Introduzione

In questo documento viene descritta la configurazione di Microsoft Azure come provider di identità (IdP) per Single Sign-On (SSO) in UCCE (Unified Contact Center Enterprise) con SAML (Security Assertion Markup Language) e IDS (Cisco Identity Service).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• SAML 2.0 
• Cisco UCCE e Packaged Contact Center Enterprise (PCCE)
• SSO
• IDS
• IdP

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Azure IdP
• UCCE 12.0.1, 12.5.1, 12.5.2, 12.6.1 e 12.6.2
• Cisco IdS 12.0.1, 12.5.1, 12.52, 12.6.1 e 12.6.2

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

1. Esportare file di metadati UCCE

Cisco IDS fornisce l'autorizzazione tra il provider di identità e le applicazioni.

Quando si configura Cisco IDS, viene impostato uno scambio di metadati tra Cisco IDS e il provider di identità. Questo scambio stabilisce una relazione di trust che consente alle applicazioni di utilizzare Cisco IDS per l'SSO. La relazione di trust viene stabilita quando un file di metadati viene scaricato da Cisco IDS e caricato nel provider di identità.

1.1. Procedura

• In Amministrazione CCE unificata, passare a  Features > Single Sign-On .
• Fare clic su   Identity Service Management  e viene visualizzata la finestra Cisco Identity Service Management
• Immettere il  User Name e quindi fare clic su  Next.
• Immettere il  password e quindi fare clic su  Sign In.
  • Viene visualizzata la pagina Cisco Identity Service Management con le icone Nodi, Impostazioni e Client nel riquadro sinistro.
• Fare clic su   Nodes.
  • La pagina Nodi consente di visualizzare la vista generale a livello di nodo e di identificare i nodi in servizio. La pagina fornisce inoltre i dettagli di scadenza del certificato SAML per ogni nodo, che indicano quando il certificato scadrà. Le opzioni di stato del nodo sono Non configurato, In servizio, Servizio parziale e Fuori servizio. Fare clic su uno stato per visualizzare ulteriori informazioni. La stella a destra di uno dei nomi di nodo identifica il nodo che è l'editore primario.
• Fare clic su   Settings.
• Fare clic su   IdS Trust.
• Per iniziare la relazione di trust Cisco IdS, impostare la relazione tra Cisco IdS e IdP, fare clic su Download Metadata File per scaricare il file dal server Cisco IdS.

2. Genera firma certificato per le risposte di Azure

Se è installato OpenSSL, generare un certificato per Azure ed eseguirne il provisioning nell'applicazione Azure. Azure include il certificato nell'esportazione dei metadati IdP e lo utilizza per firmare le asserzioni SAML inviate all'UCCE.

Se non si dispone di OpenSSL, utilizzare l'autorità di certificazione dell'organizzazione (enterprise) per generare un certificato.

2.1 Procedura (OpenSSL)

Di seguito viene riportata la procedura per creare un certificato tramite OpenSSL

• Creare un certificato e una chiave privata:

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• Combinare il certificato e la chiave in un file PFX protetto da password, richiesto da Azure. Assicurarsi di prendere nota della password.

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• Generare un singolo certificato per UCCE.
• Caricare il certificato nel provider di identità di Azure.

3. Configura applicazione personalizzata di Azure

Prima di configurare Azure, è necessario esportare i metadati UCCE da UCCE IDS Publisher. È possibile avere sia il file XML dei metadati UCCE che un certificato per la connessione IdP prima di avviare questi passaggi in Azure.

3.1. Procedura

• In Microsoft Azure passare a  Enterprise Applications  e quindi selezionare  All Applications.
• Per aggiungere una nuova applicazione, selezionare New application .

