قم بتثبيت موفر هوية F5 (IDp) وتكوينه لخدمة تعريف Cisco (IDs) لتمكين SSO

المقدمة

يصف هذا المستند التكوين الموجود على F5 Big-IP Identity Provider (IDp) لتمكين تسجيل الدخول الأحادي (SSO).

نماذج نشر معرفات Cisco

المنتج	النشر
UCCX	مقيم مشارك
PCCE	مقيم مشترك مع CUIC (Cisco Unified Intelligence Center) و LD (بيانات مباشرة)
UCCE	مشارك مقيم مع CUIC و LD لعمليات نشر 2k. مستقلة لعمليات النشر التي تبلغ 4 آلاف و 12 ألف عملية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Cisco Unified Contact Center Express (UCCX) الإصدار 11.6 أو Cisco Unified Contact Center Enterprise الإصدار 11.6 أو Packaged Contact Center Enterprise (PCCE) الإصدار 11.6 حسب الاقتضاء.

ملاحظة: يشير هذا المستند إلى التكوين المرتبط بخدمة تعريف Cisco (المعرفات) ومزود الهوية (IDp). يشير المستند إلى UCCX في لقطات الشاشة والأمثلة، ومع ذلك فإن التكوين يكون مماثلا فيما يتعلق بخدمة تعريف Cisco (UCCX/UCCE/PCCE) ومعرف IDp.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

تثبيت

IP الكبير هو حل حزمة له ميزات متعددة. مدير نهج الوصول (APM) الذي يرتبط بالاشتراك بخدمة مزود الهوية.

بروتوكول Big-IP ك APM:

قم بتنزيل صورة الإصدار الظاهري من موقع Big-IP على الويب ونشر OVA لإنشاء جهاز ظاهري (VM) مثبت مسبقا. الحصول على الترخيص والتركيب مع المتطلبات الأساسية.

ملاحظة: للحصول على معلومات التثبيت، ارجع إلى دليل تثبيت Big-IP.

التكوين

• انتقل إلى إمداد الموارد وتمكين سياسة الوصول، وقم بتعيين الإمداد على القيمة الاسمية

• خلقت VLAN جديد تحت شبكة ->VLANs

• قم بإنشاء إدخال جديد ل IP يتم إستخدامه لمعرف IdP تحت الشبكة ->عناوين IP الذاتية

• إنشاء ملف تعريف تحت Access ->ملف تعريف/نهج ->ملفات تعريف الوصول

• إنشاء خادم ظاهري

• إضافة تفاصيل Active Directory (AD) ضمن Access ->المصادقة -> Active Directory

• إنشاء خدمة IdP جديدة تحت Access ->الاتحاد ->SAML Identity Provider -> خدمات IdP المحلية

ملاحظة: في حالة إستخدام بطاقة وصول مشتركة (CAC) للمصادقة، يلزم إضافة هذه السمات في قسم تكوين سمات SAML:

الخطوة 1. إنشاء السمة uid .

الاسم: معرف المستخدم
القيمة: ٪{session.ldap.last.attr.sAMAccountName}


الخطوة 2. قم بإنشاء سمة user_principal.

الاسم: user_principal
القيمة: ٪{session.ldap.last.attr.userPrincipalName}

ملاحظة: بمجرد إنشاء خدمة IdP، يكون هناك خيار لتنزيل بيانات التعريف باستخدام زر تصدير بيانات التعريف تحت Access ->Federation ->موفر هوية SAML - خدمات IdP المحلية

إنشاء لغة ترميز تأكيد الأمان (SAML)

موارد SAML

• انتقل إلى Access -> Federation -> SAML Resources وأوجد موردا لاقترانه بخدمة IdP التي تم إنشاؤها سابقا

ويبلز

• إنشاء Webtop تحت Access ->Webtops

محرر النهج الظاهري

• انتقل إلى النهج الذي تم إنشاؤه مسبقا وانقر فوق إرتباط تحرير

• يتم فتح محرر النهج الظاهري

• انقر فوق  وأيقونة وإضافة عناصر كما هو موضح

الخطوة 1. عنصر صفحة تسجيل الدخول - أترك كافة العناصر إلى الوضع الافتراضي.

الخطوة 2. مصادقة الإعلان -> أختر تكوين ADFS الذي تم إنشاؤه مسبقا.

الخطوة 3. عنصر استعلام AD - تعيين التفاصيل الضرورية.

الخطوة 4. تعيين الموارد المتقدمة - إقران مورد SAML وسطح الويب الذي تم إنشاؤه مسبقا.

تبادل بيانات تعريف موفر الخدمة (SP)

• إستيراد شهادة المعرفات يدويا إلى Big-IP من خلال النظام ->إدارة الشهادات ->إدارة حركة المرور

ملاحظة: تأكد من أن الشهادة تتكون من علامات بداية الشهادة ونهاية الشهادة.

• إنشاء إدخال جديد من sp.xml ضمن Access ->federation ->SAML Identity Provider ->موصلات SP الخارجية
• ربط موصل SP بخدمة IdP تحت Access ->الاتحاد ->موفر هوية SAML ->خدمات IdP المحلية

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

فشل مصادقة بطاقة الوصول المشترك (CAC)

إذا فشلت مصادقة SSO لمستخدمي CAC، فتحقق من معرفات UCCX.log للتحقق من تعيين سمات SAML بشكل صحيح.

إذا كانت هناك مشكلة في التكوين، يحدث فشل SAML. على سبيل المثال، في جزء السجل هذا، لم يتم تكوين سمة SAML user_principal على IdP.

YYYY-MM-DD HH:mm:SS.SSS GMT(-0000) [IDseNdPoints-SAML-59] ERROR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 - تعذر الاسترداد من تعيين السمات: user_principal

YYYY-MM-DD HH:mm:SS.SSS GMT(-0000) [IDseNdPoints-SAML-59] ERROR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - فشلت معالجة إستجابة SAML باستثناء com.sun.identity.saml.common.samleXception: تعذر إسترداد user_principal من إستجابة saml

at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)

at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)

at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)

at com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)

at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

في java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

في java.lang.Thread.run(Thread.java:745)

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems