この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
この資料は単一 サインを有効に するために OpenAM 識別プロバイダ(IdP)の設定を説明したものです(SSO)。
Cisco IdS 導入モデル
製品 | 導入 |
UCCX | 共存 |
PCCE | CUIC(Cisco Unified Intelligence Center)と LD(ライブ データ)の共存 |
UCCE | 2k 導入用の CUIC と LD の共存。 4k および 12k 導入用のスタンドアロン。 |
次の項目に関する知識が推奨されます。
注: この資料は Cisco Identitify サービス(ID)および識別プロバイダ(IdP)に関して設定を参照します。 資料はスクリーン ショットおよび例で設定が Cisco Identitify サービス(UCCX/UCCE/PCCE)および IdP に関して類似したであるどんなに、UCCX を参照します。
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
特有の慣習は単一 サインオン機能を提供し、サイトがプライバシー維持方法の保護されたオンライン リソースの個々のアクセスのための知識のある許可デシジョンを作るようにするオープンソース プロジェクトです。 それはセキュリティ アサーション マークアップ言語(SAML2)をサポートします。 ID は SAML2 クライアント最小の特有の慣習か ID の変更をサポートしないと期待されてであり。 11.6 に、ID は特有の慣習 IdP を使用するために修飾されます。
注: この資料は SSO の修飾の一部として特有の慣習リリース 3.3.0 を参照します
コンポーネント | 詳細 |
特有の慣習バージョン | v3.3.0 |
ダウンロード場所 | http://shibboleth.net/downloads/identity-provider/ |
プラットフォームをインストールして下さい | Ubuntu 14.0.4 Java バージョン "1.8.0_121" |
Lightweight Directory Access Protocol(LDAP)バージョン | Active Directory 2.0 |
特有の慣習 Webサーバ | Apache Tomcat/8.5.12 |
特有の慣習のインストールのために wiki を参照して下さい
https://wiki.shibboleth.net/confluence/display/IDP30/Installation
LDAP サーバを特有の慣習と統合ために、フィールドは $shibboleth_home が(デフォルトは /opt/shibboleth-idp です)特有の慣習のインストールで使用されるインストール ディレクトリを示す $shibboleth_home/conf/ldap.properties でアップデートされる必要があります。
フィールド | 期待値 | 説明 |
idp.authn.LDAP.trustCertificates | $ {idp.home}で信頼固定をから、通常ローカル ファイル /credentials ロードするリソース idp.home が setenv.sh の JAVA_OPTS としてエクスポートされる環境変数であるところ |
/credentials/ldap-server.crt % {idp.home} |
idp.authn.LDAP.trustStore | 信頼固定が含まれている /credentials % {idp.home}で Java keystore を、通常ローカル ファイル ロードするリソース | /credentials/ldap-server.truststore % {idp.home} |
idp.authn.LDAP.returnAttributes | 戻る必要がある LDAPAttributes のカンマ区切りのリスト。 すべての属性を戻したいと思う場合「*」追加して下さい。 |
* |
idp.authn.LDAP.baseDN | LDAP 検索が実行された必要がある baseDN | CN=users、DC=cisco、DC=com |
idp.authn.LDAP.subtreeSearch | 回帰的に検索するためにかどうか | true |
idp.authn.LDAP.userFilter | LDAP 検索フィルタ | (sAMAccountName= {ユーザ}) * |
idp.authn.LDAP.bindDN | 検索が実行された時とバインドするべき DN | administrator@cisco.com |
idp.authn.LDAP.bindDNCredential | 検索が実行された時とバインドするべきパスワード | |
idp.authn.LDAP.dnFormat | 認証するためにユーザ DN を生成する書式指定文字列 | s@adfsserver.cisco.com %の (s@domainname %の) |
idp.authn.LDAP.authenticator | 認証が LDAP に対してどのようにのための行われるか作業の流れを制御します | bindSearchAuthenticator |
idp.authn.LDAP.ldapURL | LDAP ディレクトリのための接続 URI |
詳細については、参照して下さい:
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration
# forresponses を 待つミリ秒の時間
#idp.authn.LDAP.responseTimeout = PT3S
## SSL 設定、jvmTrust、certificateTrust、または keyStoreTrust
#idp.authn.LDAP.sslConfig = certificateTrust