• Nella finestra Aggiungi applicazione procedere come segue:
  1. Fare clic  Create your own application  (Non-galleria).
  2. Inserire il nome della nuova applicazione (ad esempio, UCCE) e fare clic su  Create.
  3. Nella barra di navigazione sinistra della nuova applicazione, fare clic su  Single sign-on .
  4. Fare clic su  SAML .
  5. Il  Set up Single Sign-On with SAML  viene visualizzata la finestra.
• Fare clic su  Upload metadata e quindi passare alla UCCE metadata XML file.
• Dopo aver selezionato e aperto il file, fare clic su  Add .
  • OSPF (Open Shortest Path First) Basic SAML Configuration viene popolato con Identifier (EntityID) e Reply URL (Assertion consumer service URL) per il server UCCE.
  • Fare clic su   Save .
• Nella scheda User Attributes & Claims , fare clic su Edit :
  • In Richiesta di rimborso, fare clic su Unique User Identifier (ID nome).
  • Per il formato dell'identificatore del nome, selezionare  Default.
  • Per l'attributo Source, selezionare  user.onpremisessamaccountname .
  • Fare clic su   Save.
  • In Attestazioni aggiuntive eliminare tutte le attestazioni esistenti. Per ogni attestazione, fare clic su (...) e selezionare Elimina. Fare clic su OK per confermare.
  • Fare clic su Aggiungi nuova attestazione per aggiungere la  uid rivendicare
  • In Nome, immettere:  uid.
  • Lasciare vuoto il campo Spazio dei nomi.
  • Per Origine, selezionare il pulsante di opzione Attributo.
  • Dall'elenco a discesa Attributo di origine, selezionare user.givenname (o  user.onpremisessamaccountname).           
  • Fare clic su   Save.
  • Aggiungere una nuova attestazione per aggiungere user_principal rivendicazione.
  • In Nome, immettere:  user_principal.
  • Lasciare vuoto il campo Spazio dei nomi.
  • Per Origine, selezionare il pulsante di opzione Attributo.
  • Dall'elenco a discesa Attributo di origine, selezionare user.userprincipalname.
  • Fare clic su   Save.
    

Snapshot per riferimento da configurare: 

• 
• Fare clic su  SAML-based Sign-on per tornare al riepilogo SAML.
• Nella scheda SAML Signing Certificate , fare clic su  Edit:
  • Impostare l'opzione di firma su  Sign SAML Response and Assertion.  
  • Impostare l'algoritmo di firma sull'algoritmo SHA appropriato. Ad esempio, SHA-256.
• Fare clic su   Import Certificate.
• Nella scheda  Certificate  individuare e aprire il file certificate.pfx creato in precedenza.
• Immettere la password per il certificato e fare clic su  Add .

Deve essere l'unico certificato dell'elenco e deve essere attivo.

• Se il certificato non è attivo, fare clic sui punti adiacenti (...), selezionare Rendi il certificato attivo e quindi fare clic su Sì.
• Se nell'elenco sono presenti altri certificati, fare clic sui punti (...) adiacenti per tali certificati, selezionare Elimina certificato e fare clic su Sì per eliminare i certificati.

• Fare clic su   Save.
• Scarica la  Federation Metadata XML  file.
• Abilitare l'applicazione in Azure e assegnare gli utenti:

Azure consente di assegnare singoli utenti per l'SSO con Azure o tutti gli utenti. Si supponga che l'SSO sia abilitato per tutti gli utenti da DU.

• Nella barra di navigazione a sinistra, passare a  Enterprise Applications > UCCE  o il nome dell'applicazione fornito dall'utente.
• Seleziona  Manage > Properties .
• Impostare su Attivato per l'accesso degli utenti?  Yes.
• Impostare Visible to users? (Visibile agli utenti) su  No.
• Fare clic su   Save.

Come controllo finale, controllare il file di metadati IdP e verificare che il certificato creato in precedenza sia presente nel campo <X509Certificate> come certificato di firma nel file di metadati IdP. Il formato è il seguente:

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4. Carica il file di metadati di Azure in UCCE

Prima di andare di nuovo a UCCE IDS, è necessario avere Federation Metadata XML file scaricato da Azure.

