Introduction
Ce document décrit la configuration sur le fournisseur d'identité BIG-IP (IdP) F5 pour activer l'authentification unique (SSO).
Modèles de déploiement Cisco IdS
Product (produit) |
Déploiement |
UCCX |
Coprésident |
PCCE |
Co-résident avec CUIC (Cisco Unified Intelligence Center) et LD (Live Data) |
UCCE |
Co-résident avec CUIC et LD pour les déploiements 2k. Autonome pour les déploiements 4K et 12K. |
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco Unified Contact Center Express (UCCX) version 11.6 ou Cisco Unified Contact Center Enterprise version 11.6 ou Packaged Contact Center Enterprise (PCCE) version 11.6, selon le cas.
Remarque : Ce document fait référence à la configuration en ce qui concerne le service d'identification Cisco (IdS) et le fournisseur d'identité (IdP). Le document fait référence à UCCX dans les captures d'écran et les exemples, mais la configuration est similaire en ce qui concerne le service d'identification Cisco (UCCX/UCCE/PCCE) et le fournisseur d'identité.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Install
Le protocole Big-IP est une solution groupée dotée de plusieurs fonctionnalités. Access Policy Manager (APM) qui est en corrélation avec le service du fournisseur d'identité.
Big-IP comme APM :
Version |
13.0 |
Type |
Édition virtuelle (OVA) |
IP |
Deux adresses IP dans des sous-réseaux différents. Un pour l'IP de gestion et un pour le serveur virtuel IdP |
Téléchargez l'image de l'édition virtuelle à partir du site Web Big-IP et déployez l'OVA pour créer une machine virtuelle préinstallée. Procurez-vous la licence et installez avec la configuration de base.
Remarque : Pour obtenir des informations sur l'installation, reportez-vous au guide d'installation Big-IP.
Configurer
- Naviguez jusqu'à provisioning des ressources et activez Access Policy, définissez provisioning sur Nominal
- Créez un nouveau VLAN sous Réseau -> VLAN
- Créez une nouvelle entrée pour l'adresse IP qui est utilisée pour le fournisseur d'identité sous Réseau -> Adresses IP personnelles
- Créez un profil sous Accès -> Profil/Stratégies -> Profils d'accès
- Ajoutez les détails Active Directory (AD) sous Access -> Authentication -> Active Directory
- Créez un nouveau service IdP sous Accès -> Fédération -> Fournisseur d'identités SAML -> Services IdP locaux
Remarque : Si une carte d'accès commune (CAC) est utilisée pour l'authentification, ces attributs doivent être ajoutés dans la section de configuration Attributs SAML :
Étape 1. Créer l'attribut uid.
Name : uid
Valeur: %{session.ldap.last.attr.sAMAccountName}
Étape 2 : création de l'attribut user_principal
Name : user_principal
Valeur: %{session.ldap.last.attr.userPrincipalName}
Remarque : Une fois le service IdP créé, il y a une option pour télécharger les métadonnées avec un bouton Exporter les métadonnées sous Access -> Federation -> SAML Identity Provider -> Local IdP Services
Création du langage SAML (Security Assertion Markup Language)
Ressources SAML
- Accédez à Access -> Federation -> SAML Resources et créez une petite ressource à associer au service IdP qui a été créé précédemment
Webtops
- Créez un webtop sous Access -> Webtops
Éditeur de stratégie virtuelle
- Accédez à la stratégie créée précédemment et cliquez sur le lien Modifier
- L'éditeur de stratégie virtuelle s'ouvre
- Cliquez sur le bouton et ajoutez des éléments comme décrit
Étape 1. Élément de page de connexion - Conservez tous les éléments par défaut.
Étape 2. Authentification AD -> Sélectionnez la configuration ADFS créée précédemment.
Étape 3. Élément de requête AD - Affectez les détails nécessaires.
Étape 4. Affectation avancée des ressources - Associez la petite ressource et le webtop créé précédemment.
Échange de métadonnées du fournisseur de services
- Importez manuellement le certificat de l'IdS vers Big-IP via System -> Certificate Management -> Traffic Management
Remarque : Assurez-vous que le certificat se compose des balises BEGIN CERTIFICATE et END CERTIFICATE.
- Créez une nouvelle entrée à partir de sp.xml sous Access -> Federation -> SAML Identity Provider -> External SP Connectors
- Liez le connecteur SP au service IdP sous Access -> Federation -> SAML Identity Provider -> Local IdP Services
Vérifier
Aucune procédure de vérification n'est disponible pour cette configuration.
Dépannage
Échec de l'authentification CAC (Common Access Card)
Si l'authentification SSO échoue pour les utilisateurs CAC, vérifiez le fichier UCCX ids.log pour vous assurer que les attributs SAML ont été correctement définis.
En cas de problème de configuration, une défaillance SAML se produit. Par exemple, dans cet extrait de journal, l'attribut SAML user_principal n'est pas configuré sur le fournisseur d'identité.
AAAA-MM-JJ hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERREUR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java : 465 - Impossible de récupérer à partir du mappage d'attributs : user_principal
AAAA-MM-JJ hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERREUR com.cisco.ccbu.ids IdSSAMLAsyncServlet.java : 298 - Échec du traitement de la réponse SAML avec l'exception com.sun.identity.saml.common.SAMLException : Impossible de récupérer user_principal à partir de la réponse saml
à l'adresse com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java : 466)
à l'adresse com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)
à l'adresse com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)
à l'adresse com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java : 269)
à java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
à l'adresse java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
sur java.lang.Thread.run(Thread.java:745)
Informations connexes