Installation und Konfiguration des F5 Identity Provider (IdP) für Cisco Identity Service (IdS) zur Aktivierung von SSO

Download-Optionen

  • PDF     (3.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. Oktober 2017
Dokument-ID:212148

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration des F5 BIG-IP Identity Providers (IdP) zur Aktivierung von Single Sign On (SSO) beschrieben.

    Cisco IDs-Bereitstellungsmodelle

    Produkt Bereitstellung
    UCCX Mitansässig
    PCCE Co-Resident mit CUIC (Cisco Unified Intelligence Center) und LD (Live-Daten)
    UCCE

    Gleichzeitige Implementierung mit CUIC und LD für 2k-Bereitstellungen

    Standalone für Bereitstellungen der Serien 4000 und 12000.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Unified Contact Center Express (UCCX) Version 11.6 oder Cisco Unified Contact Center Enterprise Version 11.6 bzw. Packaged Contact Center Enterprise (PCCE) Version 11.6

    Anmerkung: Dieses Dokument bezieht sich auf die Konfiguration in Bezug auf den Cisco Identitätsdienst (IdS) und den Identitätsanbieter (IdP). Das Dokument verweist in den Screenshots und Beispielen auf UCCX. Die Konfiguration ist jedoch in Bezug auf den Cisco Identitätsdienst (UCCX/UCCE/PCCE) und den IdP ähnlich.

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Install 

    Big-IP ist eine Paketlösung mit mehreren Funktionen. Zugriffsrichtlinien-Manager (APM), das mit dem Identity Provider-Service in Verbindung steht.

    IP als APM:

    Version 13.0
    Typ Virtual Edition (OVA)
    IPs

    Zwei IPs in verschiedenen Subnetzen. Einen für die Verwaltungs-IP

    und einer für den virtuellen IdP-Server

    Laden Sie das Virtual Edition-Image von der Big-IP-Website herunter, und stellen Sie die OVA bereit, um eine vorinstallierte virtuelle Maschine (VM) zu erstellen. Erwerben Sie die Lizenz, und installieren Sie sie mit den grundlegenden Anforderungen.

    Anmerkung: Informationen zur Installation finden Sie in der Big-IP-Installationsanleitung.

    Konfigurieren

    • Navigieren Sie zur Ressourcenbereitstellung, aktivieren Sie die Zugriffsrichtlinie, und legen Sie die Bereitstellung auf Nominal fest.

    212148-install-and-configure-the-f5-identity-pr-00.png

    • Erstellen eines neuen VLAN unter Netzwerk -> VLANs

    212148-install-and-configure-the-f5-identity-pr-01.png

    • Erstellen Sie einen neuen Eintrag für die IP, die für die IdP unter Netzwerk -> Selbst-IPs verwendet wird.

    212148-install-and-configure-the-f5-identity-pr-02.png

    • Erstellen Sie ein Profil unter Zugriff -> Profil/Richtlinien -> Zugriffsprofile

    212148-install-and-configure-the-f5-identity-pr-03.png

    • Erstellen eines virtuellen Servers

    212148-install-and-configure-the-f5-identity-pr-04.png

    212148-install-and-configure-the-f5-identity-pr-05.png

    • Fügen Sie Active Directory (AD)-Details unter Zugriff -> Authentifizierung -> Active Directory hinzu.

    212148-install-and-configure-the-f5-identity-pr-06.png

    • Erstellen Sie einen neuen IdP-Dienst unter Access -> Federation -> SAML Identity Provider -> Local IdP Services.

    212148-install-and-configure-the-f5-identity-pr-07.png

    212148-install-and-configure-the-f5-identity-pr-08.png

    212148-install-and-configure-the-f5-identity-pr-09.png

    Anmerkung: Wenn eine CAC (Common Access Card) für die Authentifizierung verwendet wird, müssen diese Attribute im Konfigurationsabschnitt für die SAML-Attribute hinzugefügt werden:

    Schritt 1: Erstellen des uid-Attributs.
    Name: UID
    Wert: %{session.ldap.last.attr.sAMAccountName}


    Schritt 2: Erstellen Sie das Attribut user_principale.

