AD为SAML SSO配置示例设置的FS版本2.0

简介

本文描述如何配置活动目录联邦服务(AD FS)版本2.0为了启用安全断言标记语言(SAML)单一登录(SSO) Cisco协作产品的类似Cisco Unified Communications Manager (CUCM)， Cisco Unity Connection (UCXN)， CUCM IM和在线状态和Cisco头等协作。

先决条件

要求

AD必须安装和测试FS版本2.0。

Caution:此安装指南根据实验室设置，并且AD FS版本2.0假设仅使用SAML SSO用Cisco协作产品。万一其他商业关键应用使用它，然后必要的自定义必须根据正式Microsoft文档完成。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• AD FS版本2.0
• 微软Internet Explorer 10
• CUCM版本10.5
• Cisco IM和Presence Server版本10.5
• UCXN版本10.5
• 思科设置10.5的最初协作

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

下载AD FS版本2.0标识供应商(IdP)元数据

为了下载IdP元数据，请运行在您的此链路浏览器：https:// ADFS>/FederationMetadata/2007-06/FederationMetadata.xml <FQDN。

下载Collaboration Server (SP)元数据

CUCM IM和在线状态服务

打开Web浏览器，登录CUCM作为管理员，并且导航对系统> SAML单个符号。

Unity Connection

打开Web浏览器，登录UCXN作为管理员，并且导航对系统设置> SAML单个符号。

思科最初协作供应

打开Web浏览器，登录头等协作保证作为globaladmin，并且导航对设置的管理>System >单个符号。

添加CUCM，取决于Party托拉斯

1. 登录从Microsoft Windows程序菜单的AD FS服务器和启动AD FS版本2.0。
   
   
2. 选择添加取决于Party托拉斯。
   
   

   

   
   
   
3. 单击开始。
   
   

   

   
   
   
4. 选择关于取决于的当事人的导入数据从文件选项，选择您从CUCM下载前的SPMetadata_CUCM.xml元数据文件，并且其次单击。
   
   

   

   
   
   
5. 输入显示名称并且其次单击。
   
   

   

   
   
   
6. 选择Permit所有用户访问此取决于的当事人并且其次单击。
   
   

   

   
   
   
7. 选择开放取决于当事人信任的thee的编辑声明规则对话，当向导关闭时并且点击Close。
   
   

   

   
   
   
8. 单击增加规则。
   
   

   

   
   
   
9. 用默认声明设置的规则模板其次单击发送LDAP属性作为要求。
   
   

   

   
   
   
10. 在请配置规则，输入声明规则名称，选择活动目录，当如此镜像所显示，属性存储，配置LDAP属性和流出的声明类型，并且点击芬通社。
    
    

    Note:
    -轻量级目录访问协议(LDAP)属性应该匹配在CUCM的目录同步属性。
    - “uid”应该用小写。

    
    
    

    

    
    
    
11. 单击增加规则，选择发送要求使用海关规则，声明规则模板，并且其次单击。
    
    

    

    
    
    

    

    
    
    
12. 输入一名称对于声明规则名称并且复制在根据海关规则给的空间的此语法：
    
    

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");

    (注意: 如果复制和插入从这些示例的文本，请注意若干文字处理软件将替代ASCII引号(")与UNICODE版本("")。 UNICODE版本将导致声明规则发生故障。)
    
    
    

    

    
    
    

    Note:
     - CUCM和ADFS完全合格的域名(FQDN)事前填充与实验室CUCM和AD FS在本例中，并且必须修改匹配您的环境。
    - CUCM/ADFS FQDN区分大小写，并且必须用元数据文件匹配。

    
    
    
13. 单击 完成。
    
    
14. 依次单击应用和确定。
    
    
15. 重新启动从Services.msc的AD FS版本2.0服务。

添加CUCM IM和在线状态，取决于Party托拉斯

1. 重复步骤1到11如描述为Add CUCM，取决于Party托拉斯并且继续对步骤2。
   
   
2. 输入一名称对于声明规则名称并且复制在根据海关规则给的空间的此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");

   
   
   

   

   
   
   
   注意IM和在线状态和AD FS FQDN事前填充与实验室IM和在线状态和AD FS在本例中，并且必须修改匹配您的环境。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 重新启动从Services.msc的AD FS版本2.0服务。

添加UCXN，取决于Party托拉斯

1. 重复步骤1到12如描述为Add CUCM，取决于Party托拉斯并且继续对步骤2。
   
   
2. 输入一名称对于声明规则名称并且复制在根据海关规则给的空间的此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");

   
   
   

   

   
   
   注意UCXN和AD FS FQDN事前填充与在本例中的实验室UCXN和ADFS，并且必须修改匹配您的环境。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 重新启动从Services.msc的AD FS版本2.0服务。

添加思科头等协作供应，取决于Party托拉斯

1. 重复步骤1到12如描述为Add CUCM，取决于Party托拉斯并且继续对步骤2。
   
   
2. 输入一名称对于声明规则名称并且复制在根据海关规则给的空间的此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");

   
   
   

   

   
   
   注意最初供应和AD FS FQDN事前填充与实验室最初协作供应(PCP)和从此示例的AD FS，并且必须修改匹配您的环境。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 重新启动从Services.msc的AD FS版本2.0服务。

一旦设置AD FS版本2.0，请继续对enable (event)在Cisco协作产品的SAML SSO。

验证

当前没有可用于此配置的验证过程。

故障排除

AD FS记录诊断数据对系统事件日志。 从AD FS服务器的服务器管理器请打开诊断- > Event Viewer - >应用程序和服务- > AD FS 2.0 - > Admin

寻找为AD FS活动记录的错误