信頼できる証明書のパスに、セット上記の certificateTrust を使用している場合 ##
idp.authn.LDAP.trustCertificates = /credentials/ldap-server.crt % {idp.home}
truststore パスに、セット上記の keyStoreTrust を使用している場合 ##
idp.authn.LDAP.trustStore = /credentials/ldap-server.truststore % {idp.home}
認証の間の ## 戻り属性
#idp.authn.LDAP.returnAttributes = userPrincipalName、sAMAccountName
idp.authn.LDAP.returnAttributes = *
## DN 解決プロパティ ##
# anonSearchAuthenticator によって使用される検索 DN 解決 bindSearchAuthenticator
# forAD : CN=Users、DC=example、DC=org
idp.authn.LDAP.baseDN = CN=users、DC=cisco、DC=com
idp.authn.LDAP.subtreeSearch = 本当
*idp.authn.LDAP.userFilter = (sAMAccountName= {ユーザ}) *
#バインド検索設定
# forAD : idp.authn.LDAP.bindDN= adminuser@domain.com
idp.authn.LDAP.bindDN = administrator@cisco.com
idp.authn.LDAP.bindDNCredential = Cisco@123
# directAuthenticator によって使用される形式 DN 解決 adAuthenticator
# forAD 使用 idp.authn.LDAP.dnFormat=% s@domain.com
#idp.authn.LDAP.dnFormat = s@adfsserver.cisco.com %の
# LDAP アトリビュート 設定は、アトリビュートresolver.xml を見ます
#注はレガシー V2 リゾルバ設定の使用に、 thislikely 適用しません
idp.attribute.resolver.LDAP.ldapURL = % {idp.authn.LDAP.ldapURL}
idp.attribute.resolver.LDAP.connectTimeout = %{idp.authn.LDAP.connectTimeout:PT3S}
idp.attribute.resolver.LDAP.responseTimeout = %{idp.authn.LDAP.responseTimeout:PT3S}
idp.attribute.resolver.LDAP.baseDN = % {idp.authn.LDAP.baseDN: 未定義}
idp.attribute.resolver.LDAP.bindDN = % {idp.authn.LDAP.bindDN: 未定義}
idp.attribute.resolver.LDAP.bindDNCredential = % {idp.authn.LDAP.bindDNCredential: 未定義}
idp.attribute.resolver.LDAP.useStartTLS = % {idp.authn.LDAP.useStartTLS: 本当}
idp.attribute.resolver.LDAP.trustCertificates = % {idp.authn.LDAP.trustCertificates: 未定義}
idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
|
すべてのクライアントからの要求が達するようにするために、「$shibboleth_home/conf/access-control.xml」の変更が必要となります
<entry key= " AccessByIPAddress " >
" AccessByIPAddress」<bean id= parent= " shibboleth.IPRangeAccessControl」
p: allowedRanges= " # {{'127.0.0.1/32'、'0.0.0.0/0'、'::1/128'、'10.78.93.103/32'}}」/>
</entry>
許容範囲に '0.0.0.0/0' を追加して下さい。 これはあらゆる IP 範囲からの要求を可能にします。
ID を SHA1 にデフォルトで設定されるために設定するために「$shibboleth_home/conf/idp.properties」およびセットを開いて下さい:
idp.signing.config = shibboleth.SigningConfiguration.SHA1
この設定はまた変更することができます:
idp.encryption.optional = 本当
本当にそれを設定 した場合、暗号化キーを見つける失敗は要求失敗という結果に使用するために有効に されたとき、終りません。 これは(互換性のあるキーはピアのメタデータにと暗号化するためにあります)可能な限り暗号化するために暗号化を別の方法でスキップするためにすなわち、暗号化を「日和見主義に」するのを助けます。
AttributeDefinition は「$shibboleth_home/conf/attribute-resolver.xml」に uid にに sAMAccountName および userPrincipalName をマップするためにおよび SAML 応答で user_principal 追加されます。
さらに、タグ <DataConnector> が付いている LDAP コネクタ設定を追加して下さい。
注: ReturnAttributes は値「sAMAccountName userPrincipalName と」規定 される必要があります。
