Configurar o fornecedor da identidade para queo servio da identidade de Cisco permita o SSO ndice

IntroduoPr-requisitosRequisitosComponentes UtilizadosInformaes de ApoioVista geral do SSOViso geral sobre a configuraoConfigurarTipos do autenticaoEstabelea a relao de confianaADFS 2.0:3.0 ADFS:Permita afirmaes assinadas de SAML para a confiana de confiana do partido (o servio daidentidade de Cisco)Para uma configurao do Multi-domnio para ADFS federadoConfigurao federada ADFSConfigurao preliminar ADFSAutenticao de Kerberos (autenticao do Windows integrada)Configurao para o Microsoft Internet explorer para o apoio AITConfigurao exigida para Mozilla Firefox para o apoio AITConfigurao exigida para Google Chrome para o apoio AITConfigurao mais adicional para o SSO:VerificarTroubleshooting

IntroduoEste original descreve a configurao no fornecedor da identidade (IdP) para permitir sobre o nico sinal (SSO).

Modelos de distribuio do Cisco IDS

Produto DesenvolvimentoUCCX Co-residentePCCE Co-residente com CUIC (centro unificado Cisco da inteligncia) e LD (dados vivos)

UCCE Co-residente com CUIC e LD para as disposies 2k.Autnomo para as disposies 4k e 12k.

Pr-requisitos

Requisitos

A Cisco recomenda que voc tenha conhecimento destes tpicos:

Liberao 11.5 do Cisco Unified Contact Center Express (UCCX) ou liberao 11.5 do CiscoUnified Contact Center Enterprise ou liberao empacotada 11.5 da empresa do centro decontato (PCCE) como aplicveis.

Microsoft ative directory - AD instalado em Windows ServerVerso 2.0/3.0 do servio da federao do diretrio ativo (ADFS)

Note: Este original prov UCCX nos screenshots e nos exemplos, porm a configurao similar no que diz respeito ao servio de Cisco Identitify (UCCX/UCCE/PCCE) e ao IdP.

Componentes Utilizados

Este documento no se restringe a verses de software e hardware especficas.

As informaes neste documento foram criadas a partir de dispositivos em um ambiente delaboratrio especfico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfigurao (padro) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informaes de Apoio

Vista geral do SSO

Cisco proporciona muitos servios em formulrios diferentes e como um utilizador final, voc quer assinar dentro somente uma vezpara ter o acesso a todos os Servios da Cisco. Se voc quer encontrar e controlar contatos de alguns do aplicativo Cisco e dosdispositivos, leveraging todos os origens possveis (contatos do diretrio corporativo, da probabilidade, do mbil, Facebook,LinkedIn, histria), e os tem rendidos em uma terra comum e em uma maneira consistente que fornea a informao necessriapara conhecer sua Disponibilidade e em um como melhor os contactar.

O SSO que usa SAML (linguagem de marcao da afirmao da Segurana) visaesta exigncia.SAML/SSO fornecea capacidade para que os usuriosregistrem em dispositivos mltiplos e emservios com uma identidade comum da conta e da autorizao chamada o IdP. A funcionalidadeSSO est disponvel em UCCX/UCCE/PCCE 11.5 avante.

Viso geral sobre a configurao

Configurar

Tipos do autenticao

Os suportes de servio da identidade de Cisco formam somente a autenticao baseada dofornecedor da identidade.

Consulte por favor estes artigos MSDN para aprender como permitir a autenticao do formulrio

em ADFS.

Para ADFS 2.0 referem este artigo do Microsoft TechNet,http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx

Para o 3.0 ADFS consulte referem este artigo do Microsoft TechNet,https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-AD FS-3-0/

Note: O servio 11.6 da identidade de Cisco e apoia acima a autenticao e a autenticaode Kerberos baseadas formulrio.Para que a autenticao de Kerberos trabalhe, voc devedesabilitar o formulrio baseado autenticao.

Estabelea a relao de confiana

Para onboarding e permitir aplicativos usar o servio da identidade de Cisco para nico Sinal-em,execute a troca dos metadata entre o servio da identidade (IdS) e IdP.

Transfira o arquivo sp.xml dos Metadata de SAML SP.Dos ajustes, navegue aba da confiana dos IdS na pgina do Gerenciamento do servio daidentidade.

