SAML SSO 向け AD FS 2.0 バージョンのセットアップ例

ダウンロード オプション

  • PDF     (1.9 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.5 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 2 月 27 日
Document ID:118771

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、シスコ コラボレーション製品(Cisco Unified Communications Manager(CUCM)、Cisco Unity Connection(UCXN))、CUCM IM and Presence、Cisco Prime Collaboration など)の Cisco のようなシスコ コラボレーション製品で Security Assertion Markup Language(SAML)シングルオン(SSO)を有効にするために、Active Directory Federation Service(AD FS)バージョン 2.0 を設定する方法について説明します。

    前提条件

    要件

    AD FS バージョン 2.0 がインストールされてテスト済みであること。

    注意:このインストールガイドはラボのセットアップに基づいており、AD FSバージョン2.0はCisco Collaboration製品でのSAML SSOでのみ使用することを前提としています。ビジネスに不可欠な他のアプリケーションで AD FS バージョン 2.0 を使用するには、Microsoft の公式資料に従って、所定のカスタマイズを行う必要があります。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • AD FS バージョン 2.0
    • Microsoft Internet Explorer 10
    • CUCM バージョン 10.5
    • Cisco Unified Presence サーバ バージョン 10.5
    • UCXN バージョン 10.5
    • Cisco Prime Collaboration Provisioning 10.5

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    設定

    AD FS バージョン 2.0 ID プロバイダ(IdP)メタデータのダウンロード

    IdPメタデータをダウンロードするには、ブラウザで次のリンクを実行します。https://<FQDN of ADFS>/FederationMetadata/2007-06/FederationMetadata.xml

    Collaboration サーバ(SP)メタデータのダウンロード

    CUCM IM and Presence Service

    Web ブラウザを開き、管理者として CUCM にログインして、[System] > [SAML Single Sign] に移動します。

    Unity Connection

    Web ブラウザを開き、管理者として UCXN にログインし、[System Settings] > [SAML Single Sign On] に移動します。

    Cisco Prime Collaboration Provisioning

    Web ブラウザを開き、globaladmin として Prime Collaboration Assurance にログインし、[Administration] > [System Setup] > [Single Sign On] に移動します。

    証明書利用者信頼としての CUCM の追加

    1. AD FS サーバにログインし、Microsoft Windows の [Programs] メニューから AD FS バージョン 2.0 を起動します。

    2. [Add Relying Party Trust] をクリックします。

      証明書利用者信頼の追加



    3. [Start(スタート)] をクリックします。

      証明書利用者信頼の追加ウィザードへようこそ



    4. Import data about the relying party from a fileオプションを選択し、以前にCUCMからダウンロードしたSPMetadata_CUCM.xmlメタデータファイルを選択して、Nextをクリックします。

      データソースの選択



    5. [Display name] を入力し、[Next] をクリックします。

      表示名とメモを追加する



    6. [Permit all users to access this relying party] を選択し、[Next] をクリックします。

      発行承認規則の選択



    7. [Open the Edit Claim Rules dialog for the relying party trust when the wizard closes] を選択し、[Close] をクリックします。

      証明書利用者信頼が正常に追加されたことを確認します



    8. [Add Rule] をクリックします。

      発行変換ルールの編集



    9. デフォルトの [Claim rule template] が [Send LDAP Attributes as Claims] に設定された状態で [Next] をクリックします。

      ルールテンプレートの選択



    10. [Configure Rule] 画面の [Claim rule name] に要求規則名を入力し、[Attribute store] として [Active Directory] を選択して、[LDAP Attribute] および [Outgoing Claim Type] を次のイメージに示すように設定した後、[Finish] をクリックします。

      注:
      - Lightweight Directory Access Protocol(LDAP)属性は、CUCM 上のディレクトリ同期属性と一致していなければなりません。
       - 「uid」は小文字である必要があります。



      ルール名とテンプレートの設定



    11. [Add Rule] をクリックし、[Claim rule template] として [Send Claims Using a Custom Rule] を選択してから [Next] をクリックします。