注: LDAPProperty は Active Directory (AD)の統合がある場合必須です。
<AttributeDefinition xsi:type="Simple" id="ciscoUPN" sourceAttributeID="userPrincipalName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="user_principal" />
<AttributeEncoder xsi:type="SAML2String" name="user_principal" friendlyName="user_principal" />
</AttributeDefinition>
<AttributeDefinition xsi:type="Simple" id="ciscoUID" sourceAttributeID="sAMAccountName">
<Dependency ref="LDAP" />
<AttributeEncoder xsi:type="SAML1String" name="uid" />
<AttributeEncoder xsi:type="SAML2String" name="uid" friendlyName="uid" />
</AttributeDefinition>
<DataConnector id="LDAP" xsi:type="LDAPDirectory"
ldapURL="ldap://adfsserver.cisco.com"
baseDN="CN=users,DC=cisco,DC=com"
principal="administrator@cisco.com"
principalCredential="<cred>">
<FilterTemplate>
<![CDATA[
%{idp.attribute.resolver.LDAP.searchFilter}
]]>
</FilterTemplate>
<ReturnAttributes>sAMAccountName userPrincipalName</ReturnAttributes>
<LDAPProperty name="java.naming.referral" value="follow"/>
</DataConnector>
統合して下さい「$shibboleth_home/conf/attribute-filter.xml」の変更を
<PolicyRequirementRule xsi:type="ANY" />
<AttributeRule attributeID="ciscoUID">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="ciscoUPN">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUPN'} }" />
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
p:attributeSourceIds="#{ {'ciscoUID'} }" />
IdP メタデータはフォルダ「$shibboleth_home/metadata」で利用できます。 idp-metadata.xml ファイルは Application Programming Interface (API; アプリケーション プログラミング インターフェイス)によって ID にアップロードすることができます
https://<idshost>:<idsport>/ids/v1/config/idpmetadata を置いて下さい
idsport がない一方、設定可能なエンティティおよび値は "8553" です
警告: 特有の慣習メタデータは 2 つの署名証明書、一般の署名証明書および backchannel が含まれている場合があります。 backchannel 証明書を識別するために「$shibboleth_home/credentials」のファイル idp-backchannel.crt にナビゲートして下さい。 バック チャネル 証明書がメタデータで利用できる場合、メタデータ XML から ID にアップ ロードの前にバック チャネル 証明書を取除く必要があります。 これは ID がメタデータでサポートを 1 つのただ certifcate 使用する fedlet 12.0 ライブラリという理由によります。 複数の署名証明書が利用できる場合、fedlet は最初の利用可能な証明書を使用します。
$shibboleth_home/metadata-providers.xml のエントリでメタデータ プロバイダーを設定する必要があります。
<MetadataProvider id="smart-86" xsi:type="FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/SP/sp.xml"/>
" ID "アトリビュートがどの固有の名前である場合もあるところ。
このエントリはメタデータ プロバイダーがある特定の ID に登録され、メタデータが指定 ファイル /opt/shibboleth-idp/SP/sp.xml で利用できることを示します。
ID のサービス プロバイダー(SP)メタデータはエントリで規定 される metadataFile にコピーする必要があります。
注: ID の SP メタデータは idsport が設定可能なエンティティではない値が "8553" である GET https://<idshost>:<idsport>/ids/v1/config/spmetadata によって取得することができ。
このドキュメントでは、Cisco アイデンティティ サービスと統合する SSO の設定について、IdP の面から説明しています。 詳細については、個々の製品のコンフィギュレーション ガイドを参照してください。