تثبيت موفر هوية PingFederate وتكوينه ل Cisco Identity Service لتمكين SSO

المقدمة

يصف هذا المستند التكوين الموجود على موفر هوية PingFederate (IDp) لتمكين تسجيل الدخول الأحادي (SSO).

نماذج نشر معرفات Cisco

المنتج	النشر
UCCX	مقيم مشارك
PCCE	مقيم مشترك مع CUIC (Cisco Unified Intelligence Center) و LD (بيانات مباشرة)
UCCE	مشارك مقيم مع CUIC و LD لعمليات نشر 2k. مستقلة لعمليات النشر التي تبلغ 4 آلاف و 12 ألف عملية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Cisco Unified Contact Center Express (UCCX) الإصدار 11.6 أو Cisco Unified Contact Center Enterprise الإصدار 11.6 أو Packaged Contact Center Enterprise (PCCE) الإصدار 11.6 حسب الاقتضاء.
• تم تثبيت PingFederate على Windows Server

ملاحظة: يشير هذا المستند إلى التكوين المرتبط بخدمة تعريف Cisco (المعرفات) ومزود الهوية (IDp). يشير المستند إلى UCCX في لقطات الشاشة والأمثلة، ومع ذلك فإن التكوين يكون مماثلا فيما يتعلق بخدمة تعريف Cisco (UCCX/UCCE/PCCE) ومعرف IDp.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

تثبيت

متطلبات النظام

أنظمة التشغيل	بيئة جافا	المستعرضات المدعومة للمستخدمين النهائيين	المستعرضات المدعومة لوحدة التحكم الإدارية	تكامل مخزن البيانات (للبحث عن سمة المستخدم)	الحد الأدنى لمتطلبات الأجهزة	الحد الأدنى لتوصيات الأجهزة
نظام التشغيل Microsoft Windows Server 2008 R2 SP (حزمة الخدمة) نظام التشغيل Microsoft Windows Server 2012 Standard نظام التشغيل Microsoft Windows Server 2012 R2 Datacenter Oracle Enterprise Linux 6. 5 (نواة متوافقة مع Red Hat) Oracle Solaris 10 نظام التشغيل Red Hat Enterprise Linux ES 6.6 نظام التشغيل Red Hat Enterprise Linux ES 7.0 SUSE Linux Enterprise 11 SP 3	Oracle Java SE Runtime Environment (Server JRE) 7 تحديث 79 (64 بت) Oracle Java SE Runtime Environment (Server JRE) 8 التحديث 45 (64 بت)	كروم فايرفوكس Internet Explorer (الإصدار 9 والإصدارات الأحدث) سفاري	كروم فايرفوكس Internet Explorer (الإصدار 9 والإصدارات الأحدث)	Microsoft Active Directory (2008 R2 و 2012) Oracle Directory Server Enterprise Edition 11g خادم Microsoft SQL (لغة الاستعلام المهيكلة) (2012 و 2014) قاعدة بيانات Oracle (الجيل العاشر والخادم طراز R2 من الجيل الحادي عشر) Oracle MySQL، الإصدار 5.6	معالج Intel Pentium 4 بسرعة 1.8 جيجاهرتز ذاكرة وصول عشوائي (RAM) سعة 1 جيجابايت مساحة 250 ميجابايت متوفرة لمحرك الأقراص الثابتة	معالج Intel Xeon أو SPARC متعدد المراكز 4 مراكز/وحدات معالجة مركزية موصى بها ذاكرة وصول عشوائي (RAM) سعة 4 جيجابايت 1.5 جيجابايت متوفرة ل PingFederate مساحة 500 ميجابايت متوفرة لمحرك الأقراص الثابتة

تثبيت

استخرج ملف ZIP للتوزيع أو أستخدم مثبت خاص بالنظام الأساسي لتثبيت PingFederate.

• طلب مفتاح ترخيص من خلال صفحة ويب لترخيص هوية Ping (www.pingidentity.com/support-and-downloads/licensing.cfm)
• تأكد من تسجيل دخولك إلى نظامك باستخدام الامتيازات المناسبة لتثبيت تطبيق وتشغيله
• تحقق من تثبيت بيئة وقت تشغيل Server Java (JRE) ومن تعيين متغيرات البيئة والمسار بشكل صحيح

تثبيت PingFederate باستخدام ملف ZIP للتوزيع

إستخراج ملف ZIP للتوزيع في دليل تثبيت.

تحذير: لتجنب المشاكل المستقبلية مع الترقيات المؤتمتة، لا تقم بإعادة تسمية مجلد Pingfederate المثبت. إذا كنت تقوم بتثبيت مثيلات متعددة من PingFederate على نفس الجهاز (على سبيل المثال، في سيناريوهات معينة لتجمع الخوادم)، فإما أن تقوم بتثبيت كل مثيل في موقع مختلف أو تقوم بإعادة تسمية المجلد الأصل لتثبيت بنية ملف متوازية في نفس الموقع.

