- はじめに
- Cisco Unity Connection 8.x で必要な IP 通信
- Cisco Unity Connection 8.x での不正通話の防止
- Cisco Unity Connection 8.x、Cisco Unified Communications Manager、および IP 電話の間の接続の保護
- Cisco Unity Connection 8.x での管理アカウントおよびサービス アカウントの保護
- Cisco Unity Connection 8.6 における FIPS コンプライアンス
- Cisco Unity Connection 8.x での、パスワード、PIN、および認証規則の管理
- Cisco Unity Connection 8.6 以降でのシングル サインオン
- Cisco Unity Connection 8.x セキュリティ パスワード
- SSL を使用した、Cisco Unity Connection 8.x でのクライアント/サーバ接続の保護
- Cisco Unity Connection 8.x でのユーザ メッセージの保護
- 索引
Cisco Unity Connection セキュリティ ガイド リリース 8.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: Cisco Unity Connection 8.6 以降でのシングル サインオン
Cisco Unity Connection 8.6 以降でのシングル サインオン
Cisco Unity Connection 8.6 以降のバージョンは、シングル サインオン機能をサポートしています。この機能により、エンド ユーザは、一度ログインするだけで次の Cisco Unity Connection アプリケーションを追加のサインオンなしで使用できます。
•
Cisco Personal Communications Assistant
• Cisco Unity Connection Administration
• Cisco Unity Connection Serviceability
シングル サインオン機能の詳細については、シスコのホワイト ペーパー『A complete guide for the installation, configuration and integration of Open Access Manager 9.0 with CUCM 8.5, 8.6 /CUC 8.6 and Active Directory for SSO』を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf から入手可能です。
シングル サインオンの設定チェックリスト
この項では、ネットワーク内のシングル サインオン機能を設定するためのチェックリストを示します。
|
|
|
|
|---|---|---|
使用環境が「シングル サインオンのシステム要件」で説明されている要件を満たしていることを確認します。 |
||
Active Directory の OpenAM サーバをプロビジョニングし、keytab ファイルを生成します。 (注) 使用している Windows のバージョンに keytab ファイルを生成するための ktpass ツールが含まれていない場合は、別途入手する必要があります。 |
||
OpenAM のサーバ証明書を Cisco Unified Communications Manager tomcat 信頼ストアにインポートします。 |
http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf |
|
http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf |
||
http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf |
||
シングル サインオンのシステム要件
Cisco Unity Connection のシングル サインオンのシステム要件を次に示します。
• クラスタ内の各サーバに Cisco Unity Connection リリース 8.6(1) 以上。
この機能は、シングル サインオン機能を設定するために次のサードパーティ製アプリケーションが必要です。
• Active Directory を導入するための Microsoft Windows Server 2003 SP1/SP2 または Microsoft Windows Server 2008 SP2。
• Microsoft Active Directory サーバ(任意のバージョン)。
• ForgeRock Open Access Manager(OpenAM)バージョン 9.0。
シングル サインオン機能は、Active Directory および OpenAM を同時に使用し、クライアント アプリケーションにシングル サインオン アクセスを提供します。
シングル サインオン機能に必要なサードパーティ製アプリケーションは、次の設定要件を満たしている必要があります。
• Active Directory は、LDAP サーバとしてではなく、Windows ドメインベースのネットワーク設定で導入される必要があります。
• OpenAM サーバは、ネットワーク上において Connection サーバ、すべてのクライアント システム、および Active Directory サーバから名前でアクセスできなければなりません。
• OpenAM サーバは、Microsoft Windows 2003 サーバまたは RedHat Enterprise Linux(RHEL)サーバにイストールできます。
• Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、Cisco Unity Connection、および OpenAM は、同じドメイン内に存在する必要があります。
シングル サインオンの設定
シングル サインオンのための Connection および OpenAM サーバの設定手順の詳細については、シスコのホワイト ペーパー『A complete guide for the installation, configuration and integration of Open Access Manager 9.0 with CUCM 8.5, 8.6 /CUC 8.6 and Active Directory for SSO』を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf から入手可能です。この項では、Connection 固有の設定に従う必要がある重要なステップや手順について説明します。しかし、シングル サインオンの設定を初めて行う場合は、シスコのホワイト ペーパーに記載されている詳細な手順に従うことを強く推奨します。
