المقدمة

يصف هذا المستند تكوين Microsoft Azure كموفر هوية (IDp) لتسجيل الدخول الأحادي (SSO) في Unified Contact Center Enterprise (UCCE) بلغة تأكيد الأمان (SAML) وخدمة تعريف Cisco (IDS).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• SAML 2.0 
• UCCE و Packaged Contact Center Enterprise (PCCE) من Cisco
• سو
• IDS
• IDp

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Azure IDp
• UCCE 12.0.1 و 12.5.1 و 12.5.2 و 12.6.1 و 12.6.2
• معرفات Cisco 12.0.1 و 12.5.1 و 12.52 و 12.6.1 و 12.6.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

1. تصدير ملفات البيانات الأولية UCCE

توفر معرفات Cisco التخويل بين المعرف والتطبيقات.

عند تكوين معرفات Cisco، يتم إعداد تبادل بيانات تعريف بين معرفات Cisco ومعرف رف P. يقوم هذا التبادل بإنشاء علاقة ثقة تسمح للتطبيقات باستخدام معرفات Cisco ل SSO. يتم إنشاء علاقة الثقة عند تنزيل ملف بيانات تعريف من معرفات Cisco وتحميله إلى معرف العملية.

1-1 الإجراء

• في الإدارة الموحدة ل CCE، انتقل إلى  Features > Single Sign-On .
• انقر  Identity Service Management  ويفتح إطار إدارة خدمة الهوية من Cisco
• أدخل  User Name ، ثم انقر  Next.
• أدخل  password ، ثم انقر  Sign In.
  • تظهر صفحة إدارة خدمة الهوية من Cisco، وتظهر رموز العقد والإعدادات والعملاء في الجزء الأيسر.
• انقر  Nodes.
  • يتم فتح صفحة العقد لطريقة عرض مستوى العقدة الإجمالي وتعرف على العقد الموجودة في الخدمة. توفر الصفحة أيضا تفاصيل انتهاء صلاحية شهادة SAML لكل عقدة، والتي تشير إلى وقت انتهاء صلاحية الشهادة. لم يتم تكوين خيارات حالة العقدة، في الخدمة أو الخدمة الجزئية أو خارج الخدمة. انقر فوق حالة للاطلاع على مزيد من المعلومات. يحدد النجم الموجود على يمين أحد أسماء العقد العقدة التي هي الناشر الأساسي.
• انقر  Settings.
• انقر  IdS Trust.
• لبدء علاقة ثقة Cisco IdS، قم بإعداد العلاقة بين معرفات Cisco والمعرفات، انقر فوق Download Metadata File لتنزيل الملف من خادم Cisco IDs.

2. إنشاء توقيع شهادة لاستجابات Azure

إذا كان لديك OpenSSL مثبتا، قم بإنشاء شهادة ل Azure ووضعها على تطبيق Azure. يتضمن Azure هذه الشهادة في تصدير بيانات تعريف IdP الخاصة به ويستخدمها لتوقيع تأكيدات SAML التي ترسلها إلى UCCE.

إذا لم يكن لديك OpenSSL، أستخدم المرجع المصدق للمؤسسة لإنشاء شهادة.

2.1 الإجراء (OpenSSL)

فيما يلي الإجراء الخاص بإنشاء شهادة عبر OpenSSL

• إنشاء شهادة ومفتاح خاص:

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• قم بدمج الشهادة والمفتاح في ملف PFX محمي بكلمة مرور، وهو مطلوب من قبل Azure. تأكد من ملاحظة كلمة المرور.

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• إنشاء شهادة واحدة ل UCCE.
• قم بتحميل الشهادة إلى معرف Azure.

3. تكوين تطبيق Azure المخصص

قبل تكوين Azure، يجب تصدير بيانات تعريف UCCE من ناشر معرفات UCCE. يمكنك الحصول على كل من ملف XML لبيانات تعريف UCCE وشهادة لاتصال IdP قبل بدء هذه الخطوات على Azure.

3-1 الإجراء

• في Microsoft Azure، انتقل إلى  Enterprise Applications  ثم حدد  All Applications.
• لإضافة تطبيق جديد، حدد New application .

