Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configurar Etapa 1. Metadata da exportação SP de CUCM Etapa 2. Metadata da transferência IDP de AD FS Etapa 3. Disposição IdP Etapa 4. Permita SAML SSO Verificar Troubleshooting Introdução Este documento descreve como configurar a únicos conexão/acordo do fornecedor da identidade do linguagem de marcação da afirmação da Segurança (SAML) (IdP) pelo conjunto com serviço da federação do diretório ativo (AD FS). Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Gerente das comunicações unificadas de Cisco (CUCM) 11.5 ou mais atrasado Gerente das comunicações unificadas de Cisco IM e versão 11.5 ou mais recente da presença Versão 2.0 do serviço da federação do diretório ativo Componentes Utilizados As informações neste documento são baseadas nestas versões de software: Versão 2.0 do serviço da federação do diretório ativo como IdP Versão de gerenciador 11.5 das comunicações unificadas de Cisco Cisco IM e versão de servidor 11.5 da presença Informações de Apoio Para SAML SSO, necessidades ser um círculo da confiança entre o provedor de serviços (SP) e o IdP. Esta confiança está criada como parte da habilitação SSO, quando a confiança (metadata) é trocada. Transfira os Metadata de CUCM e transfira-os arquivos pela rede a IdP, transfiram-nos
similarmente os metadata de IdP e transfiram-nos arquivos pela rede a CUCM. CUCM prévio 11.5, nó de origem gera os metadata arquiva, igualmente ele recolhe os arquivos dos metadata de outros Nós no conjunto. Adiciona todos os arquivos dos Metadata a um único arquivo zip a seguir apresenta-os ao administrador. O administrador tem que abrir o zíper este arquivo e provision cada um arquiva no IdP. Por exemplo, 8 arquivos dos metadata para um conjunto de 8 nós. A únicos conexão/acordo de SAML IdP pela característica do conjunto é introduzida de 11.5. Como parte desta característica, CUCM gera um único provedor de serviços que os metadata arquivam para todos os Nós CUCM e IMP no conjunto. O formato do novo nome para o arquivo dos metadata é <hostname>-single-agreement.xml Basicamente, um nó cria os Metadata e empurra-os para outros Nós SP no conjunto. Isto permite a facilidade do abastecimento, da manutenção e do Gerenciamento. Por exemplo, os metadata 1 arquivam para um conjunto de 8 nós. O arquivo largo dos metadata do conjunto utiliza o certificado Multiserver de TomCat que se assegura de que o par de chaves esteja usado seja mesmo para todos os Nós no conjunto. Os metadata arquivam igualmente têm uma lista do serviço de consumidor da afirmação (ACS) URL para o cada Nós no conjunto. CUCM e a versão 11.5 de Cisco IM e da presença apoiam ambos os modos SSO, amplos cluster (os metadata um arquivam pelo conjunto) e pelo nó (modelo existente). Este documento descreve como configurar o amplo cluster modo de SAML SSO com AD FS 2.0. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Configurar Etapa 1. Metadata da exportação SP de CUCM Abra um navegador da Web, início de uma sessão a CUCM como o administrador, e navegue o único sinal do tosystem >SAML sobre. Àrevelia, aglomere o botão de rádio largo é selecionado. Clique a exportação todos os Metadata. O arquivo de dados dos metadata apresentou ao administrador no nome <hostname>-singleagreement.xml
Etapa 2. Metadata da transferência IDP de AD FS A fim transferir metadata de IdP, refira o link https:// <FQDN de ADFS>/federationmetadata/2007-06/federationmetadata.xml Etapa 3. Disposição IdP Segundo as indicações da imagem, navegue à confiança de confiança do partido dos navios do Gerenciamento AD FS 2.0/relação da confiança. O clique adiciona a confiança de confiança do partido. Adicionar o partido de confiança o assistente da confiança que abre segundo as indicações da imagem, clique agora sobre o começo.
