إعداد AD FS الإصدار 2.0 لمثال تكوين SAML SSO
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين خدمة إتحاد خدمة Active Directory (AD FS) الإصدار 2.0 لتمكين لغة تسجيل الدخول الموحد للأمان (SAML) لمنتجات تعاون Cisco مثل Cisco Unified Communications Manager (CUCM)، و Cisco Unity Connection (UCXN)، و CUCM IM و Presence، و Cisco Prime Collaboration.
المتطلبات الأساسية
المتطلبات
يجب تثبيت واختبار AD FS الإصدار 2.0.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- AD FS، الإصدار 2.0
- برنامج Microsoft Internet Explorer 10
- CUCM الإصدار 10.5
- Cisco IM و Presence Server، الإصدار 10.5
- UCXN الإصدار 10.5
- Cisco Prime Collaboration Provisioning 10.5
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تنزيل بيانات تعريف موفر تعريف AD FS الإصدار 2.0 (IDp)
لتنزيل بيانات تعريف IDp، قم بتشغيل هذا الارتباط على المستعرض لديك: https://<FQDN من ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.
تنزيل بيانات تعريف خادم التعاون (SP)
خدمة المراسلة الفورية والحضور من CUCM
افتح مستعرض ويب، وقم بتسجيل الدخول إلى CUCM كمسؤول، ثم انتقل إلى النظام > تسجيل الدخول الأحادي SAML.
Unity Connection
افتح مستعرض ويب، وقم بتسجيل الدخول إلى UCXN كمسؤول، ثم انتقل إلى إعدادات النظام > تسجيل الدخول الأحادي SAML.
إمداد التعاون Cisco Prime
افتح مستعرض ويب، وقم بتسجيل الدخول إلى Prime Collaboration Assurance على هيئة GlobalAdmin، ثم انتقل إلى Administration > إعداد النظام > تسجيل الدخول الأحادي.
إضافة CUCM كثقة طرف الاعتماد
- قم بتسجيل الدخول إلى خادم AD FS وتشغيل AD FS الإصدار 2.0 من قائمة برامج Microsoft Windows.
- حدد إضافة ثقة طرف الاعتماد.
- انقر على بدء.
- حدد إدراج بيانات عن الجهة المعولة من خيار ملف، واختر ملف بيانات SPMetadata_CUCM.xml الأولية الذي قمت بتنزيله من CUCM سابقا، وانقر التالي.
- دخلت عرض إسم وطقطقة بعد ذلك.
- أختر السماح لجميع المستخدمين بالوصول إلى جهة الاعتماد هذه وانقر فوق التالي.
- حدد فتح مربع الحوار "تحرير قواعد المطالبة" لوثقة الطرف المعول عند إغلاق المعالج والنقر فوق إغلاق.
- انقر فوق إضافة قاعدة.
- انقر فوق التالي مع تعيين قالب قاعدة المطالبة الافتراضي لإرسال سمات LDAP كمطالبات.
- في "تكوين القاعدة"، أدخل اسم قاعدة المطالبة، وحدد Active Directory كمخزن السمات، ثم قم بتكوين سمة LDAP ونوع المطالبة الصادرة كما هو موضح في هذه الصورة، ثم انقر فوق إنهاء.
- انقر فوق إضافة قاعدة، ثم حدد إرسال المطالبات باستخدام قاعدة مخصصة كقالب قاعدة مطالبة، ثم انقر فوق التالي.
- أدخل اسما لاسم قاعدة المطالبة وانسخ هذه الصياغة في المساحة المحددة تحت القاعدة المخصصة:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
(ملاحظة: إذا قمت بنسخ النص ولصقه من هذه الأمثلة، فكن على دراية بأن بعض برامج معالجة الكلمات سوف تستبدل علامات اقتباس ASCII (") بإصدارات Unicode (""). سوف تتسبب إصدارات Unicode في فشل قاعدة المطالبة.)
- انقر فوق إنهاء.
- طقطقة يطبق وبعد ذلك ok.
- قم بإعادة تشغيل خدمة AD FS الإصدار 2.0 من Services.msc.
إضافة CUCM IM والحضور كثقة جهة الاعتماد
- كرر الخطوات من 1 إلى 11 كما هو موصوف لإضافة CUCM كثقة الطرف المعول وانتقل إلى الخطوة 2.
- أدخل اسما لاسم قاعدة المطالبة وانسخ هذه الصياغة في المساحة المحددة تحت القاعدة المخصصة:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");
لاحظ أن IM و Presence و AD FS FQDN يتم ملؤها مسبقا مع IM و Presence و AD FS في المختبر في هذا المثال ويجب تعديلها لتطابق بيئتك. - انقر فوق إنهاء.
- طقطقة يطبق وبعد ذلك ok.
- قم بإعادة تشغيل خدمة AD FS الإصدار 2. 0 من Services.msc.
إضافة UCXN كثقة طرف الاعتماد
- كرر الخطوات من 1 إلى 12 كما هو موصوف لإضافة CUCM كثقة الطرف المعول وانتقل إلى الخطوة 2.
- أدخل اسما لاسم قاعدة المطالبة وانسخ هذه الصياغة في المساحة المحددة تحت القاعدة المخصصة:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");
لاحظ أن UCXN و AD FS FQDN يتم ملؤها مسبقا مع UCXN و ADFS في هذا المثال ويجب تعديلها لتطابق بيئتك. - انقر فوق إنهاء.
- طقطقة يطبق وبعد ذلك ok.
- قم بإعادة تشغيل خدمة AD FS الإصدار 2. 0 من Services.msc.
إضافة إعداد تعاون Cisco Prime كثقة لطرف الاعتماد
- كرر الخطوات من 1 إلى 12 كما هو موصوف لإضافة CUCM كثقة الطرف المعول وانتقل إلى الخطوة 2.
- أدخل اسما لاسم قاعدة المطالبة وانسخ هذه الصياغة في المساحة المحددة تحت القاعدة المخصصة:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");
لاحظ أن Prime Provisioning و AD FS FQDN يتم ملؤها مسبقا مع إعداد التعاون ل Lab Prime (PCP) و AD FS من هذا المثال ويجب تعديلها لتطابق بيئتك. - انقر فوق إنهاء.
- طقطقة يطبق وبعد ذلك ok.
- قم بإعادة تشغيل خدمة AD FS الإصدار 2.0 من Services.msc.
بمجرد إعداد AD FS الإصدار 2.0، انتقل إلى تمكين SAML SSO على منتجات تعاون Cisco.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
بيانات تشخيص سجلات AD FS لسجل أحداث النظام. من Server Manager (مدير الخادم) الموجود على التشخيصات المفتوحة لخادم AD FS -> عارض الأحداث -> التطبيقات والخدمات -> AD FS 2. 0 -> Admin
البحث عن الأخطاء المسجلة لنشاط AD FS
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
20-Jan-2015 |
الإصدار الأولي |
التعليقات