• في نافذة إضافة تطبيق، استمر في الخطوات التالية:
  1. انقر فوق  Create your own application  (بخلاف المعرض).
  2. أدخل اسم التطبيق الجديد (على سبيل المثال، UCCE) وانقر  Create.
  3. انقر فوق شريط التنقل الأيسر للتطبيق الجديد  Single sign-on .
  4. انقر  SAML .
  5-  Set up Single Sign-On with SAML  تظهر نافذة.
• انقر Upload metadata ثم تصفح إلى UCCE metadata XML ملف.
• بعد تحديد الملف وفتحه، انقر فوق  Add .
  • يعرض الأمر Basic SAML Configuration يتم النشر باستخدام معرف (EntityID) وعنوان URL للرد (عنوان URL لخدمة المستهلك لتأكيد الهوية) لخادم UCCE.
  • انقر  Save .
• في User Attributes & Claims المقطع، انقر فوق Edit :
  • تحت المطالبة المطلوبة، انقر فوق Unique User Identifier (معرف الاسم).
  • لتنسيق معرف الاسم، حدد  Default.
  • بالنسبة للسمة المصدر، حدد  user.onpremisessamaccountname .
  • انقر  Save.
  • في إطار المطالبات الإضافية، تحذف جميع المطالبات القائمة. بالنسبة لكل مطالبة، انقر فوق (...) وحدد حذف. انقر فوق موافق للتأكيد.
  • انقر فوق إضافة مطالبة جديدة لإضافة  uid إدعاء
  • للاسم، أدخل  uid.
  • أترك حقل مساحة الاسم فارغا.
  • للمصدر، تحقق من زر انتقاء السمة.
  • من القائمة المنسدلة لسمة المصدر، حدد user.givenname ( أو   user.onpremisessamaccountname).           
  • انقر  Save.
  • إضافة مطالبة جديدة لإضافة user_principal مطالبة.
  • للاسم، أدخل  user_principal.
  • أترك حقل مساحة الاسم فارغا.
  • للمصدر، تحقق من زر انتقاء السمة.
  • من القائمة المنسدلة لسمة المصدر، حدد user.userprincipalname.
  • انقر  Save.
    

لقطة للمرجع ليتم تكوينه: 

• 
• انقر SAML-based Sign-on للعودة إلى ملخص SAML.
• في SAML Signing Certificate المقطع، انقر فوق  Edit:
  • ضبط خيار التوقيع على  Sign SAML Response and Assertion.  
  • قم بتعيين خوارزمية التوقيع إلى خوارزمية SHA المناسبة. على سبيل المثال، SHA-256.
• انقر  Import Certificate.
• في  Certificate  حقل، وتصفح إلى ملف certificate.pfx الذي تم إنشاؤه مسبقا وافتح.
• أدخل كلمة المرور للشهادة وانقر  Add .

يجب أن تكون هذه الشهادة هي الشهادة الوحيدة في القائمة ويجب أن تكون نشطة.

• إذا كانت هذه الشهادة غير نشطة، انقر فوق النقاط المجاورة (...)، حدد تنشيط الشهادة ثم انقر فوق نعم.
• إذا كانت هناك شهادات أخرى في القائمة، انقر النقاط المجاورة (...) لتلك الشهادات، حدد حذف الشهادة وانقر نعم لحذف تلك الشهادات.

• انقر  Save.
• تنزيل  Federation Metadata XML  ملف.
• تمكين التطبيق في Azure وتعيين المستخدمين:

يوفر لك Azure القدرة على تعيين مستخدمين فرديين ل SSO باستخدام Azure، أو كافة المستخدمين. افترض أن SSO ممكن لكل المستخدمين بواسطة DU.

• في شريط التنقل الأيسر، انتقل إلى  Enterprise Applications > UCCE  (أو اسم التطبيق كما أعطيته من قبلك).
• تحديد  Manage > Properties .
• هل تريد تعيين "ممكن" للمستخدمين لتسجيل الدخول؟ إلى  Yes.
• هل تريد تعيين "مرئي" للمستخدمين؟ إلى  No.
• انقر  Save.

كتحقق نهائي، تحقق من ملف بيانات تعريف IdP وتأكد من أن الشهادة التي قمت بإنشائها مسبقا موجودة في حقل <X509Certificate> كشهادة توقيع في ملف بيانات تعريف IdP. التنسيق هو كما يلي:

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4. تحميل ملف بيانات تعريف Azure في UCCE

قبل الانتقال إلى معرفات UCCE مرة أخرى، يجب أن يكون لديك Federation Metadata XML تم تنزيل الملف من Azure.

