簡介
本文說明如何配置Active Directory聯合身份驗證服務(AD FS)版本2.0,以便為思科合作產品(如Cisco Unified Communications Manager(CUCM)、Cisco Unity Connection(UCXN)、CUCM IM and Presence和Cisco Prime Collaboration)啟用安全斷言標籤語言(SAML)單一登入(SSO)。
必要條件
需求
必須安裝並測試AD FS 2.0版。
注意:本安裝指南基於實驗室設定,假設AD FS 2.0版僅用於帶有Cisco Collaboration產品的SAML SSO。如果其他業務關鍵型應用程式使用它,則必須根據官方Microsoft文檔進行必要的自定義。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- AD FS版本2.0
- Microsoft Internet Explorer 10
- CUCM版本10.5
- Cisco IM和狀態伺服器版本10.5
- UCXN版本10.5
- Cisco Prime合作布建10.5
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
下載AD FS 2.0版身份提供程式(IdP)後設資料
若要下載IdP後設資料,請在瀏覽器上運行此連結:https://<ADFS的FQDN>/FederationMetadata/2007-06/FederationMetadata.xml。
下載合作伺服器(SP)後設資料
CUCM IM和狀態服務
開啟Web瀏覽器,以管理員身份登入CUCM,然後導航至System > SAML Single Sign On。
Unity Connection
開啟Web瀏覽器,以管理員身份登入UCXN,然後導航至系統設定>SAML單一登入。
Cisco Prime合作布建
開啟Web瀏覽器,以globaladmin身份登入到Prime Collaboration Assurance,然後導航到Administration > System Setup > Single Sign On。
將CUCM新增為信賴方信任
- 登入到AD FS伺服器,然後從Microsoft Windows程式選單啟動AD FS版本2.0。
- 選擇新增信賴方信任。
- 按一下「Start」。
- 選擇Import data about the relisting party from a file選項,選擇之前從CUCM下載的SPMetadata_CUCM.xml後設資料檔案,然後按一下Next。
- 輸入顯示名稱,然後按一下下一步。
- 選擇允許所有使用者訪問此信賴方,然後按一下下一步。
- 選擇嚮導關閉時為信賴方信任開啟「編輯宣告規則」對話方塊,然後單擊「關閉」。
- 按一下「Add Rule」。
- 按一下Next,預設宣告規則模板設定為Send LDAP Attributes as Claims。
- 在Configure Rule中,輸入宣告規則名稱,選擇Active Directory作為屬性儲存,配置LDAP Attribute和Outgoing Claim Type(如下圖所示),然後按一下Finish。
附註:
— 輕型目錄訪問協定(LDAP)屬性應與CUCM上的目錄同步屬性匹配。
- 「uid」應使用小寫。
- 按一下Add Rule,選擇Send Claims Using a Custom Rule作為宣告規則模板,然後按一下Next。
- 輸入宣告規則名稱的名稱,並在Custom rule下提供的空格中複製以下語法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
(註:如果複製並貼上來自這些示例的文本,請注意某些字處理軟體將用UNICODE版本("")替換ASCII引號(")。UNICODE版本將導致宣告規則失敗。)
附註:
— 在此示例中,CUCM和ADFS完全限定域名(FQDN)預填充了實驗CUCM和AD FS,必須對其進行修改以匹配您的環境。
- CUCM/ADFS的FQDN區分大小寫,必須與後設資料檔案匹配。
- 按一下「Finish」(結束)。
- 按一下「Apply」,然後「OK」。
- 從Services.msc重新啟動AD FS版本2.0服務。
將CUCM IM和線上狀態新增為信賴方信任
- 按照將CUCM新增為信賴方信任的說明,重複步驟1至11,然後繼續執行步驟2。
- 輸入宣告規則名稱的名稱,並在Custom rule下提供的空格中複製以下語法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");
請注意,本示例中的IM and Presence和AD FS FQDN預填充了實驗IM and Presence和AD FS,必須對其進行修改以匹配您的環境。
- 按一下「Finish」(結束)。
- 按一下「Apply」,然後「OK」。
- 從Services.msc重新啟動AD FS版本2.0服務。
將UCXN新增為信賴方信任
- 按照將CUCM新增為信賴方信任的說明,重複步驟1至12,然後繼續執行步驟2。
- 為宣告規則名稱輸入一個名稱,並在自定義規則下提供的空白處復制以下語法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");
請注意,在此示例中,UCXN和AD FS FQDN預填充了實驗UCXN和ADFS,必須對其進行修改才能與您的環境匹配。
- 按一下「Finish」(結束)。
- 按一下「Apply」,然後「OK」。
- 從Services.msc重新啟動AD FS版本2.0服務。
將Cisco Prime合作調配新增為信賴方信任
- 按照將CUCM新增為信賴方信任的說明,重複步驟1至12,然後繼續執行步驟2。
- 輸入宣告規則名稱的名稱,並在Custom rule下提供的空白處復制此語法:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");
請注意,Prime Provisioning和AD FS FQDN已預填充本示例中的實驗室Prime Collaboration Provisioning(PCP)和AD FS,必須對其進行修改才能與您的環境匹配。
- 按一下「Finish」(結束)。
- 按一下「Apply」,然後「OK」。
- 從Services.msc重新啟動AD FS版本2.0服務。
設定AD FS版本2.0後,繼續啟用思科合作產品上的SAML SSO。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
AD FS將診斷資料記錄到系統事件日誌。 在AD FS伺服器上的伺服器管理器中,開啟Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin
查詢為AD FS活動記錄的錯誤