Introduction
Ce document décrit comment configurer l'authentification unique (SSO) sur Cisco Unified Communications Manager et le service de fédération Active Directory.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Gestionnaire de communications unifiées de Cisco (version CUCM)
- Connaissances de base du service de fédération Active Directory (AD FS)
Afin d'activer l'authentification unique dans votre environnement de travaux pratiques, vous avez besoin de cette configuration :
- Windows Server avec AD FS installé.
- CUCM avec synchronisation LDAP configurée.
- Utilisateur final avec le rôle de superutilisateur CCM standard sélectionné.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Windows Server avec AD FS 2.0
- CUCM 10.5.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La procédure pour AD FS 2.0 avec Windows Server 2008 R2 est fournie. Ces étapes fonctionnent également pour AD FS 3.0 sur Windows Server 2016.
Téléchargez et installez AD FS 2.0 sur votre serveur Windows
Étape 1. Accédez à Télécharger AD FS 2.0.
Étape 2. Veillez à sélectionner le téléchargement approprié en fonction de votre serveur Windows.
Étape 3. Déplacez le fichier téléchargé vers votre serveur Windows.
Étape 4. Procédez à l'installation :
Étape 5. Lorsque vous y êtes invité, sélectionnez Federation Server:
![SSO with CUCM and AD FS - Install AD FS 2.0 - Select the Federation Server option](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-00.jpeg)
Étape 6. Certaines dépendances sont automatiquement installées. Une fois cela fait, cliquez sur Terminer.
Maintenant qu'AD FS 2.0 est installé sur votre serveur, vous devez ajouter une configuration.
Configurer AD FS 2.0 sur votre serveur Windows
Étape 1. Si la fenêtre AD FS 2.0 ne s'est pas ouverte automatiquement après l'installation, vous pouvez cliquer sur Démarrer et rechercher Gestion AD FS 2.0 pour l'ouvrir manuellement.
Étape 2. Sélectionnez Assistant Configuration du serveur de fédération AD FS 2.0.
![SSO with CUCM and AD FS - Configure AD FS 2.0 - Select AD FS 2.0 Federation Server Configuration Wizard](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-01.jpeg)
Étape 3. Cliquez ensuite sur Create a new Federation Service.
![SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Create a New Federation Service option](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-02.jpeg)
Étape 4. Pour la plupart des environnements, un serveur de fédération autonome est suffisant.
![SSO with CUCM and AD FS - Configure AD FS 2.0 - Select the Stand-alone Federation Server option](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-03.jpeg)
Étape 5. Vous êtes ensuite invité à choisir un certificat. Ce champ est renseigné automatiquement tant que le serveur dispose d'un certificat.
![SSO with CUCM and AD FS - Configure AD FS 2.0 - Specify the Federation Server Name](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-04.jpeg)
Étape 6. Si vous disposez déjà d'une base de données AD FS sur le serveur, vous devez la supprimer pour continuer.
Étape 7. Enfin, vous êtes sur un écran récapitulatif dans lequel vous pouvez cliquer sur Next.
Importer les métadonnées Idp dans CUCM / Télécharger les métadonnées CUCM
Étape 1. Mettez à jour l'URL avec le nom d'hôte/nom de domaine complet de votre serveur Windows et téléchargez les métadonnées à partir de votre serveur AD FS - https://hostname/federationmetadata/2007-06/federationmetadata.xml
Étape 2. Accédez à Cisco Unified CM Administration > System > SAML Single Sign-On.
Étape 3. Cliquez sur Enable SAML SSO.
Étape 4. Si vous recevez une alerte à propos de Web Server Connections, cliquez sur Continue.
Étape 5. Ensuite, CUCM vous demande de télécharger le fichier de métadonnées à partir de votre fournisseur d'identité. Dans ce scénario, votre serveur AD FS est le fournisseur d'identité et vous avez téléchargé les métadonnées à l'étape 1. Cliquez donc sur Suivant.
Étape 6. Cliquez sur Browse > Select the .xml from Step 1 > Cliquez sur Import IdP Metadata.
