المقدمة
يصف هذا المستند التكوين الموجود على F5 Big-IP Identity Provider (IDp) لتمكين تسجيل الدخول الأحادي (SSO).
نماذج نشر معرفات Cisco
المنتج |
النشر |
UCCX |
مقيم مشارك |
PCCE |
مقيم مشترك مع CUIC (Cisco Unified Intelligence Center) و LD (بيانات مباشرة) |
UCCE |
مشارك مقيم مع CUIC و LD لعمليات نشر 2k. مستقلة لعمليات النشر التي تبلغ 4 آلاف و 12 ألف عملية. |
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Cisco Unified Contact Center Express (UCCX) الإصدار 11.6 أو Cisco Unified Contact Center Enterprise الإصدار 11.6 أو Packaged Contact Center Enterprise (PCCE) الإصدار 11.6 حسب الاقتضاء.
ملاحظة: يشير هذا المستند إلى التكوين المرتبط بخدمة تعريف Cisco (المعرفات) ومزود الهوية (IdP). يشير المستند إلى UCCX في لقطات الشاشة والأمثلة، ومع ذلك فإن التكوين مماثل فيما يتعلق بخدمة تعريف Cisco (UCCX/UCCE/PCCE) ومعرف IDp.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الأمر Install
IP الكبير هو حل حزمة له ميزات متعددة. مدير نهج الوصول (APM) الذي يرتبط بالاشتراك بخدمة مزود الهوية.
بروتوكول Big-IP ك APM:
الإصدار |
13.0 |
النوع |
الإصدار الظاهري (OVA) |
IPs |
منفذا IPs في شبكات فرعية مختلفة. IP الخاص بالإدارة و واحد لخادم IdP الظاهري |
قم بتنزيل صورة الإصدار الظاهري من موقع Big-IP على الويب ونشر OVA لإنشاء جهاز ظاهري (VM) مثبت مسبقا. الحصول على الترخيص والتركيب مع المتطلبات الأساسية.
ملاحظة: للحصول على معلومات التثبيت، ارجع إلى دليل تثبيت Big-IP.
التكوين
- انتقل إلى إمداد الموارد وتمكين سياسة الوصول، وقم بتعيين الإمداد على القيمة الاسمية
- خلقت VLAN جديد تحت شبكة ->VLANs
- قم بإنشاء إدخال جديد ل IP يتم إستخدامه لمعرف IdP تحت الشبكة ->عناوين IP الذاتية
- إنشاء ملف تعريف تحت Access ->ملف تعريف/نهج ->ملفات تعريف الوصول
- إضافة تفاصيل Active Directory (AD) ضمن Access ->المصادقة -> Active Directory
- إنشاء خدمة IdP جديدة تحت Access ->الاتحاد ->SAML Identity Provider -> خدمات IdP المحلية
ملاحظة: إذا تم إستخدام بطاقة وصول مشتركة (CAC) للمصادقة، فيجب إضافة هذه السمات في قسم تكوين سمات SAML:
الخطوة 1. إنشاء سمة uid .
الاسم: يويد
القيمة: ٪{session.ldap.last.attr.sAMAccountName}
الخطوة 2. قم بإنشاء سمة user_principal.
الاسم: user_principal
القيمة: ٪{session.ldap.last.attr.userPrincipalName}
ملاحظة: بمجرد إنشاء خدمة IdP، هناك خيار لتنزيل بيانات التعريف باستخدام زر تصدير بيانات التعريف تحت Access ->Federation ->موفر هوية SAML - خدمات IdP المحلية
إنشاء لغة ترميز تأكيد الأمان (SAML)
موارد SAML
- انتقل إلى Access -> Federation -> SAML Resources وأوجد موردا لاقترانه بخدمة IdP التي تم إنشاؤها سابقا
ويبلز
- إنشاء Webtop تحت Access ->Webtops
محرر النهج الظاهري
- انتقل إلى النهج الذي تم إنشاؤه مسبقا وانقر فوق إرتباط تحرير
- يتم فتح محرر النهج الظاهري
- انقر فوق وأيقونة وإضافة عناصر كما هو موضح
الخطوة 1. عنصر صفحة تسجيل الدخول - أترك كل العناصر إلى الوضع الافتراضي.
الخطوة 2. مصادقة AD -> أختر تكوين ADFS الذي تم إنشاؤه مسبقا.
الخطوة 3. عنصر استعلام AD - تعيين التفاصيل الضرورية.
الخطوة 4. تعيين مسبق للموارد - إقران مورد SAML وسطح الويب الذي تم إنشاؤه مسبقا.
تبادل بيانات تعريف موفر الخدمة (SP)
- إستيراد شهادة المعرفات يدويا إلى Big-IP من خلال النظام ->إدارة الشهادات ->إدارة حركة المرور
ملاحظة: تأكد من أن الشهادة تتكون من علامات بداية الشهادة ونهاية الشهادة.
- إنشاء إدخال جديد من sp.xml ضمن Access ->federation ->SAML Identity Provider ->موصلات SP الخارجية
- ربط موصل SP بخدمة IdP تحت Access ->الاتحاد ->موفر هوية SAML ->خدمات IdP المحلية
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
فشل مصادقة بطاقة الوصول المشترك (CAC)
إذا فشلت مصادقة SSO لمستخدمي CAC، فتحقق من معرفات UCCX.log للتحقق من تعيين سمات SAML بشكل صحيح.
إذا كانت هناك مشكلة في التكوين، يحدث فشل SAML. على سبيل المثال، في جزء السجل هذا، لم يتم تكوين سمة SAML user_principal على IdP.
YYYY-MM-DD HH:mm:SS.SSS GMT(-0000) [IDseNdPoints-SAML-59] ERROR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 - تعذر الاسترداد من خريطة السمات: user_principal
YYYY-MM-DD HH:mm:SS.SSS GMT(-0000) [IDseNdPoints-SAML-59] ERROR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - فشلت معالجة إستجابة SAML باستثناء com.sun.identity.saml.common.samleXception: تعذر إسترداد user_principal من إستجابة saml
at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)
at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)
at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)
at com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
في java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
في java.lang.Thread.run(Thread.java:745)
معلومات ذات صلة