简介
本文档介绍如何配置Active Directory联合身份验证服务(AD FS)版本2.0,以便为思科协作产品(如Cisco Unified Communications Manager(CUCM)、Cisco Unity Connection(UCXN)、CUCM IM and Presence和Cisco Prime Collaboration)启用安全断言标记语言(SAML)单点登录(SSO)。
先决条件
要求
必须安装和测试AD FS 2.0版。
注意:本安装指南基于实验室设置,假设AD FS 2.0版仅用于具有思科协作产品的SAML SSO。如果其他关键业务应用程序使用它,则必须根据官方Microsoft文档进行必要的自定义。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- AD FS版本2.0
- Microsoft Internet Explorer 10
- CUCM 10.5版
- 思科即时消息和在线状态服务器版本10.5
- UCXN版本10.5
- 思科Prime协作调配10.5
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
下载AD FS 2.0版身份提供程序(IdP)元数据
要下载IdP元数据,请在浏览器上运行此链接:https://<ADFS的FQDN>/FederationMetadata/2007-06/FederationMetadata.xml。
下载协作服务器(SP)元数据
CUCM即时消息和在线状态服务
打开Web浏览器,以管理员身份登录CUCM,然后导航到System > SAML Single Sign On。
Unity Connection
打开Web浏览器,以管理员身份登录UCXN,然后导航到系统设置> SAML单点登录。
Cisco Prime协作调配
打开Web浏览器,以globaladmin身份登录Prime Collaboration Assurance,然后导航到Administration > System Setup > Single Sign On。
将CUCM添加为信赖方信任
- 登录AD FS服务器并从Microsoft Windows程序菜单启动AD FS版本2.0。
- 选择添加信赖方信任。

- 单击开始。

- 选择Import data about the relying party from a file选项,选择之前从CUCM下载的SPMetadata_CUCM.xml元数据文件,然后点击Next。

- 输入显示名称,然后单击下一步。

- 选择Permit all users to access this relying party,然后单击Next。

- 在向导关闭时,为信赖方信任选择打开“编辑声明规则”对话框,然后单击“关闭”。

- 单击Add Rule。

- 点击Next,默认声明规则模板设置为Send LDAP Attributes as Claims。

- 在Configure Rule中,输入Claim规则名称,选择Active Directory作为属性存储,配置LDAP Attribute和Outgoing Claim Type(如本图所示),然后单击Finish。
注意:
— 轻量级目录访问协议(LDAP)属性应与CUCM上的目录同步属性匹配。
- “uid”应使用小写。

- 单击Add Rule,选择Send Claims Using a Custom Rule作为声明规则模板,然后单击Next。


- 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下提供的空白处复制此语法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
(注:如果复制并粘贴这些示例中的文本,请注意某些字处理软件将用UNICODE版本("")替换ASCII引号(")。UNICODE版本将导致声明规则失败。)

注意:
— 在本示例中,CUCM和ADFS完全限定域名(FQDN)已预填充了实验CUCM和AD FS,必须修改以匹配您的环境。
- CUCM/ADFS的FQDN区分大小写,必须与元数据文件匹配。
- 单击 完成。
- 依次单击应用和确定。
- 从Services.msc重新启动AD FS版本2.0服务。
将CUCM IM and Presence添加为信赖方信任
- 按照将CUCM添加为信赖方信任的说明重复步骤1到11,然后继续步骤2。
- 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下提供的空白处复制此语法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");

请注意,本示例中的IM and Presence和AD FS FQDN预填充了实验IM and Presence和AD FS,必须进行修改以匹配您的环境。
- 单击 完成。
- 依次单击应用和确定。
- 从Services.msc重新启动AD FS版本2.0服务。
添加UCXN作为信赖方信任
- 按照将CUCM添加为信赖方信任的说明重复步骤1到12,然后继续步骤2。
- 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下指定的空间中复制此语法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");

请注意,本示例中的UCXN和AD FS FQDN预填充了实验UCXN和ADFS,必须对其进行修改才能与您的环境相匹配。
- 单击 完成。
- 依次单击应用和确定。
- 从Services.msc重新启动AD FS版本2.0服务。
将Cisco Prime协作调配添加为信赖方信任
- 按照将CUCM添加为信赖方信任的说明重复步骤1到12,然后继续步骤2。
- 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下指定的空间中复制此语法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");

请注意,Prime调配和AD FS FQDN已预填充本示例中的实验Prime协作调配(PCP)和AD FS,必须进行修改以匹配您的环境。
- 单击 完成。
- 依次单击应用和确定。
- 从Services.msc重新启动AD FS版本2.0服务。
设置AD FS版本2.0后,请继续启用思科协作产品上的SAML SSO。
验证
当前没有可用于此配置的验证过程。
故障排除
AD FS将诊断数据记录到系统事件日志。 从AD FS服务器上的服务器管理器打开Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin
查找AD FS活动记录的错误