      クレームルールの一覧



      ルールの種類を選択します



    12. [Claim rule name] に要求規則名の名前を入力し、[Custom rule] の下に設けられているスペースに以下のシンタックスをコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (注:これらの例のテキストをコピーして貼り付ける場合、一部のワープロソフトウェアでは、ASCII引用符(")がUNICODEバージョン("")で置き換えられることに注意してください。UNICODEバージョンでは、要求ルールが失敗します。)


      CallManagerのカスタムルールの設定



      注:
       - この例では、CUCM および ADFS 完全修飾ドメイン名(FQDN)がラボ環境の CUCM および ADFS で事前入力されているため、ご使用の環境に合わせて変更する必要があります。
      - CUCM/ADFS の FQDN は大文字/小文字の区別があり、メタデータ ファイルと一致していなければなりません。



    13. [Finish] をクリックします。

    14. [Apply] の次に [OK] をクリックします。

    15. Services.msc から AD FS バージョン 2.0 サービスを再起動します。

    証明書利用者信頼としての CUCM IM and Presence の追加

    1. 証明書利用者信頼としての CUCM の追加で説明されているステップ 1 から 11 を繰り返してから、ステップ 2 に進みます。

    2. [Claim rule name] に要求規則名の名前を入力し、[Custom rule] の下に設けられているスペースに以下のシンタックスをコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      IMPのカスタムルールの設定




      この例では、IM and Presence および AD FS FQDN がラボ環境の IM and Presence および AD FS で事前入力されているため、ご使用の環境に合わせて変更する必要があります。

    3. [Finish] をクリックします。

    4. [Apply] の次に [OK] をクリックします。

    5. Services.msc から AD FS バージョン 2.0 サービスを再起動します。

    証明書利用者信頼としての UCXN の追加

    1. 証明書利用者信頼としての CUCM の追加で説明されているステップ 1 から 12 を繰り返してから、ステップ 2 に進みます。

    2. [Claim rule name] に要求規則名の名前を入力し、[Custom rule] の下に設けられているスペースに以下のシンタックスをコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      ICXNのカスタムルールの設定



      この例では、UCXN および AD FS FQDN がラボ環境の UCXN および ADFS で事前入力されているため、ご使用の環境に合わせて変更する必要があります。

    3. [Finish] をクリックします。

    4. [Apply] の次に [OK] をクリックします。

    5. Services.msc から AD FS バージョン 2.0 サービスを再起動します。

    証明書利用者信頼としての Cisco Prime Collaboration Provisioning の追加

    1. 証明書利用者信頼としての CUCM の追加で説明されているステップ 1 から 12 を繰り返してから、ステップ 2 に進みます。

    2. [Claim rule name] に要求規則名の名前を入力し、[Custom rule] の下に設けられているスペースに以下のシンタックスをコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      PCPのカスタムルールの設定



      この例では、Prime Provisioning および AD FS FQDN がラボ環境の Prime Collaboration Provisioning(PCP)および AD FS で事前入力されているため、ご使用の環境に合わせて変更する必要があります。

    3. [Finish] をクリックします。

    4. [Apply] の次に [OK] をクリックします。

    5. Services.msc から AD FS バージョン 2.0 サービスを再起動します。


    AD FS バージョン 2.0 の設定が完了したら、シスコ コラボレーション製品で SAML SSO を有効にする必要があります。

    確認

    現在、この設定に使用できる確認手順はありません。

    トラブルシュート

    AD FSは、診断データをシステムイベントログに記録します。  AD FSサーバーのサーバーマネージャーで、[診断] -> [イベントビューア] -> [アプリケーションとサービス] -> [AD FS 2.0] -> [管理者]を開きます

    AD FSアクティビティでログに記録されたエラーを探します

    サーバマネージャイベントの表示

    更新履歴

    改定 発行日 コメント
    1.0
    20-Jan-2015
    初版
    TAC Authored

    シスコ エンジニア提供

    • A Mマヘシュバブ
      シスコTAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています