de Colaboração 10.x.

TAC Authored

Colaborado por engenheiros da Cisco

  • A M Mahesh Babu
    Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos