- Cisco Unified Communications Manager 機能およびサービス ガイド
- はじめに
- 割り込みとプライバシー
- 折返し
- コール制御ディスカバリ
- Call Display Restrictions 機能
- コール パークとダイレクト コール パーク
- コール ピックアップ
- コール スロットリングおよび Code Yellow 状態
- 発信側の正規化
- Cisco エクステンション モビリティ
- Cisco クラスタ間のエクステンションモビリ ティ
- プロキシ回線サポートのある Cisco Unified Communications Manager Assistant
- シェアドライン サポートのある Cisco Unified Communications Manager Assistant
- Cisco Unified Communications Manager Auto-Attendant
- Cisco Unified Mobility
- Cisco Unified Mobility Advantage と Cisco Unified Mobile Communicator の統合
- Cisco Mobile VoiP Client
- Cisco WebDialer
- クライアント識別コードと強制承認コード
- カスタム電話呼び出し音
- デバイス モビリティ
- サイレント
- 外部コール制御
- External Call Transfer Restrictions 機能
- 位置情報 およびロケーション伝達
- 保留復帰
- ホットライン
- 即時転送
- インターコム
- インターネット プロトコル バージョン 6 (IPv6)
- ライセンス
- ローカル ルート グループ
- 論理パーティション
- 迷惑呼 ID
- モニタリングと録音
- Multilevel Precedence and Preemption
- 保留音
- プレゼンス
- 品質レポート ツール
- シングル サインオン
- 索引
Cisco Unified Communications Manager 機能およびサービスガイド リリース 8.6(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: シングル サインオン
シングル サインオン
シングル サインオン機能を使用すると、エンド ユーザは Windows ドメインの Windows クライアント マシンにログインし、再度サインオンすることなく特定の Cisco Unified Communications Manager アプリケーションを使用できます。
シングル サインオン機能の詳細については、シスコのホワイト ペーパー「 A complete guide for installation, configuration and integration of CUCM8.5 with Open Access Manager and Active Directory for SSO 」を参照してください。
この章では、Cisco Unified Communications Managerのシングル サインオン機能について説明します。この章では、次のトピックについて取り上げます。
•
「Cisco Unified Communications Manager用のシングル サインオンの概要」
• 「関連項目」
シングル サインオンの設定チェックリスト
シングル サインオン機能を使用すると、エンド ユーザは Windows クライアント マシンにログインし、再度サインオンすることなく特定の Cisco Unified Communications Manager アプリケーションを使用できます。
表 39-1 は、ネットワークで シングル サインオンを設定するためのチェックリストです。 表 39-1 と「関連項目」を併せて参照してください。
Cisco Unified Communication Interface for Microsoft Office Communicator でのシングル サインオンの設定については、Cisco Unified Communication Interface for Microsoft Office Communicatorのマニュアルを参照してください。
|
|
|
|
|---|---|---|
ご使用の環境が、「シングル サインオンのシステム要件」で説明する要件を満たしていることを確認します。 |
||
Active Directory で OpenAM サーバをプロビジョニングし、keytab ファイルを生成します。 (注) ご使用の Windows バージョンに keytab ファイルを生成するための ktpass ツールが含まれていない場合は、そのツールを別途入手する必要があります。 |
||
OpenAM サーバ証明書を Cisco Unified Communications Manager tomcat 信頼ストアにインポートします。 (注) SSO を有効にする場合、OpenAM サーバ証明書をインポートしない場合、Web アプリケーションにアクセスできません。 |
||
Microsoft Active Directory マニュアル。『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「 End User Configuration 」の項も参照してください。 |
||
(Cisco Unified Administration のみ) DirSync サービスを使用して、ユーザ データを Cisco Unified Communications Manager データベースと同期化します。 |
『 Cisco Unified Communications Manager システム ガイド 』の「 DirSync Service 」の項。 |
|
(Cisco Unified Administration のみ) ユーザを CCM Super Users グループに追加して、Cisco Unified Administration へのアクセスを有効にします。 |
『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「 Adding Users to a User Group 」の項。 |
|
Cisco Unified Communications Manager用のシングル サインオンの概要
シングル サインオン機能を使用すると、エンド ユーザは Windows にログインし、再度サインオンすることなく次の Cisco Unified Communications Manager アプリケーションを使用できます。
• Cisco Unified Communications Manager の管理
• Real-Time Monitoring Tool(RTMT; リアルタイム監視ツール)の管理
• Cisco Unified Communication Interface for Microsoft Office Communicator
シングル サインオンのシステム要件
Cisco Unified Communications Manager には、次のシングル サインオン システム要件があります。
• クラスタ内の各サーバの Cisco Unified Communications Manager リリース 8.5(1)。
この機能には、次のサードパーティ アプリケーションが必要です。
• Microsoft Windows Server 2003 または Microsoft Windows Server 2008
• ForgeRock Open Access Manager(OpenAM)バージョン 9.0
シングル サインオン機能は、Active Directory および OpenAM を併用して、クライアント アプリケーションへのシングル サインオン アクセスを提供します。
これらのサードパーティ製品は、次の設定要件を満たす必要があります。
• Active Directory は、単に LDAP サーバとしてではなく、Windows ドメインベースのネットワーク構成に配置する必要があります。
• ネットワーク上のすべてのクライアント システムおよび Active Directory サーバが OpenAM サーバにアクセスできる必要があります。
• Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、Cisco Unified Communications Manager、および OpenAM は、同じドメインに存在する必要があります。
• Cisco Unified Communications Manager サーバには、サード パーティ製品をインストールしません。
シングル サインオンのインストールとアクティブ化
Cisco Unified Communications Manager 8.6(1) のインストール後、必要な設定作業を実行すると、ネットワークでシングル サインオンをサポートできます。実行する必要がある設定作業については、「シングル サインオンの設定チェックリスト」を参照してください。
シングル サインオンの設定
• 「Active Directory および OpenAM への Windows シングル サインオンの設定」
• 「シングル サインオンに対応するためのクライアントのブラウザの設定」
ヒント シングル サインオンを設定する前に、「シングル サインオンの設定チェックリスト」を参照してください。
OpenAM の設定
– CUCM ユーザおよび UDS Web アプリケーション
• Policy Agent 3.0 用の J2EE Agent Profile を設定します。
• Windows Desktop SSO ログイン モジュール インスタンスを設定します。
Cisco Unified Communications Manager への OpenAM 証明書のインポート
Cisco Unified Communications Manager と OpenAM 間の通信がセキュアであるため、OpenAM セキュリティ証明書を入手して Cisco Unified Communications Manager tomcat 信頼ストアにインポートする必要があります。5 年間有効になるように OpenAM 証明書を設定します。
証明書のインポートについては、『 Cisco Unified Communications Operating System Administration Guide 』を参照してください。
Active Directory および OpenAM への Windows シングル サインオンの設定
この項では、Active Directory および OpenAM に Windows シングル サインオンを設定する方法について説明します。この手順に従うと、Cisco Unified Communications Manager を Active Directory で認証できます。
ステップ 1 Active Directory で、OpenAM Enterprise ホスト名(ドメイン名なし)をユーザ ID(ログイン名)として、新規にユーザを作成します。
ステップ 2 Active Directory サーバに keytab ファイルを作成します。
ステップ 3 作成した keytab ファイルを OpenAM システムにエクスポートします。
ステップ 4 OpenAM で、次の設定で新規に認証モジュールのインスタンスを作成します。
• タイプは、Windows Desktop SSO です。
– [Service Principal]:keytab ファイルを作成するときに使用したプリンシパル名を入力します。
– [Keytab File Name]:keytab ファイルのインポート先のパスを入力します。
– [Kerberos Realm]:ドメイン名を入力します。
– [Kerberos Server Name]:Active Directory サーバの FQDN を入力します。
– [Authentication level]: 22 を入力します。
シングル サインオンに対応するためのクライアントのブラウザの設定
ブラウザベースのクライアント アプリケーションでシングル サインオンを使用するには、Web ブラウザを設定する必要があります。
次の各項では、シングル サインオンを使用するようにクライアントのブラウザを設定する方法について説明します。
シングル サインオンに対応するための Internet Explorer の設定
シングル サインオン機能は、Internet Explorer バージョン 6.0 以降を実行している Windows クライアントをサポートします。シングル サインオンを使用するように Internet Explorer を設定するには、次のタスクを実行します。
• 次のように設定したカスタムのセキュリティ レベルを作成します。
– [ローカル イントラネット(Intranet Zone)] オプションで [イントラネット ゾーンでのみ自動的にログオンする(Automatic Logon Only)] を選択します。
– OpenAM をローカル ゾーンにまだ追加していない場合は追加します。
• Windows 7 で Internet Explorer 8.0 を実行している場合には、次のタスクを実行します。
– レジストリ キー HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥LSA¥ で、DWORD 値として SuppressExtendedProtection - 0x02 を追加します。
シングル サインオンに対応するための Firefox の設定
シングル サインオン機能は、Firefox バージョン 3.0 以降を実行している Windows クライアントをサポートします。
シングル サインオンを使用するように Firefox を設定するには、ブラウザと SPNEGO 認証の連動を許可する信頼できるドメインと URL を network.negotiate-auth.trusted-uris プリファレンスに入力します。
SSO アプリケーションの設定
SSO を設定するには、[Cisco Unified OS Administration] > [セキュリティ(Security)] > [シングルサインオン(Single Sign On)] をクリックします。
このアプリケーションは、次の 3 つのコンポーネントに分割されます。
– [アプリケーションの選択(Select Applications)]
SSO 設定の変更により Tomcat が再起動されることを示す警告メッセージが表示されます。
SSO アプリケーションを有効にする場合、次のエラー メッセージが表示されることがあります。