Transfira os Metadata de IdP arquivam do IdP da URL:https:///federationmetadata/2007-06/federationmetadata.xml

Na pgina do Gerenciamento do servio da identidade, transfira arquivos pela rede ofornecedor que da identidade os Metadata arquivam que foi transferido na etapa precedente.

http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspxhttp://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspxhttps://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-adfs-3-0/https://blogs.msdn.microsoft.com/josrod/2014/10/15/enabled-forms-based-authentication-in-adfs-3-0/https:///federationmetadata/2007-06/federationmetadata.xml

Este o procedimento para transferir arquivos pela rede os metadata dos IdS e para adicionarregras da reivindicao. Isto esboado para ADFS 2.0 e 3.0

ADFS 2.0:

Etapa 1. No server ADFS navegue a, comeo > todos os programas > ferramentasadministrativas > Gerenciamento AD FS 2.0, segundo as indicaes da imagem:

Etapa 2. Navegue para adicionar AD FS 2.0 > relao de confiana > confiana de confiana dopartido, segundo as indicaes da imagem:

Etapa 3. Segundo as indicaes da imagem, selecione os dados da importao da opo sobre opartido de confiana de um arquivo.

Etapa 4. Termine o estabelecimento da confiana de confiana do partido.

Etapa 5. Nas propriedades da confiana de confiana do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidadede Cisco de que sp.xml transferido.

Etapa 7. Clicar com o boto direito na confiana de confiana do partido e clique ento sobreregras da reivindicao Edit.

Voc precisa de adicionar duas regras da reivindicao, uma quando os atributos LDAP(protocolo lightweight directory access) so combinados quando o segundo for com as regrasfeitas sob encomenda da reivindicao.

uid - Este atributo precisado para que os aplicativos identifiquem o usurio autenticado.user_principal - Este atributo precisado pelo servio da identidade de Cisco de identificar o reinodo usurio autenticado.

Regra 1 da reivindicao:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP comoreivindicaes):

Selecione a loja do atributo como o diretrio ativo.Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).Escolha o atributo LDAP que tem que ser usado como o userId para que os usurios doaplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configurao quando SamAccountName dever ser usada como o usurio -identificao:

Trace o atributo SamAccountName LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configurao quando o UPN tiver que ser usado como o usurio - a identificao -

Trace o USER-Principal-nome do atributo LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configurao quando PhoneNumber tiver que ser usado como o usurio - aidentificao -

Trace o telephoneNumber do atributo LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Note: Ns precisamos de assegurar-se de que o atributo LDAP configurado para o usurio -a identificao na sincronizao CUCM LDAP deve combinar o que configurado como oatributo LDAP para o uid na regra NameID da reivindicao ADFS. Isto para ofuncionamento apropriado de Cisco unificou o incio de uma sesso do centro (CUIC) e dafineza da inteligncia.

Note: Este original provlimitaes nos nomes do nome e do indicador da regra dareivindicao tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomesfeitos sob encomenda podem ser aplicveis em vrias sees, os nomes da regra dareivindicao e os nomes do indicador so mantidos padro por toda parte para manter aconsistncia e para melhores prtica na conveno de nomeao.

Regra 2 da reivindicao:

Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicao com nomecomo o hostname totalmente qualificado (FQDN) do server da identidade de Cisco eadicionar este texto da regra. c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] =>

issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer

= c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =

" u r n : o a s i s : n a m e s : t c : S A M L : 2 . 0 : n a m e i d - f o r m a t : t r a n s i e n t " ,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] =

" h t t p : / / < A D F S S e r v e r F Q D N > / A D F S / s e r v i c e s / t r u s t " ,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]

= "");

No cluster de servidor da identidade de Cisco, todos os nomes de host totalmentequalificados so aquele do server da identidade de Cisco preliminar ou do n do editor.

de Cisco diferenciandomaisculas e minsculas, assim ele combina exatamente (incluindo o caso) com o FQDN doserver da identidade de Cisco.

O server FQDN>

Etapa 8. Clicar com o boto direito na confiana de confiana do partido e clique ento sobrepropriedades e selecione o guia avanada, segundo as indicaes da imagem.