    Name:     Benutzer_Prinzipal
    Wert: %{session.ldap.last.attr.userPrincipalName}

    212148-install-and-configure-the-f5-identity-pr-10.png

    Anmerkung: Nachdem der IdP-Dienst erstellt wurde, besteht die Möglichkeit, die Metadaten über die Schaltfläche Metadaten exportieren unter Zugriff -> Verbund -> SAML-Identitätsanbieter -> Lokale IdP-Dienste herunterzuladen

    Erstellung von Security Assertion Markup Language (SAML)

    SAML-Ressourcen

    • Navigieren Sie zu Access -> Federation -> SAML Resources (Zugriff -> Verbund -> SAML-Ressourcen), und erstellen Sie eine Ressource, die dem zuvor erstellten IdP-Dienst zugeordnet werden soll.

    212148-install-and-configure-the-f5-identity-pr-11.png

    Webtops

    • Erstellen Sie ein Webtop unter Zugriff -> Webtops

    212148-install-and-configure-the-f5-identity-pr-12.png

    Virtual Policy Editor

    • Navigieren Sie zu der zuvor erstellten Richtlinie, und klicken Sie auf den Link "Bearbeiten".

    212148-install-and-configure-the-f5-identity-pr-13.png

    • Der Editor für virtuelle Richtlinien wird geöffnet.

    212148-install-and-configure-the-f5-identity-pr-14.png

    • Klicken Sie auf 212148-install-and-configure-the-f5-identity-pr-15.png Symbol und Elemente wie beschrieben hinzufügen

    Schritt 1. Logon page element - Lassen Sie alle Elemente standardmäßig.

    Schritt 2. AD Auth -> Wählen Sie die zuvor erstellte ADFS-Konfiguration aus.

    212148-install-and-configure-the-f5-identity-pr-16.png

    Schritt 3. AD-Abfrageelement - Weisen Sie die erforderlichen Details zu.

    212148-install-and-configure-the-f5-identity-pr-17.png

    Schritt 4. Erweiterte Ressourcenzuweisung - Ordnen Sie die gleiche Ressource und den Webtop zuvor erstellt zu.

    212148-install-and-configure-the-f5-identity-pr-18.png

    Austausch von Service Provider-Metadaten

    • Manueller Import des Zertifikats der IdS zu Big-IP über System -> Zertifikatsverwaltung -> Datenverkehrsverwaltung

    Anmerkung: Stellen Sie sicher, dass das Zertifikat aus den Tags BEGIN CERTIFICATE und END CERTIFICATE besteht.

    212148-install-and-configure-the-f5-identity-pr-19.png

    • Erstellen Sie einen neuen Eintrag aus sp.xml unter Access -> Federation -> SAML Identity Provider -> External SP Connectors.
    • Binden des SP-Connectors an den IdP-Dienst unter Access -> Federation -> SAML Identity Provider -> Local IdP Services

    Überprüfung

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    CAC-Authentifizierungsfehler (Common Access Card)

    Wenn die SSO-Authentifizierung für CAC-Benutzer fehlschlägt, überprüfen Sie in UCCX ids.log, ob die SAML-Attribute ordnungsgemäß festgelegt wurden.

    Bei einem Konfigurationsproblem tritt ein SAML-Fehler auf. In diesem Protokollausschnitt ist das SAML-Attribut user_principale beispielsweise nicht für die IdP konfiguriert.

    JJJJ-MM-TT hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERROR com.cisco.ccbu.ids IDsSSAMLAsyncServlet.java:465 - Konnte nicht aus der Attributzuordnung abrufen: Benutzer_Prinzipal

    JJJJ-MM-TT hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERROR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - SAML-Antwortverarbeitung fehlgeschlagen mit Ausnahme com.sun.identity.saml.common.SAMLException: user_cipal konnte nicht aus der Saml-Antwort abgerufen werden.

    unter com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)

    unter com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)

    unter com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)

    unter com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)

    unter java.util.parallelrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

    unter java.util.parallelrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

    unter java.lang.Thread.run(Thread.java:745)

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    27-Oct-2017
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Arundeep Nagaraj
      Cisco TAC Engineer
    • Balakrishnan Doraisamy
      Cisco Engineering
    • Jared Compiano
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.