تثبيت PingFederate باستخدام ملف EXE للتوزيع

انقر ملف exe نقرا مزدوجا واتبع خطوات التثبيت

بدء تشغيل PingFederation لأول مرة

في حالة تثبيت PingFederate باستخدام أحد المثبتات الخاصة بالنظام الأساسي، يتم تكوين PingFederate ليتم تشغيله كخدمة ويبدأ تلقائيا في نهاية عملية التثبيت.

إذا قمت بتثبيت PingFederate باستخدام ملف ZIP للتوزيع، قم بتشغيل البرنامج النصي لبدء PingFederate يدويا،

(في Windows) <pf_install>/pingfederate/bin/run.bat
(Unix/Linux) <pf_install>/pingfederate/bin/run.sh

انتظر حتى ينتهي البرنامج النصي - تنتهي عملية بدء التشغيل عندما تظهر هذه الرسالة قرب نهاية التسلسل:

بدأ PingFederate في <X>s:<Y>ms

معالج الإعداد الأولي

تم إنشاء واجهة مستخدم PingFederate Administrator، وحدة التحكم الإدارية، حول نظام من شاشات التحكم تشبه المعالج. قم بتشغيل وحدة التحكم الإدارية ل PingFederate واستخدم معالج الإعداد الأولي لإكمال تكوين إعدادات إتحاد الهوية. يمكنك أيضا توصيل PingFederate ب PingOne لنشر حل هجين فعال قائم على السحابة وموجود في الموقع. 

للوصول إلى وحدة التحكم الإدارية:

قم بتشغيل المستعرض وتصفح إلى https://<FQHN>:9999/pingfederate/app (حيث يكون <FQHN> هو اسم المضيف المؤهل بالكامل للخادم الذي تم تثبيت PingFederate عليه).

ملاحظة: يتم تعيين رقم المنفذ 9999 بشكل افتراضي. يمكن تغيير هذا الإجراء من خلال خصائص PingFederate.

قبول إتفاقية الترخيص

حساب PingOne

طقطقت بعد ذلك

الترخيص

يجب عليك شراء ترخيص تطوير أو طلبه من موقع pingidentity.com وتحميل ملف الترخيص وانقر فوق التالي

معلومات أساسية

قم بتعيين عنوان URL الأساسي ومعرف الوحدة، ثم انقر فوق التالي

تمكين الأدوار

حدد موفر الهوية وانقر التالي

تكوين موفر الهوية

يمكن إجراء الاتصال ب Active Directory لاحقا، انقر فوق التالي

حساب المسؤول

قم بتعيين كلمة مرور المسؤول وانقر فوق التالي

تأكيد

تأكيد وانقر فوق التالي

إكمال

طقطقة تم

تكوين PingFederate

تكوين الخادم

مفاتيح فك تشفير التوقيع الرقمي ولغة الترميز القابلة للتوسيع (XML)

انقر تكوين الخادم > إدارة الشهادات >مفاتيح وشهادات فك تشفير التوقيع و XML

انقر فوق إنشاء جديد

إنشاء شهادة

طقطقت بعد ذلك

تصدير الشهادة

التصدير والتلخيص

انقر على تصدير

مخازن البيانات

انقر فوق تكوين الخادم>إعدادات النظام>مخازن البيانات

انقر فوق إضافة مخزن بيانات جديد

تكوين LDAP

أخترت LDAP وطقطقة بعد ذلك

قم بإدخال القيم وانقر التالي

ملخص

انقر فوق حفظ بعد التحقق.

أجهزة التحقق من صحة بيانات اعتماد كلمة المرور

انقر فوق تكوين الخادم > المصادقة > أدوات التحقق من صحة بيانات اعتماد كلمة المرور

انقر فوق إنشاء مثيل جديد.

النوع

حدد أداة التحقق من صحة بيانات اعتماد كلمة مرور اسم مستخدم LDAP كنوع. انقر فوق Next (التالي).

تكوين المثيل

حدد DataStore ل LDAP وأدخل قاعدة البحث وعامل تصفية البحث ونطاق البحث. انقر فوق Next (التالي).

عقد ممدد

طقطقت بعد ذلك

ملخص

دققت العملية إعداد وطقطقة تم.

إعدادات الخادم

إدارة النظام

طقطقت نادل تشكيل >نظام عملية إعداد> نادل عملية إعداد

انقر فوق Next (التالي).

معلومات النظام

انقر فوق Next (التالي).

إعلامات وقت التشغيل

انقر فوق Next (التالي).

تقارير وقت التشغيل

انقر فوق Next (التالي).

إدارة الحسابات

انقر فوق Next (التالي).