Étape 7. Un message indique que l'importation a réussi :
![SSO with CUCM and AD FS - Import IdP Metadata - Import succeeded](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-05.jpeg)
Étape 8. Cliquez sur Next (Suivant).
Étape 9. Maintenant que vous avez importé les métadonnées de l'IdP dans CUCM, vous devez importer les métadonnées de CUCM dans votre IdP.
Étape 10. Cliquez sur Télécharger le fichier de métadonnées de confiance.
Étape 11. Cliquez sur Next (Suivant).
Étape 12. Déplacez le fichier .zip vers votre serveur Windows et extrayez le contenu vers un dossier.
Importer les métadonnées CUCM sur le serveur AD FS 2.0 et créer des règles de revendication
Étape 1. Cliquez sur Start et recherchez AD FS 2.0 Management.
Étape 2. Cliquez sur Obligatoire : Ajouter une partie de confiance approuvée.
Remarque : si cette option n'apparaît pas, vous devez fermer la fenêtre et l'ouvrir de nouveau.
Étape 3. Une fois l'Assistant Ajout d'approbation de partie de confiance ouvert, cliquez sur Démarrer.
Étape 4. Ici, vous devez importer les fichiers XML que vous avez extraits à l'étape 12. Sélectionnez Importer des données sur la partie de confiance à partir d'un fichier et accédez aux fichiers de dossier et choisissez le fichier XML pour votre éditeur.
Remarque : suivez les étapes précédentes pour tout serveur de collaboration unifiée sur lequel vous envisagez d'utiliser SSO.
![SSO with CUCM and AD FS - Import CUCM metadata to AD FS server - Select data source](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-06.jpeg)
Étape 5. Cliquez sur Next (Suivant).
Étape 6. Modifiez le nom d'affichage et cliquez sur Suivant.
Étape 7. Sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance et cliquez sur Suivant.
Étape 8. Cliquez à nouveau sur Next.
Étape 9. Dans cet écran, assurez-vous que la case Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance est cochée lorsque l'Assistant se ferme, puis cliquez sur Fermer.
Étape 10. La fenêtre Modifier les règles de réclamation s'ouvre :
![SSO with CUCM and AD FS - Edit Claim Rules dialog box](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-07.jpeg)
Étape 11. Dans cette fenêtre, cliquez sur Add Rule.
Étape 12. Pour le modèle de règle de revendication, choisissez Envoyer les attributs LDAP en tant que revendications et cliquez sur Suivant.
Étape 13. Sur la page suivante, entrez NameID comme nom de règle de revendication.
Étape 14. Sélectionnez Active Directory pour le magasin d'attributs.
Étape 15. Choisissez SAM-Account-Name pour l'attribut LDAP.
Étape 16. Entrez uid pour le type de demande sortante.
Remarque : l'uid n'est pas une option de la liste déroulante. Vous devez l'entrer manuellement.
![SSO with CUCM and AD FS - Configure Rule - Enter uid for outgoing claim type](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-08.jpeg)
Étape 17. Cliquez sur Finish (Terminer).
Étape 18. La première règle est maintenant terminée. Cliquez à nouveau sur Ajouter une règle.
Étape 19. Sélectionnez Envoyer les revendications à l'aide d'une règle personnalisée.
Étape 20. Entrez un nom de règle de revendication.
Étape 21. Dans le champ Règle personnalisée, collez ce texte :
c : [Tapez == "http://schemas.microsoft.com/ws/2008/06/identity/revendications/nomcompte windows"]
=> problème(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claim/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn : oasis : names : tc : SAML : 2.0 : nameid-format : transient",Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://ADFS_FEDERATION_SERVICE_NAME/com/adfs/service/trust", Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "CUCM_ENTITY_ID");
Étape 22. Veillez à remplacer AD_FS_SERVICE_NAME et CUCM_ENTITY_ID par les valeurs appropriées.
Remarque : si vous n'êtes pas sûr du nom du service AD FS, vous pouvez suivre les étapes pour le trouver. L'ID d'entité CUCM peut être extrait de la première ligne du fichier de métadonnées CUCM. La première ligne du fichier contient un entityID qui ressemble à ceci : entityID=1cucm1052.sckiewer.lab,. Vous devez saisir la valeur soulignée dans la section appropriée de la règle de demande.
