Installare e configurare il provider di identità F5 (IdP) per Cisco Identity Service (IdS) per abilitare l'SSO

Introduzione

Questo documento descrive la configurazione su F5 BIG-IP Identity Provider (IdP) per abilitare Single Sign-On (SSO).

Modelli di distribuzione Cisco IdS

Prodotto	Implementazione
UCCX	Coresidente
PCCE	Coresidente con CUIC (Cisco Unified Intelligence Center) e LD (Live Data)
UCCE	Coresidenti con CUIC e LD per installazioni 2k. Standalone per installazioni a 4k e 12k.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco Unified Contact Center Express (UCCX) versione 11.6 o Cisco Unified Contact Center Enterprise versione 11.6 o Packaged Contact Center Enterprise (PCCE) versione 11.6, a seconda dei casi.

Nota: Questo documento fa riferimento alla configurazione di Cisco Identify Service (IdS) e del provider di identità (IdP). Il documento fa riferimento a UCCX negli screenshot ed esempi, tuttavia la configurazione è simile a quella di Cisco Identify Service (UCCX/UCCE/PCCE) e dell'IdP.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Install 

Big-IP è una soluzione a pacchetti che ha diverse funzioni. Access Policy Manager (APM) che si riferisce al servizio Identity Provider.

Big-IP come APM:

Scaricare l'immagine dell'edizione virtuale dal sito Web Big-IP e distribuire l'OAV per creare una macchina virtuale preinstallata. Ottenere la licenza e installarla con i requisiti di base.

Nota: Per informazioni sull'installazione, consultare la Guida all'installazione di Big-IP.

Configurazione

• Passare al provisioning delle risorse e abilitare i criteri di accesso, impostare il provisioning su Nominale

• Creare una nuova VLAN in Rete -> VLAN

• Creare una nuova voce per l'indirizzo IP utilizzato per l'IdP in Rete -> Indirizzi IP autonomi

• Creare un profilo in Accesso -> Profilo/Criteri -> Profili di accesso

• Creare un server virtuale

• Aggiungere i dettagli di Active Directory (AD) in Accesso -> Autenticazione -> Active Directory

• Crea un nuovo servizio IdP in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali

Nota: Se per l'autenticazione viene utilizzata una scheda CAC (Common Access Card), è necessario aggiungere questi attributi nella sezione di configurazione Attributi SAML:

Passaggio 1. Creare l'attributo uid.

Nome: uid
Valore: %{session.ldap.last.attr.sAMAccountName}


Passaggio 2. Creare l'attributo user_principal.

Nome: user_principal
Valore: %{session.ldap.last.attr.userPrincipalName}

Nota: Una volta creato il servizio IdP, è possibile scaricare i metadati con un pulsante Esporta metadati in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali

Creazione SAML (Security Assertion Markup Language)

Risorse SAML

• Passare a Accesso -> Federazione -> Risorse SAML e creare una risorsa SAML da associare al servizio IdP creato in precedenza

Webtop

• Creare un WebTop in Access -> Webtop

Editor criteri virtuali

• Passare al criterio creato in precedenza e fare clic sul collegamento Modifica

• Verrà aperto l'editor criteri virtuali

• Fare clic su  e aggiungere gli elementi come descritto

Passaggio 1. Elemento della pagina di accesso - Lasciare tutti gli elementi ai valori predefiniti.

Passaggio 2. Autenticazione AD -> Scegliere la configurazione ADFS creata in precedenza.

Passaggio 3. Elemento query AD - Assegnare i dettagli necessari.

Passaggio 4. Assegnazione anticipata risorse: associare la risorsa saml e il WebTop creato in precedenza.

Scambio metadati Service Provider (SP)

• Importa manualmente il certificato degli IdS in Big-IP tramite System -> Gestione certificati -> Gestione traffico

Nota: Verificare che il certificato sia costituito da tag BEGIN CERTIFICATE e END CERTIFICATE.

• Creare una nuova voce da sp.xml in Access -> Federation -> SAML Identity Provider -> External SP Connectors
• Associare il connettore SP al servizio IdP in Accesso -> Federazione -> Provider di identità SAML -> Servizi IdP locali

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

Errore di autenticazione CAC (Common Access Card)

Se l'autenticazione SSO non riesce per gli utenti CAC, controllare il file UCCX ids.log per verificare che gli attributi SAML siano stati impostati correttamente.

Se si verifica un problema di configurazione, si verifica un errore SAML. Ad esempio, in questo frammento di log, l'attributo SAML user_principal non è configurato in IdP.

AAAA-MM-GG hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERRORE com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 - Impossibile recuperare dalla mappa attributi: user_principal

AAAA-MM-GG hh:mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59] ERRORE com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - Elaborazione della risposta SAML non riuscita con eccezione com.sun.identity.saml.common.SAMLException: Impossibile recuperare user_principal dalla risposta saml

all'indirizzo com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)

all'indirizzo com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)

all'indirizzo com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)

all'indirizzo com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)

all'indirizzo java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

in java.lang.Thread.run(Thread.java:745)

Informazioni correlate

• Documentazione e supporto tecnico – Cisco Systems