Introduzione
Questo documento descrive la configurazione su F5 BIG-IP Identity Provider (IdP) per abilitare Single Sign-On (SSO).
Modelli di distribuzione Cisco IdS
Prodotto |
Implementazione |
UCCX |
Coresidente |
PCCE |
Coresidente con CUIC (Cisco Unified Intelligence Center) e LD (Live Data) |
UCCE |
Coresidenti con CUIC e LD per installazioni 2k. Standalone per installazioni a 4k e 12k. |
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Unified Contact Center Express (UCCX) versione 11.6 o Cisco Unified Contact Center Enterprise versione 11.6 o Packaged Contact Center Enterprise (PCCE) versione 11.6, a seconda dei casi.
Nota: Questo documento fa riferimento alla configurazione di Cisco Identify Service (IdS) e del provider di identità (IdP). Il documento fa riferimento a UCCX negli screenshot ed esempi, tuttavia la configurazione è simile a quella di Cisco Identify Service (UCCX/UCCE/PCCE) e dell'IdP.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Install
Big-IP è una soluzione a pacchetti che ha diverse funzioni. Access Policy Manager (APM) che si riferisce al servizio Identity Provider.
Big-IP come APM:
Version |
13.0 |
Tipo |
Virtual Edition (OVA) |
IP |
Due IP in subnet diverse. Uno per l'IP di gestione e uno per il server virtuale IdP |
Scaricare l'immagine dell'edizione virtuale dal sito Web Big-IP e distribuire l'OAV per creare una macchina virtuale (VM) preinstallata. Ottenere la licenza e installarla con i requisiti di base.
Nota: Per informazioni sull'installazione, consultare la Guida all'installazione di Big-IP.
Configurazione
- Passare al provisioning delle risorse e abilitare i criteri di accesso, impostare il provisioning su Nominale
- Creare una nuova VLAN in Rete -> VLAN
- Creare una nuova voce per l'indirizzo IP utilizzato per l'IdP in Rete -> Indirizzi IP autonomi
- Creare un profilo in Accesso -> Profilo/Criteri -> Profili di accesso
- Creare un server virtuale
- Aggiungere i dettagli di Active Directory (AD) in Accesso -> Autenticazione -> Active Directory
- Crea un nuovo servizio IdP in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali
Nota: Se per l'autenticazione viene utilizzata una scheda CAC (Common Access Card), è necessario aggiungere questi attributi nella sezione di configurazione Attributi SAML:
Passaggio 1. Creare l'attributo uid.
Nome: uid
Valore: %{session.ldap.last.attr.sAMAccountName}
Passaggio 2. Creare l'attributo user_principal.
Nome: user_principal
Valore: %{session.ldap.last.attr.userPrincipalName}
Nota: Una volta creato il servizio IdP, è possibile scaricare i metadati con un pulsante Esporta metadati in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali
Creazione SAML (Security Assertion Markup Language)
Risorse SAML
- Passare a Accesso -> Federazione -> Risorse SAML e creare una risorsa SAML da associare al servizio IdP creato in precedenza
Webtop
- Creare un WebTop in Access -> Webtop
Editor criteri virtuali
- Passare al criterio creato in precedenza e fare clic sul collegamento Modifica
- Verrà aperto l'editor criteri virtuali
- Fare clic sul pulsante e aggiungere gli elementi come descritto
Passaggio 1. Elemento della pagina di accesso - Lascia tutti gli elementi predefiniti.
Passaggio 2. Autenticazione AD -> Scegliere la configurazione ADFS creata in precedenza.
Passaggio 3. Elemento query AD - Assegnare i dettagli necessari.
Passaggio 4. Assegnazione anticipata risorse: associare la risorsa saml e il WebTop creato in precedenza.
Scambio di metadati di Service Provider (SP)
- Importa manualmente il certificato degli IdS in Big-IP tramite System -> Gestione certificati -> Gestione traffico
Nota: Verificare che il certificato sia costituito da tag BEGIN CERTIFICATE e END CERTIFICATE.
- Creare una nuova voce da sp.xml in Access -> Federation -> SAML Identity Provider -> External SP Connectors
- Associare il connettore SP al servizio IdP in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali
Verifica
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Risoluzione dei problemi
Errore di autenticazione CAC (Common Access Card)
Se l'autenticazione SSO non riesce per gli utenti CAC, controllare il file UCCX ids.log per verificare che gli attributi SAML siano stati impostati correttamente.
Se si verifica un problema di configurazione, si verifica un errore SAML. Ad esempio, in questo frammento di log, l'attributo SAML user_principal non è configurato in IdP.
AAAA-MM-GG hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERRORE com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 - Impossibile recuperare dalla mappa attributi: user_principal
AAAA-MM-GG hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERRORE com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - Elaborazione della risposta SAML non riuscita con eccezione com.sun.identity.saml.common.SAMLException: Impossibile recuperare user_principal dalla risposta saml
all'indirizzo com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)
all'indirizzo com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)
at com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)
all'indirizzo com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)
in java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
in java.lang.Thread.run(Thread.java:745)
Informazioni correlate