安装和配置思科身份服务(IdS)的Shibboleth身份提供程序(IdP)以启用SSO

下载选项

PDF (537.6 KB)
在各种设备上使用 Adobe Reader 查看
ePub (83.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (71.4 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2017 年 8 月 13 日

文档 ID:211578

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍在OpenAM身份提供程序(IdP)上启用单点登录(SSO)的配置。

思科IdS部署模式

产品	部署
UCCX	并存
PCCE	与CUIC(Cisco Unified Intelligence Center)和LD（实时数据）共存
UCCE	与CUIC和LD共存，进行2000部署。独立式，适用于4k和12k部署。

先决条件

要求

Cisco 建议您了解以下主题：

Cisco Unified Contact Center Express(UCCX)版本11.6或Cisco Unified Contact Center Enterprise版本11.6或Packaged Contact Center Enterprise(PCCE)版本11.6（如果适用）。

注意：本文档引用有关思科身份识别服务(IdS)和身份提供方(IdP)的配置。文档在屏幕截图和示例中引用UCCX，但配置与思科身份识别服务(UCCX/UCCE/PCCE)和IdP相似。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

Install（安装）

Shibboleth是一个开源项目，它提供单点登录功能，允许站点以隐私保护的方式对受保护在线资源的单独访问做出明智的授权决策。它支持安全断言标记语言(SAML2)。 IdS是SAML2客户端，应该支持Shibboleth，只需对IdS进行极少更改或不更改。在11.6中，IdS适用于使用Shiboleth IdP。

注意：本文档将Shiboleth版本3.3.0作为通过SSO进行资格审批的一部分

系统要求

组件	详细信息
Shiboleth版本	v3.3.0
下载位置	http://shibboleth.net/downloads/identity-provider/
安装平台	Ubuntu 14.0.4 java版本“1.8.0_121”
轻量级目录访问协议(LDAP)版本	Active Directory 2.0
Shiboleth Webserver	Apache Tomcat/8.5.12

请参阅Shiboleth安装维基

https://wiki.shibboleth.net/confluence/display/IDP30/Installation

配置

与LDAP服务器集成

要将LDAP服务器与Shibboleth集成，需要在$Shibboleth_home/conf/ldap.properties 中更新字段，其中$Shibboleth_home（默认值为/opt/shibboleth-idp）是指安装Shibboleth时使用的安装目录。

字段	期望值	描述
idp.authn.LDAP.trustCertificates	用于加载信任锚点的资源，通常是${idp.home}/credentials中的本地文件其中，idp.home是在setenv.sh中导出为JAVA_OPTS的环境变量	%{idp.home}/credentials/ldap-server.crt
idp.authn.LDAP.trustStore	用于加载包含信任锚点的Java密钥库的资源，通常是%{idp.home}/credentials中的本地文件	%{idp.home}/credentials/ldap-server.truststore
idp.authn.LDAP.returnAttributes	需要返回的LDAPAattributes的逗号分隔列表。如果要返回所有属性，请添加“*”。	*
idp.authn.LDAP.baseDN	需要执行LDAP搜索的基本DN	CN=users，DC=cisco，DC=com
idp.authn.LDAP.subtreeSearch	是否递归搜索	true
idp.authn.LDAP.userFilter	LDAP搜索过滤器	(sAMAccountName={user})*
idp.authn.LDAP.bindDN	执行搜索时要绑定的DN	administrator@cisco.com
idp.authn.LDAP.bindDNCredential	执行搜索时要绑定的密码
idp.authn.LDAP.dnFormat	用于生成用户DN以进行身份验证的格式字符串	%s@adfsserver.cisco.com (%s@domainname)
idp.authn.LDAP.authenticator	控制如何针对LDAP进行身份验证的工作流程	bindSearchAuthenticator
idp.authn.LDAP.ldapURL	LDAP目录的连接URI