• [無効なOpen Access Manger(Open AM)サーバURL(Invalid Open Access Manger (Open AM) server URL)]:このエラー メッセージは、無効な OpenAM サーバ URL を提供した場合に表示されます。
• [無効なプロファイル証明書(Invalid profile credentials)]:このエラー メッセージは、間違ったプロファイル名または間違ったプロファイル パスワード、あるいはこれらの両方を提供した場合に表示されます。
• [セキュリティトラストエラー(Security trust error)]:このエラー メッセージは、OpenAM 証明書がインポートされていない場合に表示されます。
SSO を有効にした状態で上記のいずれかのメッセージが表示される場合、ステータスが上記のエラーに変わります。
[アプリケーションの選択(Select Applications)]
特定のアプリケーションの SSO を有効または無効にするアプリケーションを選択または選択解除します。
• Cisco Unified CM Administration:Cisco Unified CM Administration、Cisco Unified Serviceability、および Cisco Unified Reporting の SSO を有効にします。
• Cisco Unified CM User Options:Cisco Unified CM ユーザ オプションの SSO を有効にします。
• Cisco Unified Operating System Administration:Cisco Unified Operating System Administration およびディザスタ リカバリ システムの SSO を有効にします。
• Cisco Unified Data Service:Cisco UC Integration for Microsoft Office Communicator の SSO を有効にします。
• RTMT:Real-Time Monitoring Tool の Web アプリケーションを有効にします。
サーバ設定は、すべてのアプリケーションで SSO が無効な場合のみ編集できます。
ステップ 1 Open Access Manager(OpenAM)サーバの次の URL を入力します。
http://opensso.sample.com:443/opensso
ステップ 2 Policy Agent の配置先となる相対パスを入力します。相対パスは、英数字で入力する必要があります。
ステップ 3 このポリシー エージェントに設定されているプロファイルの名前を入力します。
ステップ 5 Windows Desktop SSO に設定されるログイン モジュール インスタンス名を入力します。
ステップ 7 確認ダイアログボックスの [OK] をクリックして、Tomcat を再起動します。
シングル サインオン用の CLI コマンドの実行
utils sso enable
utils sso enable コマンドを使用すると、SSO ベースの認証を有効および設定、SSO を無効、または SSO ベースの認証のステータスおよび設定パラメータを表示できます。
• enable:SSO ベースの認証を有効にします。このコマンドは、シングル サインオン設定ウィザードを起動します。
次の表に、SSO を有効にするときに表示されるプロンプトの情報を示します。
例
This command will restart Tomcat for successful completion.
This command needs to be executed on all the nodes in the cluster.
Do you want to continue (yes/no): yes
List of apps for which SSO can be enabled
1) Cisco Unified Administration (Cisco Unified Administration, Cisco Unified Serviceability, Cisco Unified Reporting)
3) Cisco Unified Operating System Administration (Cisco Unified OS Administration, Disaster Recovery System)
4) Cisco Unified Data Service (CUCiMOC)
Do you want to enable SSO for Cisco Unified Administration (Cisco Unified Administration, Cisco Unified Serviceability, Cisco Unified Reporting) (yes/no): y
Do you want to enable SSO for Cisco Unified User Options (yes/no): n
Do you want to enable SSO for Cisco Unified Operating System Administration (Cisco Unified OS Administration, Disaster Recovery System) (yes/no): n
Do you want to enable SSO for Cisco Unified Data Service (CUCiMOC) (yes/no): y
Do you want to enable SSO for RTMT (yes/no): n
Enter URL of the Open Access Manager (OpenAM) server: https://blr-opensso.vrajoli.com:8443/opensso
Enter the relative path where the policy agent should be deployed: agentapp
Enter the name of the profile configured for this policy agent: CUCMPA220
Enter the password of the profile name: *******
Enter the login module instance name configured for Windows Desktop SSO: Universal_SSO
Validating connectivity and profile with Open Access Manager (OpenAM) Server: https://blr-opensso.vrajoli.com:8443/opensso
Enabling SSO ... This will take up to 5 minutes
Please make sure to execute this command on all the nodes in the cluster.
utils sso disable
このコマンドは、SSO ベースの認証を無効にします。このコマンドは、SSO が有効な Web アプリケーションをリストします。指定アプリケーションのシングル サインオンを無効にするよう求めるプロンプトが表示された場合、 Yes と入力します。
フィードバック