4.1 Procedura

• In Amministrazione CCE unificata, passare a  Features > Single Sign-On.
• Fare clic su   Identity Service Management  e viene visualizzata la finestra Cisco Identity Service Management
• Immettere il  user namee quindi fare clic su  Next .
• Immettere il  password e quindi fare clic su  Sign In .
  • Viene visualizzata la pagina Cisco Identity Service Management con le icone Nodi, Impostazioni e Client nel riquadro sinistro.
• Fare clic su   Nodes .
  • La pagina Nodi consente di visualizzare la vista generale a livello di nodo e di identificare i nodi in servizio. La pagina fornisce inoltre i dettagli di scadenza del certificato SAML per ogni nodo, che indicano quando il certificato scadrà. Le opzioni di stato del nodo sono Non configurato, In servizio, Servizio parziale e Fuori servizio. Fare clic su uno stato per visualizzare ulteriori informazioni. La stella a destra di uno dei nomi di nodo identifica il nodo che è l'editore primario.
• Per caricare  Federation Metadata XML  da Azure, individuare il file.
• Selezionare Upload IdP Metadata e caricare la Federation Metadata XML file.
  • Al termine del caricamento del file, viene ricevuto un messaggio di notifica. Lo scambio dei metadati è stato completato ed è stata creata la relazione di trust.
• Cancella cache browser.
• Immettere credenziali valide quando la pagina viene reindirizzata a IdP.
• Fare clic su   Next.
  • OSPF (Open Shortest Path First)  Test SSO Setup pagina.
• Fare clic su   Test SSO Setup .
  • Viene visualizzato un messaggio che informa che la configurazione di Cisco IdS è stata completata.
• Fare clic su   Settings .
• Fare clic su   Security.
• Fare clic su   Tokens.
• Immettere la durata per queste impostazioni:
  • Aggiorna scadenza token: il valore predefinito è 10 ore. Il valore minimo è 2 ore. Il massimo è 24 ore.
  • Scadenza codice di autorizzazione: il valore predefinito è 1 minuto, che è anche il valore minimo. Il massimo è 10 minuti.
  • Scadenza token di accesso: il valore predefinito è 60 minuti. Il valore minimo è 5 minuti. Il massimo è 120 minuti.
• Impostare la  Encrypt Token  (facoltativo); l'impostazione predefinita è On.
• Fare clic su   Save .
• Fare clic su   Keys and Certificates .
• Viene visualizzata la pagina Genera chiavi e certificato SAML. Consente di:
  • Fare clic su Rigenera e rigenerare la chiave di crittografia/firma. Viene visualizzato un messaggio che informa che la registrazione del token è riuscita e consiglia di riavviare il sistema per completare la configurazione.
  • Fare clic su   Regenerate  e rigenerare il certificato SAML. Viene visualizzato un messaggio che indica che la rigenerazione del certificato SAML è stata completata correttamente.
• Fare clic su   Save .
• Fare clic su   Clients.
  • Questa pagina identifica i client Cisco IdS già esistenti e fornisce il nome del client, l'ID del client e un URL di reindirizzamento. Per cercare un determinato client, fare clic sul pulsante  Search  nella parte superiore dell'elenco dei nomi e digitare il nome del client.
• Per aggiungere un client:
  • Fare clic su   New .
  • Immettere il nome del client.
  • Immettere l'URL di reindirizzamento. Per aggiungere più URL, fare clic sull'icona con il segno più (+).
  • Fare clic su   Add  (oppure fare clic su  Clear  e quindi fare clic su  X   per chiudere la pagina e non aggiungere il client).
  • Per modificare o eliminare un client, evidenziare la riga del client e fare clic sui puntini di sospensione in Azioni.
  • Quindi:
    • Fare clic su   Edit  per modificare il nome del client, l'ID o l'URL di reindirizzamento. Nella pagina Modifica client apportare le modifiche desiderate e fare clic su  Save  In alternativa, fare clic su Cancella e quindi sul pulsante X  per chiudere la pagina e non salvare le modifiche).
    • Fare clic su   Delete  per eliminare il client.

Nota: il certificato deve essere con SHA-256 Secure Hash Algorithm.