用於SAML SSO的AD FS 2.0版設定配置示例

下載選項

  • PDF     (1.9 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.5 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 2 月 27 日
文件 ID:118771

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文說明如何配置Active Directory聯合身份驗證服務(AD FS)版本2.0,以便為思科合作產品(如Cisco Unified Communications Manager(CUCM)、Cisco Unity Connection(UCXN)、CUCM IM and Presence和Cisco Prime Collaboration)啟用安全斷言標籤語言(SAML)單一登入(SSO)。

    必要條件

    需求

    必須安裝並測試AD FS 2.0版。

    注意:本安裝指南基於實驗室設定,假設AD FS 2.0版僅用於帶有Cisco Collaboration產品的SAML SSO。如果其他業務關鍵型應用程式使用它,則必須根據官方Microsoft文檔進行必要的自定義。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • AD FS版本2.0
    • Microsoft Internet Explorer 10
    • CUCM版本10.5
    • Cisco IM和狀態伺服器版本10.5
    • UCXN版本10.5
    • Cisco Prime合作布建10.5

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

    設定

    下載AD FS 2.0版身份提供程式(IdP)後設資料

    若要下載IdP後設資料,請在瀏覽器上運行此連結:https://<ADFS的FQDN>/FederationMetadata/2007-06/FederationMetadata.xml。

    下載合作伺服器(SP)後設資料

    CUCM IM和狀態服務

    開啟Web瀏覽器,以管理員身份登入CUCM,然後導航至System > SAML Single Sign On

    Unity Connection

    開啟Web瀏覽器,以管理員身份登入UCXN,然後導航至系統設定>SAML單一登入

    Cisco Prime合作布建

    開啟Web瀏覽器,以globaladmin身份登入到Prime Collaboration Assurance,然後導航到Administration > System Setup > Single Sign On

    將CUCM新增為信賴方信任

    1. 登入到AD FS伺服器,然後從Microsoft Windows程式選單啟動AD FS版本2.0。

    2. 選擇新增信賴方信任

      Add Relying Party Trust



    3. 按一下「Start」。

      Welcome to the Add Relying Party Trust Wizard



    4. 選擇Import data about the relisting party from a file選項,選擇之前從CUCM下載的SPMetadata_CUCM.xml後設資料檔案,然後按一下Next

      Select the data source



    5. 輸入顯示名稱,然後按一下下一步

      Add the display name and notes



    6. 選擇允許所有使用者訪問此信賴方,然後按一下下一步。

      Choose Issuance Authorization Rules



    7. 選擇嚮導關閉時為信賴方信任開啟「編輯宣告規則」對話方塊,然後單擊「關閉」。

      Confirmation that the Relying Party Trust was successfully added



    8. 按一下「Add Rule」。

      Edit Issuance Transform Rules



    9. 按一下Next,預設宣告規則模板設定為Send LDAP Attributes as Claims

      Choose the rule template



    10. 在Configure Rule中,輸入宣告規則名稱,選擇Active Directory作為屬性儲存,配置LDAP AttributeOutgoing Claim Type(如下圖所示),然後按一下Finish

      附註:
      — 輕型目錄訪問協定(LDAP)屬性應與CUCM上的目錄同步屬性匹配。
      - 「uid」應使用小寫。



      Configure the rule name and template



    11. 按一下Add Rule,選擇Send Claims Using a Custom Rule作為宣告規則模板,然後按一下Next

      List of claim rules



      Choose the rule type



    12. 輸入宣告規則名稱的名稱,並在Custom rule下提供的空格中複製以下語法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (註:如果複製並貼上來自這些示例的文本,請注意某些字處理軟體將用UNICODE版本("")替換ASCII引號(")。UNICODE版本將導致宣告規則失敗。)


      Configure a custom rule for CallManager



      附註:
        — 在此示例中,CUCM和ADFS完全限定域名(FQDN)預填充了實驗CUCM和AD FS,必須對其進行修改以匹配您的環境。
      - CUCM/ADFS的FQDN區分大小寫,必須與後設資料檔案匹配。



    13. 按一下「Finish」(結束)。

    14. 按一下「Apply」,然後「OK」。

    15. Services.msc重新啟動AD FS版本2.0服務。

    將CUCM IM和線上狀態新增為信賴方信任

    1. 按照將CUCM新增為信賴方信任的說明,重複步驟1至11,然後繼續執行步驟2。

    2. 輸入宣告規則名稱的名稱,並在Custom rule下提供的空格中複製以下語法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      Configure a custom rule for IMP




      請注意,本示例中的IM and Presence和AD FS FQDN預填充了實驗IM and Presence和AD FS,必須對其進行修改以匹配您的環境。

    3. 按一下「Finish」(結束)。

    4. 按一下「Apply」,然後「OK」。

    5. Services.msc重新啟動AD FS版本2.0服務。

    將UCXN新增為信賴方信任

    1. 按照將CUCM新增為信賴方信任的說明,重複步驟1至12,然後繼續執行步驟2。

    2. 為宣告規則名稱輸入一個名稱,並在自定義規則下提供的空白處復制以下語法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      Configure a custom rule for ICXN



      請注意,在此示例中,UCXN和AD FS FQDN預填充了實驗UCXN和ADFS,必須對其進行修改才能與您的環境匹配。

    3. 按一下「Finish」(結束)。

    4. 按一下「Apply」,然後「OK」。

    5. Services.msc重新啟動AD FS版本2.0服務。

    將Cisco Prime合作調配新增為信賴方信任

    1. 按照將CUCM新增為信賴方信任的說明,重複步驟1至12,然後繼續執行步驟2。

    2. 輸入宣告規則名稱的名稱,並在Custom rule下提供的空白處復制此語法:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      Configure a custom rule for PCP



      請注意,Prime Provisioning和AD FS FQDN已預填充本示例中的實驗室Prime Collaboration Provisioning(PCP)和AD FS,必須對其進行修改才能與您的環境匹配。

    3. 按一下「Finish」(結束)。

    4. 按一下「Apply」,然後「OK」。

    5. Services.msc重新啟動AD FS版本2.0服務。


    設定AD FS版本2.0後,繼續啟用思科合作產品上的SAML SSO。

    驗證

    目前沒有適用於此組態的驗證程序。

    疑難排解

    AD FS將診斷資料記錄到系統事件日誌。  在AD FS伺服器上的伺服器管理器中,開啟Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin

    查詢為AD FS活動記錄的錯誤

    Server Manager Event display

    修訂記錄

    修訂 發佈日期 意見
    1.0
    20-Jan-2015
    初始版本
    TAC Authored

    由思科工程師貢獻

    • A M Mahesh Babu
      Cisco TAC

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品