有关详细信息，请参阅：

https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration

示例配置文件

              #等待时间（以毫秒为单位） 对于响应
             
              #idp.authn.LDAP.responseTimeout = PT3S
             
              ## SSL配置，jvmTrust、certificateTrust或keyStoreTrust
             
              #idp.authn.LDAP.sslConfig = certificateTrust
             
              ##如果使用上面的certificateTrust，请设置为受信任证书的路径
             
              idp.authn.LDAP.trustCertificates = %{idp.home}/credentials/ldap-server.crt
             
              ##如果使用上述keyStoreTrust，请设置为信任库路径
             
              idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
             
              ##身份验证期间返回属性
             
              #idp.authn.LDAP.returnAttributes = userPrincipalName、sAMAccountName
             
              idp.authn.LDAP.returnAttributes = *
             
              ## DN解析属性##
             
              #搜索DN解析，由anonSearchAuthenticator、bindSearchAuthenticator使用
             
              # 对于广告：CN=Users，DC=example，DC=org
             
              idp.authn.LDAP.baseDN = CN=users，DC=cisco，DC=com
             
              idp.authn.LDAP.subtreeSearch = true
             
              *idp.authn.LDAP.userFilter =(sAMAccountName={user})*
             
              #绑定搜索配置
             
              # 对于广告：idp.authn.LDAP.bindDN=adminuser@domain.com
             
              idp.authn.LDAP.bindDN =管理员@cisco.com
             
              idp.authn.LDAP.bindDNCredential =思科@123
             
              #格式化DN解析，由directAuthenticator和adAuthenticator使用
             
              # 对于AD使用idp.authn.LDAP.dnFormat=%s@domain.com
             
              #idp.authn.LDAP.dnFormat = %s@adfsserver.cisco.com
             
              # LDAP属性配置，请参阅attribute-resolver.xml
             
              #请注意， 此很可能不适用于传统V2解析器配置
             
              idp.attribute.resolver.LDAP.ldapURL = %{idp.authn.LDAP.ldapURL}
             
              idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
             
              idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
             
              idp.attribute.resolver.LDAP.baseDN = %{idp.authn.LDAP.baseDN:undefined}
             
              idp.attribute.resolver.LDAP.bindDN = %{idp.authn.LDAP.bindDN:undefined}
             
              idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
             
              idp.attribute.resolver.LDAP.useStartTLS = %{idp.authn.LDAP.useStartTLS:true}
             
              idp.attribute.resolver.LDAP.trustCertificates = %{idp.authn.LDAP.trustCertificates:undefined}
             
              idp.attribute.resolver.LDAP.searchFilter =(sAMAccountName=$resolutionContext.principal)

允许来自所有客户端的请求

为了确保来自所有客户端的请求都能到达，"$shibboleth_home/conf/access-control.xml"中需要进行更改

将'0.0.0.0/0'添加到允许的范围。这允许来自任何ip范围的请求。

配置Shiboleth以与IdS集成

IdS中的安全散列算法(SHA1)和加密配置

要将Id配置为默认的SHA1，请打开“$shibboleth_home/conf/idp.properties”并进行设置：

idp.signing.config = shiboleth.SigningConfiguration.SHA1

此配置也可更改：

idp.encryption.optional = true

如果将其设置为true，则在启用时，找不到要使用的加密密钥不会导致请求失败。此h有助于进行“机会式”加密，即尽可能进行加密（在对等体的元数据中发现要加密的兼容密钥），否则跳过加密。

配置SAML响应的uid和user_principal

AttributeDefinition添加在"$shibboleth_home/conf/attribute-resolver.xml"中，以将sAMAccountName和userPrincipalName映射到SAML响应中的to uid和user_principal。

此外，添加带有标记<DataConnector>的ldap连接器设置。

注意：ReturnAttributes需要使用值“sAMAccountName userPrincipalName”来指定。

注意：如果与Active Directory(AD)集成，则必须使用LDAPProperty。


 
 
 

 

 
 
 

 
    
        
            
                %{idp.attribute.resolver.LDAP.searchFilter}
            
        
      sAMAccountName userPrincipalName

在“$shibboleth_home/conf/attribute-filter.xml”中合并更改

将“$shibboleth_home/conf/saml-nameid.xml”更改为包含

IdP元数据

IdP元数据在文件夹“$shibboleth_home/metadata”中可用。 idp-metadata.xml文件可以通过应用程序编程接口(API)上载到IdS

PUT https://<idshost>:<idsport>/ids/v1/config/idpmetadata

其中dissport不可配置实体且值为“8553”

警告：Shibboleth元数据可以包含2个签名证书、常规签名证书和backchannel。导航到"$shibboleth_home/credentials"中的文件idp-backchannel.crt以标识备用通道证书。如果备用通道证书在元数据中可用，则应在上载到IdS之前从元数据xml中删除备用通道证书。这是因为IdS使用的Fedlet 12.0库在元数据中仅支持一个证书。如果有多个签名证书可用，则Fedlet使用第一个可用证书。

配置元数据提供程序

我们需要使用$shibboleth_home/metadata-providers.xml中的条目配置元数据提供程序。

<MetadataProvider id="smart-86"  xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>

其中"id"属性可以是任何唯一名称。

此条目表示已使用给定ID注册元数据提供程序，并且元数据在指定文件/opt/shibboleth-idp/SP/sp.xml中可用。

必须将IdS的服务提供程序(SP)元数据复制到条目中指定的元数据文件。

注意：IdS的SP元数据可以通过GET https://<idshost>:<idsport>/ids/v1/config/spmetadata检索，其中idsport不是可配置的实体，其值为“8553”。

SSO的进一步配置

本文档从SSO的IdP方面描述了要与思科身份服务集成的配置。有关详细信息，请参阅各个产品配置指南：

修订历史记录

版本	发布日期	备注
1.0	17-Aug-2017	初始版本

由思科工程师提供

阿伦迪普·纳加拉什
思科TAC
巴拉克里希南·多赖沙米
思科工程部
文卡特什·韦杜鲁穆迪
思科工程部

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)

本文档适用于以下产品

Unified Contact Center Express