Etapa 9. Segundo as indicaes da imagem, selecione o Secure Hash Algorithm (SHA) como oSHA-1.

Etapa 10. APROVAO do clique.

3.0 ADFS:

Etapa 1. No server ADFS navegue a, gerenciador do servidor > ferramentas > Gerenciamento ADFS.

Etapa 2. Navegue ao AD FS > relao de confiana > confiana de confiana do partido.

Etapa 3. Selecione os dados da importao da opo sobre o partido de confiana de um arquivo.

Etapa 4. Termine o estabelecimento da confiana de confiana do partido.

Etapa 5. Nas propriedades da confiana de confiana do partido, selecione a aba do identificador.

Etapa 6. Ajuste o identificador como o hostname totalmente qualificado do server da identidadede Cisco de que sp.xml transferido.

Etapa 7. Clicar com o boto direito na confiana de confiana do partido e clique ento sobreregras da reivindicao Edit.

Voc precisa de adicionar duas regras da reivindicao, uma quando os atributos LDAP(protocolo lightweight directory access) so combinados quando o segundo for com as regrasfeitas sob encomenda da reivindicao.

uid - Este atributo precisado para que os aplicativos identifiquem o usurio autenticado.user_principal - Este atributo precisado pelo servio da identidade de Cisco de identificar o reinodo usurio autenticado.

Regra 1 da reivindicao:

Adicionar uma regra por nome NameID de tipo (envie os valores do atributo LDAP comoreivindicaes):

Selecione a loja do atributo como o diretrio ativo.Trace o USER-Principal-nome do atributo de Ldap a user_principal (lowercase).Escolha o atributo LDAP que tem que ser usado como o userId para que os usurios doaplicativo o entrem e tracem ao uid (lowercase)

Exemplo de configurao quando SamAccountName dever ser usada como o usurio -identificao:

Trace o atributo SamAccountName LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configurao quando o UPN tiver que ser usado como o usurio - a identificao -

Trace o USER-Principal-nome do atributo LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Exemplo de configurao quando PhoneNumber tiver que ser usado como o usurio - aidentificao -

Trace o telephoneNumber do atributo LDAP ao uid.Trace o USER-Principal-nome do atributo LDAP a user_principal.

Note: Ns precisamos de assegurar-se de que o atributo LDAP configurado para o usurio -a identificao na sincronizao CUCM LDAP deve combinar o que configurado como oatributo LDAP para o uid na regra NameID da reivindicao ADFS. Isto para ofuncionamento apropriado de Cisco unificou o incio de uma sesso do centro (CUIC) e dafineza da inteligncia.

Note: Este original provlimitaes nos nomes do nome e do indicador da regra dareivindicao tais como NameID, FQDN de UCCX, etc. Embora os campos e os nomesfeitos sob encomenda podem ser aplicveis em vrias sees, os nomes da regra dareivindicao e os nomes do indicador so mantidos padro por toda parte para manter aconsistncia e para melhores prtica na conveno de nomeao.

Regra 2 da reivindicao:

Adicionar uma outra regra do tipo regra feita sob encomenda da reivindicao com nomecomo o hostname totalmente qualificado (FQDN) do server da identidade de Cisco eadicionar este texto da regra. c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] =>

issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer

= c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =

" u r n : o a s i s : n a m e s : t c : S A M L : 2 . 0 : n a m e i d - f o r m a t : t r a n s i e n t " ,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] =

" h t t p : / / < A D F S S e r v e r F Q D N > / A D F S / s e r v i c e s / t r u s t " ,

Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]

= "");

No cluster de servidor da identidade de Cisco, todos os nomes de host totalmentequalificados so aquele do server da identidade de Cisco preliminar ou do n do editor.

de Cisco diferenciandomaisculas e minsculas, assim ele combina exatamente (incluindo o caso) com o FQDN doserver da identidade de Cisco.

O server FQDN>

Etapa 8. Clicar com o boto direito na confiana de confiana do partido e clique ento sobrepropriedades e selecione o guia avanada

Etapa 9. Segundo as indicaes da imagem, selecione o Secure Hash Algorithm (SHA) como oSHA-1.

Etapa 10 - APROVAO do clique.

Estas etapas so imperativas aps a etapa 10.