ملاحظة: يمكنك إضافة مستخدم أو تغيير كلمة مرور المستخدم في هذا القسم.

الأدوار والبروتوكولات

حدد الدور/الأدوار المناسبة والبروتوكول/البروتوكولات المناسبة. انقر فوق Next (التالي).

معلومات الاتحاد

انقر فوق Next (التالي).

خيارات النظام

انقر فوق Next (التالي).

توقيع بيانات التعريف

حدد شهادة التوقيع وخوارزمية التوقيع التي تم إنشاؤها مسبقا كجزء من تكوين الشهادة. انقر فوق Next (التالي).

العمر الافتراضي لبيانات التعريف

انقر فوق Next (التالي).

ملخص

دققت العملية إعداد وطقطقة حفظ.

تكوين موفر الهوية (IDp)

مهايئات

انقر على تكوين IDp>دمج التطبيقات > المهايئات

انقر فوق إنشاء مثيل جديد.

النوع

أختر مهايئ HTML Form Idp. انقر فوق Next (التالي).

مهايئ IDp

انقر فوق إضافة صف جديد إلى 'مدققات بيانات الاعتماد' وحدد مدقق LDAP الذي تم إنشاؤه مسبقا كمثيل مدقق بيانات اعتماد كلمة المرور وانقر فوق تحديث. انقر فوق Next (التالي).

عقد ممدد

قم بإضافة العقود كما هو موضح. انقر فوق Next (التالي).

سمات المحول

انقر فوق Next (التالي).

تخطيط عقد المحول

انقر على تكوين عقد المحول.

مصادر السمات والبحث عن المستخدم

قم بإضافة مصدر سمة وحدد مخزن LDAP الذي تم إنشاؤه مسبقا. انقر فوق Next (التالي).

تنفيذ عقد المحول

تعيين السمات. انقر فوق Next (التالي).

معايير الإصدار

انقر فوق Next (التالي).

ملخص

دققت العملية إعداد وطقطقة تم.

إتصالات SP

إنشاء إتصالات SP جديدة

نوع الاتصال

انقر فوق Next (التالي).

خيارات الاتصال

طقطقت بعد ذلك

إدراج البيانات الأولية

تنزيل ملف بيانات تعريف xml الخاصة بموفر الخدمة من مسؤول خدمة الهوية من Cisco > الإعدادات > ثقة المعرفات > تنزيل بيانات التعريف

تحميل ملف xml لبيانات تعريف موفر الخدمة إلى PingFederate.

أختر ملف xml الذي تم تنزيله وانقر التالي

ملخص بيانات التعريف

طقطقت بعد ذلك

معلومات عامة

طقطقت بعد ذلك

مستعرض SSO

انقر فوق تكوين SSO للمستعرض

ملفات تعريف لغة ترميز تأكيد الأمان (SAML)

طقطقت بعد ذلك

ملاحظة: تسجيل الخروج الأحادي (SLO) غير مدعوم من قبل خدمة الهوية (IDs) من Cisco في 11.6 وغير محدد.

عمر التأكيد

طقطقت بعد ذلك

إنشاء التأكيد

انقر فوق تكوين إنشاء التأكيد

تخطيط الهوية

طقطقت بعد ذلك

عقد السمة

تحذير: هذه السمات إلزامية للتوافق بين خدمة الهوية (IDs) من Cisco مع PingFederate.

طقطقت بعد ذلك

تعيين مصدر المصادقة

انقر على تعيين مثيل محول جديد

تعيين محول HTML Form IdP الذي تم إنشاؤه مسبقا. طقطقت بعد ذلك

أسلوب التعيين

طقطقت بعد ذلك

تنفيذ عقد السمة

تأكد من تعيين القيم على

طقطقت بعد ذلك

معايير الإصدار

ملخص

دققت العملية إعداد وطقطقة تم

إعدادات البروتوكول

انقر على تكوين إعدادات البروتوكول

عنوان URL لخدمة المستهلك للتأكيد

إضافة نقطة نهاية SSO لربط مادة النشر. طقطقت بعد ذلك

روابط SAML المسموح بها

طقطقت بعد ذلك

سياسة التوقيع

ملاحظة: تضمن معرفات Cisco رسالة SAML لتكون 'موقعة' وبالتالي لا تحدد 'توقيع تأكيد SAML دائما'. وذلك لأن PingFederate سيوقع إما 'تأكيد SAML' أو 'إستجابة SAML' ولكن ليس كلاهما.

طقطقت بعد ذلك

نهج التشفير

ملاحظة: لا تدعم معرفات Cisco تدفق SAML المشفر وبالتالي أختر "لا شيء" لإعداد "سياسة التشفير".