OpenAM サーバの設定
OpenAM サーバを設定するには、次の手順を実行する必要があります。
OpenAM サーバ上のポリシーを設定するには、OpenAM にログインして [アクセス コントロール(Access Control)] タブを選択する必要があります。[トップ レベル レルム(Top Level Realm)] オプションをクリックし、[ポリシー(Policies)] タブを選択して新しいポリシーを作成します。新しいポリシーの作成は、シスコのホワイト ペーパー( http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf )に記載されているステップに従ってください。また、ホワイト ペーパーの手順に従うと同時に、次のような Connection 固有の情報を持つポリシーを作成してください。
• ポリシーにルールを追加するときは、次の点を確認してください。
– 各ルールは、URL ポリシー エージェント サービスのタイプである必要があります
– 各ルールの GET および POST チェックボックスをオンにします
– 次の各リソースに対してルールを作成します。「fqdn」は Connection サーバの完全修飾ドメイン名を示します。
• ポリシーにサブジェクトを追加するときは、次の点を確認してください。
– [サブジェクトのタイプ(Subject Type)] フィールドが Authenticated Users であることを確認してください。
– [排他的(Exclusive)] チェックボックスはオンにしないでください。
• ポリシーに条件を追加するときは、次の点を確認してください。
– [条件(Condition)] のタイプを Active Session Time とします
– アクティブ セッション タイムアウトを 120 分に設定し、[セッション終了(Terminate Session)] オプションで [いいえ(No)] を選択します。
ステップ 2:Windows Desktop SSO ログイン モジュール インスタンスの設定
Windows Desktop の設定は、シスコのホワイト ペーパー( http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf )に記載されている手順に従ってください。
ステップ 3:Policy Agent 3.0 の J2EE Agent Profile の設定
新しい J2EE エージェントの作成は、シスコのホワイト ペーパー( http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf )に記載されている手順と、次の Connection 固有の設定に従ってください。
• エージェントのプロファイル名として示される名前は、Connection サーバ上で SSO がイネーブルである場合や、「Enter the name of the profile configured for this policy agent」というメッセージが表示された場合に入力する必要があります。
• ここで入力されるエージェント パスワードは、Connection サーバ上で「Enter the password of the profile name」というメッセージが表示された場合にも入力する必要があります。
• [アプリケーション(Application)] タブ上の [ログイン フォーム URI(Login Form URI)] セクションに次の URI を追加します。
– cuadmin/WEB-INF/pages/logon.jsp
– cuservice/WEB-INF/pages/logon.jsp
– ciscopca/WEB-INF/pages/logon.jsp
– inbox/WEB-INF/pages/logon.jsp
– ccmservice/WEB-INF/pages/logon.jsp
• [アプリケーション(Application)] タブの下の [URI 処理を強制しない(Not Enforced URI Processing)] セクションに、次の URI を追加します。
– inbox/gadgets/msg/msg-gadget.xml
上記の Connection 固有の設定の他に、次の点を確認してください。
• LDAP から Connection にユーザをインポートします。ユーザが Cisco Unity Connection Administration、または Cisco Unity Connection Serviceability にログインするには、適切な役割を設定されている必要があります。
• シスコのホワイト ペーパー( http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf )の「Configuring SSO on Cisco Unified Communications Manager 8.6」の項の説明に従って、OpenAM 証明書を Connection にアップロードします。
シングル サインオンの CLI コマンドの実行
次の各項では、シングル サインオンを設定する CLI コマンドについて説明します。
詳細については、シスコのホワイト ペーパー( http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/miscellany/oam90-cucm8586-cuc86-sso.pdf )を参照してください。
utils sso コマンドは、SSO-based 認証のイネーブル化と設定に使用します。クラスタ内のすべてのノード上でこのコマンドを実行してください。
enable:SSO-based 認証をイネーブルにします。このコマンドにより、シングル サインオン設定ウィザードが開始されます。
このコマンドは、SSO-based 認証をディセーブルにします。また、SSO がイネーブルになっている Web アプリケーションをリスト表示します。指定されたアプリケーションのシングル サインオンをディセーブルにするよう求められた場合は、「Yes」と入力します。クラスタ内のすべてのノード上でこのコマンドを実行する必要があります。
フィードバック