Permita afirmaes assinadas de SAML para a confiana de confiana do partido(o servio da identidade de Cisco)

Etapa 1. Clique o comeo e incorpore o powershell ao powershell das janelas aberta.

Etapa 2. Adicionar ADFS CmdLet ao powershell executando o comando adicionam-PSSnapin

Microsoft.Adfs.Powershell.

Etapa 3 - Executam o comando, grupo-ADFSRelyingPartyTrust - Confiana dopartido de TargetName

- SamlResponseSignature MessageAndAssertion.

Note: Etapa 2 no pode ser precisada se voc est usando o 3.0 ADFS desde que oCmdLet instalado j como parte de adicionar os papis e as caractersticas.

Note: O partido que diferenciando maisculas eminsculas, assim ele combina (incluindo o caso) com o que ajustado na aba doidentificador das propriedades de confiana de confiana do partido.

Note: Suportes de servio SHA-1 da identidade de Cisco. Os usos de confiana SHA-1 daconfiana do partido para assinar o pedido de SAML e esperam ADFS fazer o mesmos naresposta.

Para uma configurao do Multi-domnio para ADFS federado

Em caso da federao em ADFS, onde um domnio ADFS em particular fornece a autenticaofederada de SAML para usurios em outros domnios configurados, estas so as configuraesadicionais que so precisadas.

Para isto as sees, o termo ADFS preliminar referem o ADFS que tem que ser usado nos IdS. OADFS federado termo indica aqueles ADFS, so permitidos cujos aos usurios entrar atravs dosIdS e assim, o ADFS preliminar.

Configurao federada ADFS

Em cada um do ADFS federado, a confiana de confiana do partido tem que ser criada paraADFS preliminar e as regras da reivindicao configuradas como mencionado na seo anterior.

Configurao preliminar ADFS

Para ADFS preliminar, independentemente da confiana de confiana do partido para IdS, aseguinte configurao adicional precisada.

Adicionar a confiana do fornecedor da reivindicao com o ADFS a que a federao tem que sersetup.

Na confiana do fornecedor da reivindicao, assegure-se de que a passagem completamente oufiltre-se regras entrantes de uma reivindicao so configurados com passagem com todos osvalores da reivindicao como a opo

Nomeie o IDEscolha o nome ID do tipo entrante caixa da reivindicao da gotaEscolha o transeunte como a opo para o formato entrante de NameIDuid: Esta uma reivindicao feita sob encomenda. Incorpore o uid do valor ao tipo entrantecaixa da reivindicao da gota.

user_principal: Esta uma reivindicao feita sob encomenda. Datilografe o valoruser_principal no tipo entrante caixa da reivindicao da gota.

Na confiana de confiana do partido para IdS, adicionara passagem embora ou filtre regrasentrantes de uma reivindicao com passagem com todos os valores da reivindicao como aopo.

NameIDFromSubdomainEscolha o nome ID do tipo entrante caixa da reivindicao da gotaEscolha o transeunte como a opo para o formato entrante de NameIDuid: Esta uma reivindicao feita sob encomenda. Datilografe o uid do valor no tipo entrantecaixa da reivindicao da gota

user_principal: Esta uma reivindicao feita sob encomenda. Datilografe o valoruser_principal no tipo entrante caixa da reivindicao da gota

Autenticao de Kerberos (autenticao do Windows integrada)

A autenticao do Windows integrada (AIT) fornece o mecanismo de autenticaodos usurios,mas no permite que as credenciais sejam transmitidas sobre a rede. Quando voc permite aautenticao do Windows integrada,trabalha com base em bilhetes para permitir os Ns quecomunicam-se sobre uma rede NON-segura para provar sua identidade a uma outra em umamaneira segura. Permite que os usurios entrem a um domnio aps o incio de uma sessoemsuas mquinas dos indicadores.

Note:A autenticao de Kerberos apoiada somente de 11.6 e acima.

Os usurios de domnio que so registrados j no controlador de domnio (DC)sero registradoscontinuamente em clientes SSO sem a necessidadede reenter as credenciais. Para usurios do

NON-domnio, o AIT cai de volta a NTLM (gerente de rede de rea local da nova tecnologia) e odilogo do incio de uma sesso aparece. A qualificao paraIdS com autenticao AIT feitacom o Kerberos contra o 3.0 ADFS.