طقطقت بعد ذلك

ملخص

دققت العملية إعداد وطقطقة تم

بيانات الاعتماد

انقر على تكوين بيانات الاعتماد

إعدادات التوقيع الرقمي

حدد شهادة التوقيع التي تم إنشاؤها مسبقا. إذا لم تكن كذلك، يمكنك النقر فوق إدارة الشهادات لإنشاء شهادة.

ملاحظة: لا تدعم معرفات Cisco RSA SHA256 لتوقيع إستجابة SAML وبالتالي يتم إستخدام "RSA SHA1".

طقطقت بعد ذلك

إعدادات التحقق من التوقيع

انقر إدارة إعدادات التحقق من التوقيع

نموذج الثقة

طقطقت بعد ذلك

شهادة التحقق من التوقيع

انقر على إدارة الشهادات لاستيراد شهادات من SP.

انقر على إستيراد لاستيراد شهادة.

ملخص

طقطقة تم

ملخص

تحقق من الملخص وانقر فوق تم

التنشيط والتلخيص

تحقق من الملخص وانقر فوق حفظ.

تصدير بيانات تعريف PingFederate

تصدير بيانات التعريف

وضع البيانات الأولية

انقر فوق تكوين الخادم > الوظائف الإدارية > تصدير بيانات التعريف

طقطقت بعد ذلك

بيانات تعريف الاتصال

حدد اتصال SP الذي قمت بإنشائه وانقر فوق التالي

توقيع بيانات التعريف

حدد شهادة بيانات التعريف التي قمت بإنشائها وخوارزمية التوقيع عليها ك RSA SHA256. طقطقت بعد ذلك

التصدير والتلخيص

انقر فوق تصدير الملف وحفظه في نظامك المحلي.

• قم بتحرير ملف XML لبيانات التعريف التي تم تنزيلها لإزالة إدخالات مساحة الاسم 'md' وحفظها
• ثم قم بتحميل ملف بيانات التعريف المحفوظ إلى معرفات من صفحة idsadmin لإنشاء ثقة IDP 

نموذج بيانات أولية

استكشاف الأخطاء وإصلاحها

المشكلة	أداة	السبب المحتمل
فشل تحميل بيانات تعريف PingFederate في صفحة إدارة المعرفات	محرر ملف نصي	تأكد من أن ملف XML الخاص ببيانات التعريف لا يحتوي على إدخالات مساحة الاسم 'md'.
فشل تدفق SAML	سامل تريكر	تحقق مما إذا كان 'StatusCode' يشير إلى 'Success'، أي. <samlp :StatusCode Value="urn:oasis:الأسماء:tc:SAML:2.0:status:Success" /> إذا لم تكن كذلك، فتحقق مما إذا كانت تشير إلى 'الطالب' أو 'المستجيب' يعني "الطالب" إصدار طلب SAML، أي أن معرفات Cisco لم ترسل الطلب بشكل صحيح. تحقق من سجلات معرفات Cisco ضمن /opt/cisco/ids/log/ folder يعني "المستجيب" الإصدار مع IdP - لذلك تحقق من سجلات PingFederate
فشل تدفق SAML	سامل تريكر	تحقق من عنصر <saml:AuthnContextClassRef> - يجب أن تكون قيمته urn:oasis:names:tc:saml:2.0:ac:classes:PasswordProtectedTransport إذا تم تعيين قيمته على urn:oasis:names:tc:saml:2.0:ac:classes:غير محدد - بعد ذلك تحقق مما إذا كان SAML_AUTHN_CTXcontract قد تم تكوينه وتخطيطه بشكل صحيح أم لا.
فشل تدفق SAML	سامل تريكر	تحقق من عنصر <saml:AttributeStatement>- يجب أن يكون موجودا ويجب أن يحتوي على عناصر فرعية تتوافق مع 'uid' و'user_principal' إذا لم يتم العثور عليه، فتحقق من إعدادات "إنشاء التأكيد" التي يتبعها إعدادات "تنفيذ العقد" لضمان تعريف سمات العقد وتخطيطها بشكل صحيح
فشل تدفق SAML	سامل تريكر	تحقق من وجود رسالة "توقيع غير صالح" إما في معرفات Cisco أو سجلات PingFederate. إذا تم التأكيد، فأعد إنشاء ثقة بيانات التعريف عبر المعرفات و PingFederation
فشل تدفق SAML	سامل تريكر	تحقق من شروط الوقت، يجب أن يكون الوقت الذي تلقت فيه معرفات Cisco إستجابة SAML بين الأوقات المحددة في <saml:Conditions NotBefore="2016-12-18T07:24:10.191Z" NotOnOrAfter="2016-12-18T07:34:10.191">

تكوين إضافي ل SSO:

يصف هذا وثيقة التشكيل من ال idP جانب ل SSO أن يتكامل مع cisco هوية خدمة. لمزيد من التفاصيل، ارجع إلى أدلة تكوين المنتج الفردي:

• UCCX
• UCCE
• PCCE