Clique os dados da importação sobre o partido de confiança de um arquivo. Consulte os metadata SP transferidos da página de configuração CUCM SAML SSO. Clique então em seguida, segundo as indicações da imagem: Datilografe o nome do indicador e todas as notas opcionais para o partido de confiança. Clique em seguida., segundo as indicações da imagem:
Selecione a licença todos os usuários para alcançar este partido de confiança para permitir todos os usuários alcançar este partido de confiança e clicá-lo então em seguida, segundo as indicações da imagem: Sob pronto para adicionar a página da confiança, você pode rever os ajustes para a confiança de confiança do partido, que foi configurada. Agora clique em seguida, segundo as indicações da imagem:
A página do revestimento confirma que a confiança de confiança do partido esteve adicionada com sucesso à base de dados de configuração AD FS. Desmarcar a caixa e clique-a perto, segundo as indicações da imagem: Clicar com o botão direito as confianças de confiança do partido e clique sobre regras da reivindicação Edit, segundo as indicações da imagem:
Clique agora sobre a regra Add., segundo as indicações da imagem: Quando adicionar transforma a regra da reivindicação abre, clique em seguida com o molde da regra da reivindicação do padrão envia atributos LDAP como reivindicações, segundo as indicações da imagem:
O clique configura a regra da reivindicação segundo as indicações desta imagem. O atributo LDAP deve combinar com o atributo LDAP na configuração do diretório LDAP no CUCM. Controle tipo que parte da reivindicação como o uid. Clique o revestimento, segundo as indicações da imagem: Adicionar a regulamentação aduaneira para o partido de confiança. O clique adiciona a regra. Seleto envie reivindicações usando uma regulamentação aduaneira e clique-as então em seguida, segundo as indicações da imagem:
Em configurar a regra da reivindicação, datilografe um nome da regra da reivindicação copiam então a regra da reivindicação dada e o passado no campo da regulamentação aduaneira no assistente que altera o qualificador mais namequalifier e do spname na regra da reivindicação. Clique o revestimento., segundo as indicações da imagem: Regra da reivindicação: Segundo as indicações da imagem, o clique aplica-se então ESTÁ BEM.
Etapa 4. Permita SAML SSO Abra um navegador da Web, início de uma sessão a CUCM como o administrador, e navegue o único sinal do tosystem >SAML sobre. Àrevelia, aglomere o botão de rádio largo é selecionado. O clique permite Saml SSO, segundo as indicações da imagem: Segundo as indicações da imagem, o PNF notifica acima o aviso para que o reinício e a informação do web server escolha o conjunto SAML largo SSO ou o Por-nó SAML SSO de acordo com o idp. Clique em Continuar. Os critérios para permitir o amplo cluster SSO são que você deve ter um certificado multiserver de TomCat distribuído já. Clique o teste para o certificado de TomCat do Multi-server, segundo as indicações da imagem:
Uma vez que se confirma, todos os Nós têm o multi certificado de servidor indicam todos os Nós têm o multi certificado de servidor, e o clicam então em seguida, segundo as indicações da imagem: Segundo as indicações da imagem, clique em seguida. Consulte e selecione os metadata de IdP transferidos. Clique Metadata de IdP da importação, segundo as indicações da imagem:
A página confirma a importação sucedida para todos os server e clica-a então em seguida, segundo as indicações da imagem: Segundo as indicações da imagem, clique em seguida, desde já exportado os metadata SP da página de configuração inicial de SAML SSO. CUCM tem que ser em sincronia com o diretório LDAP. O assistente mostra os usuários do administrador válidos configurados no diretório LDAP. Selecione o usuário e clique o teste da corrida SSO, segundo as indicações da imagem: Segundo as indicações da imagem, inscreva o usuário - identificação e respectiva senha uma vez
que alerta. O PNF acima, segundo as indicações da imagem confirma o teste é sucedido. Segundo as indicações da imagem, revestimento do clique a fim terminar a configuração para permitir o SSO.
A página mostrada na imagem confirma que SAML SSO que permite o processo está iniciado em todos os server. Saída e início de uma sessão de volta a CUCM usando credenciais de SAML SSO. Navegue ao único sinal do sistema >SAML sobre. Clique o teste da corrida SSO para outros Nós no conjunto, segundo as indicações da imagem: Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. Confirme o teste SSO é bem sucedido para os Nós que são SAML SSO permitido. Navegue ao único sinal do sistema >SAML sobre. O SSO bem sucedido testa mostras que o estado passou.
Uma vez que SAML SSO é ativado, os aplicativos e os aplicativos de plataforma instalados estão listados para a página de login CUCM, segundo as indicações desta imagem. Uma vez que SAML SSO é ativado, os aplicativos e os aplicativos de plataforma instalados estão listados para IM e página de login da presença, segundo as indicações desta imagem:
Troubleshooting Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. A fim ajustar os logs SSO para debugar, o nível do samltrace do comando set do uso DEBUGA Recolha os logs SSO usando RTMT ou do lugar do activelog /tomcat/logs/ssosp/log4j/*.log usando o CLI. O exemplo para logs SSO mostra os metadata gerados e que enviam a outros Nós