![SSO with CUCM and AD FS - Configure Rule - Define custom rule](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-09.jpeg)
Étape 23. Cliquez sur Finish (Terminer).
Étape 24. Click OK.
Remarque : des règles de demande sont nécessaires pour tout serveur de collaboration unifiée sur lequel vous avez l'intention d'utiliser SSO.
Terminer l'activation SSO sur CUCM et exécuter le test SSO
Étape 1. Maintenant que le serveur AD FS est entièrement configuré, vous pouvez revenir à CUCM.
Étape 2. Vous vous êtes arrêté sur la page de configuration finale :
![SSO with CUCM and AD FS - CUCM Configuration - SAML Single Sign-On Configuration](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-10.jpeg)
Étape 3. Sélectionnez l'utilisateur final pour lequel le rôle Superutilisateurs CCM standard est sélectionné et cliquez sur Exécuter le test SSO...
Étape 4. Assurez-vous que votre navigateur autorise les fenêtres publicitaires intempestives et entrez vos informations d'identification dans l'invite.
![SSO with CUCM and AD FS - SAML SSO configuration test succeeded](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-11.jpeg)
Étape 5. Cliquez sur Close dans la fenêtre contextuelle, puis sur Finish.
Étape 6. Après un bref redémarrage des applications Web, l'authentification unique est activée.
Dépannage
Définir les journaux SSO à déboguer
Pour définir les journaux SSO sur debug, vous devez exécuter cette commande dans la CLI de CUCM : set samltrace level debug
Les journaux SSO peuvent être téléchargés depuis RTMT. Le nom du jeu de journaux est Cisco SSO.
Rechercher Le Nom Du Service De Fédération
Pour trouver le nom du service de fédération, cliquez sur Démarrer et recherchez Gestion AD FS 2.0.
· Cliquez sur Edit Federation Service Properties...
· Dans l'onglet Général, recherchez le nom du service de fédération
Nom Du Service De Certificat Et De Fédération Sans Point
Si vous recevez ce message d'erreur dans l'assistant de configuration AD FS, vous devez créer un nouveau certificat.
Le certificat sélectionné ne peut pas être utilisé pour déterminer le nom du service de fédération, car le certificat sélectionné a un nom d'objet sans point (abrégé). Sélectionnez un autre certificat sans nom d'objet sans point (abrégé), puis réessayez.
Étape 1. Cliquez sur Démarrer et recherchez iis, puis ouvrez le Gestionnaire des services Internet (IIS)
![SSO with CUCM and AD FS - Troubleshoot dotless certificate - Search for IIS](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-12.png)
Étape 2. Cliquez sur le nom de votre serveur.
![SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click server name](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-13.png)
Étape 3. Cliquez sur Certificats du serveur.
![SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Server Certificates](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-14.png)
Étape 4. Cliquez sur Créer un certificat auto-signé.
![SSO with CUCM and AD FS - Troubleshoot dotless certificate - Click Create Self-Signed Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-15.png)
Étape 5. Entrez le nom que vous souhaitez attribuer à l'alias de votre certificat.
![SSO with CUCM and AD FS - Troubleshoot dotless certificate - Specify alias name for certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and-16.png)
Le délai est désynchronisé entre les serveurs CUCM et IDP
Si vous recevez cette erreur lorsque vous exécutez le test SSO à partir de CUCM, vous devez configurer Windows Server pour utiliser le ou les mêmes serveurs NTP que CUCM.
Réponse SAML non valide. Cela peut se produire lorsque le temps est désynchronisé entre Cisco Unified Communications Manager et les serveurs IDP. Vérifiez la configuration NTP sur les deux serveurs. Exécutez « utils ntp status » à partir de l'interface de ligne de commande pour vérifier cet état sur Cisco Unified Communications Manager.
Une fois que les serveurs NTP spécifiés pour Windows Server sont corrects, vous devez effectuer un autre test SSO et voir si le problème persiste. Dans certains cas, il est nécessaire de biaiser la période de validité de l'assertion. Plus de détails sur ce processus ici.
Informations connexes