4-1 الإجراء

• في الإدارة الموحدة ل CCE، انتقل إلى  Features > Single Sign-On.
• انقر  Identity Service Management  ويفتح إطار إدارة خدمة الهوية من Cisco
• أدخل  user name، ثم انقر  Next .
• أدخل  password ، ثم انقر  Sign In .
  • تظهر صفحة إدارة خدمة الهوية من Cisco أيقونات العقد والإعدادات والعملاء في الجزء الأيسر.
• انقر  Nodes .
  • يتم فتح صفحة العقد لطريقة عرض مستوى العقدة الإجمالي وتعرف على العقد الموجودة في الخدمة. توفر الصفحة أيضا تفاصيل انتهاء صلاحية شهادة SAML لكل عقدة، والتي تشير إلى وقت انتهاء صلاحية الشهادة. لم يتم تكوين خيارات حالة العقدة، في الخدمة أو الخدمة الجزئية أو خارج الخدمة. انقر فوق حالة للاطلاع على مزيد من المعلومات. يحدد النجم الموجود على يمين أحد أسماء العقد العقدة التي هي الناشر الأساسي.
• لتحميل  Federation Metadata XML  من Azure، استعرض لتحديد موقع الملف.
• الاستعراض للوصول إلى Upload IdP Metadata تحميل الصفحة Federation Metadata XML ملف.
  • عند انتهاء تحميل الملف، يتم إستلام رسالة إعلام. تم الآن إكمال تبادل بيانات التعريف، وعلاقة الثقة في مكانها.
• مسح ذاكرة التخزين المؤقت للمستعرض.
• أدخل بيانات اعتماد صالحة عند إعادة توجيه الصفحة إلى IdP.
• انقر  Next.
  • يعرض الأمر  Test SSO Setup تفتح الصفحة.
• انقر  Test SSO Setup .
  • تظهر رسالة تخبرك بأن تكوين معرفات Cisco قد نجح.
• انقر  Settings .
• انقر  Security.
• انقر  Tokens.
• أدخل المدة لهذه الإعدادات:
  • انتهاء صلاحية الرمز المميز للتحديث - القيمة الافتراضية هي 10 ساعات. الحد الأدنى للقيمة هو ساعتين. الحد الأقصى هو 24 ساعة.
  • انتهاء صلاحية كود التخويل - القيمة الافتراضية هي دقيقة واحدة، وهي الحد الأدنى أيضا. الحد الأقصى هو 10 دقائق.
  • انتهاء صلاحية الرمز المميز للوصول - القيمة الافتراضية هي 60 دقيقة. الحد الأدنى للقيمة هو 5 دقائق. الحد الأقصى هو 120 دقيقة.
• تعيين  Encrypt Token  (إختياري)، الإعداد الافتراضي هو On.
• انقر  Save .
• انقر  Keys and Certificates .
• يتم فتح صفحة إنشاء المفاتيح وشهادة SAML. فهي تسمح بما يلي:
  • انقر فوق إعادة إنشاء مفتاح التشفير/التوقيع وإعادة إنشائه. تظهر رسالة تقول أن تسجيل الرمز المميز ناجح وتنصحك بإعادة تشغيل النظام لإكمال التكوين.
  • انقر  Regenerate  وإعادة إنشاء شهادة SAML. تظهر رسالة تقول أن إعادة إنشاء شهادة SAML ناجحة.
• انقر  Save .
• انقر  Clients.
  • تحدد هذه الصفحة عملاء معرفات Cisco الموجودين بالفعل، وتوفر اسم العميل ومعرف العميل وعنوان URL لإعادة التوجيه. للبحث عن عميل معين، انقر فوق  Search  الرمز الموجود أعلى قائمة الأسماء واكتب اسم العميل.
• لإضافة عميل:
  • انقر  New .
  • أدخل اسم العميل.
  • أدخل عنوان URL لإعادة التوجيه. لإضافة أكثر من عنوان URL واحد، انقر أيقونة زائد.
  • انقر  Add  (أو انقر  Clear  ثم انقر  X   لإغلاق الصفحة وعدم إضافة العميل).
  • لتحرير عميل أو حذفه، قم بتمييز صف العميل وانقر فوق العناصر الناقصة ضمن "إجراءات".
  • ثم:
    • انقر  Edit  لتحرير اسم العميل أو المعرف أو إعادة توجيه URL. في صفحة تحرير العميل، قم بإجراء تغييرات وانقر فوق  Save  (أو انقر مسح ثم انقر فوق X  لإغلاق الصفحة وعدم حفظ التحريرات).
    • انقر  Delete  لحذف العميل.

ملاحظة: يجب أن تكون الشهادة مع خوارزمية التجزئة الآمنة SHA-256.