SAML SSO的AD FS版本2.0设置配置示例

下载选项

  • PDF     (1.9 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.5 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 2 月 27 日
文档 ID:118771

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置Active Directory联合身份验证服务(AD FS)版本2.0,以便为思科协作产品(如Cisco Unified Communications Manager(CUCM)、Cisco Unity Connection(UCXN)、CUCM IM and Presence和Cisco Prime Collaboration)启用安全断言标记语言(SAML)单点登录(SSO)。

    先决条件

    要求

    必须安装和测试AD FS 2.0版。

    注意:本安装指南基于实验室设置,假设AD FS 2.0版仅用于具有思科协作产品的SAML SSO。如果其他关键业务应用程序使用它,则必须根据官方Microsoft文档进行必要的自定义。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • AD FS版本2.0
    • Microsoft Internet Explorer 10
    • CUCM 10.5版
    • 思科即时消息和在线状态服务器版本10.5
    • UCXN版本10.5
    • 思科Prime协作调配10.5

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

    配置

    下载AD FS 2.0版身份提供程序(IdP)元数据

    要下载IdP元数据,请在浏览器上运行此链接:https://<ADFS的FQDN>/FederationMetadata/2007-06/FederationMetadata.xml。

    下载协作服务器(SP)元数据

    CUCM即时消息和在线状态服务

    打开Web浏览器,以管理员身份登录CUCM,然后导航到System > SAML Single Sign On

    Unity Connection

    打开Web浏览器,以管理员身份登录UCXN,然后导航到系统设置> SAML单点登录

    Cisco Prime协作调配

    打开Web浏览器,以globaladmin身份登录Prime Collaboration Assurance,然后导航到Administration > System Setup > Single Sign On

    将CUCM添加为信赖方信任

    1. 登录AD FS服务器并从Microsoft Windows程序菜单启动AD FS版本2.0。

    2. 选择添加信赖方信任

      Add Relying Party Trust



    3. 单击开始。

      Welcome to the Add Relying Party Trust Wizard



    4. 选择Import data about the relying party from a file选项,选择之前从CUCM下载的SPMetadata_CUCM.xml元数据文件,然后点击Next。

      Select the data source



    5. 输入显示名称,然后单击下一步

      Add the display name and notes



    6. 选择Permit all users to access this relying party,然后单击Next。

      Choose Issuance Authorization Rules



    7. 在向导关闭时,为信赖方信任选择打开“编辑声明规则”对话框,然后单击“关闭”。

      Confirmation that the Relying Party Trust was successfully added



    8. 单击Add Rule

      Edit Issuance Transform Rules



    9. 点击Next,默认声明规则模板设置为Send LDAP Attributes as Claims

      Choose the rule template



    10. 在Configure Rule中,输入Claim规则名称,选择Active Directory作为属性存储,配置LDAP AttributeOutgoing Claim Type(如本图所示),然后单击Finish

      注意:
      — 轻量级目录访问协议(LDAP)属性应与CUCM上的目录同步属性匹配。
      - “uid”应使用小写。



      Configure the rule name and template



    11. 单击Add Rule,选择Send Claims Using a Custom Rule作为声明规则模板,然后单击Next

      List of claim rules



      Choose the rule type



    12. 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下提供的空白处复制此语法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (注:如果复制并粘贴这些示例中的文本,请注意某些字处理软件将用UNICODE版本("")替换ASCII引号(")。UNICODE版本将导致声明规则失败。)


      Configure a custom rule for CallManager



      注意:
        — 在本示例中,CUCM和ADFS完全限定域名(FQDN)已预填充了实验CUCM和AD FS,必须修改以匹配您的环境。
      - CUCM/ADFS的FQDN区分大小写,必须与元数据文件匹配。



    13. 单击 完成

    14. 依次单击应用和确定。

    15. Services.msc重新启动AD FS版本2.0服务。

    将CUCM IM and Presence添加为信赖方信任

    1. 按照将CUCM添加为信赖方信任的说明重复步骤1到11,然后继续步骤2。

    2. 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下提供的空白处复制此语法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      Configure a custom rule for IMP




      请注意,本示例中的IM and Presence和AD FS FQDN预填充了实验IM and Presence和AD FS,必须进行修改以匹配您的环境。

    3. 单击 完成

    4. 依次单击应用和确定。

    5. Services.msc重新启动AD FS版本2.0服务。

    添加UCXN作为信赖方信任

    1. 按照将CUCM添加为信赖方信任的说明重复步骤1到12,然后继续步骤2。

    2. 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下指定的空间中复制此语法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      Configure a custom rule for ICXN



      请注意,本示例中的UCXN和AD FS FQDN预填充了实验UCXN和ADFS,必须对其进行修改才能与您的环境相匹配。

    3. 单击 完成

    4. 依次单击应用和确定。

    5. Services.msc重新启动AD FS版本2.0服务。

    将Cisco Prime协作调配添加为信赖方信任

    1. 按照将CUCM添加为信赖方信任的说明重复步骤1到12,然后继续步骤2。

    2. 输入声明规则名称的名称,并在“自定义规则”(Custom rule)下指定的空间中复制此语法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      Configure a custom rule for PCP



      请注意,Prime调配和AD FS FQDN已预填充本示例中的实验Prime协作调配(PCP)和AD FS,必须进行修改以匹配您的环境。

    3. 单击 完成

    4. 依次单击应用和确定。

    5. Services.msc重新启动AD FS版本2.0服务。


    设置AD FS版本2.0后,请继续启用思科协作产品上的SAML SSO。

    验证

    当前没有可用于此配置的验证过程。

    故障排除

    AD FS将诊断数据记录到系统事件日志。  从AD FS服务器上的服务器管理器打开Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin

    查找AD FS活动记录的错误

    Server Manager Event display

    修订历史记录

    版本 发布日期 备注
    1.0
    20-Jan-2015
    初始版本
    TAC Authored

    由思科工程师提供

    • A M马赫什·巴布
      思科TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品