Etapa 1. Janelas aberta comando prompt e corrida como o usurio admin registrar o servioHTTP comcomando do setspn

setspn - do url> s http/ do s polticas de autenticao > autenticao principal > sconfiguraes globais ADFS > editam. Sob o intranet, assegure-se de que somente aautenticao do Windows esteja verificada (desmarcar a autenticao do formulrio).

Configurao para o Microsoft Internet explorer para o apoio AIT

Etapa 1.Assegure-se de queo internet explorer>avance>permita a autenticao do Windowsintegradaesteja verificado.

Etapa 2.ADFS URL precisa de ser adicionados zonas do >Intranet da Segurana>aoslocais(winadcom215.uccx116.com ADFS URL)

Etapa 3.Assegure-se de que> segurana de Exporerdo Internet>de > seguranado intranetlocalajustes> autenticao de usurio - o fazer logon configurado a fim usar as credenciaisentradas para locais do intranet.

Configurao exigida para Mozilla Firefox para o apoio AIT

Etapa 1. Participe no modo de configurao para Firefox. Abra Firefox e entre-oaproximadamente: configuraona URL. Aceite a indicao dos riscos.

Etapa 2. Procurepelo ntlme permitao network.automatic-ntlm-auth.allow-non-fqdn e ajuste-opara retificar.

Etapa 3. Ajusteo network.automatic-ntlm-auth.trusted-urisao domnio ou explicitamente ao ADFSURL.

Configurao exigida para Google Chrome para o apoio AIT

Google Chrome em Windows usaos ajustes do internet explorer, assim que configurar dentro dodilogo de opesdo >Internet das ferramentas do internet explorer, oudo Control Panelsobopes de internetdentro da redee do Internet da subcategoria.

Promova a configurao para o SSO:

Este original descreve a configurao do aspecto de IdP para que o SSO integre com o servioda identidade de Cisco. Para uns detalhes mais adicionais, refira os manuais de configurao dosprodutos individuais:

UCCXUCCEPCCE

Verificar

Este procedimento est usado para determinar se a confiana de confiana do partido estabelecida corretamente entre o Cisco IDS e o IDP.

Do broswer incorpore a URL https:// /adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=

ADFS fornecer o formulrio do incio de uma sesso. Isto estar disponvel quando aconfigurao acima direita.

Na autenticao bem sucedida, o navegador deve reorientar ahttps://:8553/ids/saml/response e uma pgina da lista de verificao publicar-se-.

Note: A pgina da lista de verificao que se publica porque parte do processo deverificao um no erro mas uma confirmao que a confiana est estabelecidacorretamente.

Troubleshooting

Para pesquise defeitos consultam - o https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html

http://www.cisco.com/c/pt_br/support/customer-collaboration/unified-contact-center-express/products-installation-and-configuration-guides-list.htmlhttp://www.cisco.com/c/pt_br/support/customer-collaboration/unified-contact-center-enterprise/products-installation-and-configuration-guides-list.htmlhttp://www.cisco.com/c/pt_br/support/customer-collaboration/packaged-contact-center-enterprise/tsd-products-support-series-home.htmlhttps:///adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=https:///adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=https://:8553/ids/saml/responsehttps://www.cisco.com/c/pt_br/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.htmlhttps://www.cisco.com/c/pt_br/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.htmlhttps://www.cisco.com/c/pt_br/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.htmlConfigurar o fornecedor da identidade para que o servio da identidade de Cisco permita o SSOndiceIntroduoPr-requisitosRequisitosComponentes UtilizadosInformaes de ApoioVista geral do SSOViso geral sobre a configuraoConfigurarTipos do autenticaoEstabelea a relao de confianaADFS 2.0:3.0 ADFS:Permita afirmaes assinadas de SAML para a confiana de confiana do partido (o servio da identidade de Cisco)Para uma configurao do Multi-domnio para ADFS federadoConfigurao federada ADFSConfigurao preliminar ADFSAutenticao de Kerberos (autenticao do Windows integrada)Configurao para o Microsoft Internet explorer para o apoio AITConfigurao exigida para Mozilla Firefox para o apoio AITConfigurao exigida para Google Chrome para o apoio AITPromova a configurao para o SSO:VerificarTroubleshooting