Cisco Unified Communications アプリケーション、リリース 15 および SU 向け SAML SSO 導入ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索

検索結果

Updated:
2024年9月20日金曜日

章のタイトル: SAML SSO 設定

SAML SSO 設定

SAML ベースの SSO 前提条件

SAML ベースの SSO 設定には以下のシステム設定が必要です:

  • NTP セットアップ

  • DNS セットアップ

  • ディレクトリのセットアップ

NTP セットアップ

SAML SSO では、Network Time Protocol(NTP)を使用することで Unified Communications アプリケーションと IdP の間で時刻を同期させることができます。 SAML は時間に依存するプロトコルであり、IdP は SAML アサーションの時間ベースの有効性を決定します。 IdP と Unified Communications アプリケーションのクロックが同期していない場合、アサーションが無効になり、SAML SSO 機能が停止します。 IdP と Unified Communications アプリケーション間で許容されている最大時差は 3 秒です。


(注)  
SAML SSO を有効にするには、正しい NTP セットアップをインストールし、IdP と Unified Communications アプリケーションとの時差が 3 秒を超えないことを確認する必要があります。

クロックを同期するために NTP サーバを追加する方法については、『 Cisco Unified Communications Manager のシステム構成ガイド』の「デバイスプールのコア設定」の章を参照してください。

DNS セットアップ

ドメイン ネーム システム (DNS) は、ネットワーク内でホスト名とネットワーク サービスの IP アドレスへのマッピングを有効にします。 ネットワーク内に展開された DNS サーバは、ネットワークサービスをホスト名にマッピングし、さらにホスト名を IP アドレスにマッピングするデータベースを提供します。 ネットワーク上のデバイスは、DNS サーバにクエリを行い、ネットワーク内の他のデバイスの IP アドレスを受け取ることができるため、ネットワーク デバイス間の通信が容易になります。

Unified Communications アプリケーションは DNS を使用して、完全修飾ドメイン名を IP アドレスに解決できます。 サービス プロバイダーと IdP は、ブラウザーによって解決可能である必要があります。 例えば、管理者がサービスプロバイダのホスト名 (http://www.cucm.com/ccmadmin) をブラウザに入力すると、ブラウザはホスト名を解決する必要があります。 SAML SSO のために、サービスプロバイダーがブラウザを IdP(http://www.idp.com/saml)にリダイレクトする場合、ブラウザは IdP ホスト名を解決する必要があります。 さらに、IdP がサービスプロバイダーの ACS URL にリダイレクトする場合、ブラウザはそれも解決する必要があります。

ディレクトリ セットアップ

ディレクトリ設定:さまざまな Unified Communications アプリケーション間での SAML SSO を有効にするために、LDAP ディレクトリの同期は事前に必要な必須の手順です。Unified Communications アプリケーションを LDAP ディレクトリと同期することにより、管理者は Unified Communications アプリケーションのデータ フィールドをディレクトリ属性にマッピングして、ユーザを容易にプロビジョニングできるようになります。


(注)  
SAML SSOを有効にするには、LDAP サーバーが IdP サーバーによって信頼され、Unified Communications アプリケーションによってサポートされている必要があります。

詳細については、以下にある『シスコ コラボレーション システム リファレンス ネットワーク 設計(SRND)』の「ディレクトリ統合とアイデンティティ管理」の章を参照してください。

https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-system/products-implementation-design-guides-list.html

証明書の管理と検証


重要

Cisco は、サーバ証明書が SAML SSO に対して署名され、製品サポートが利用できる場合にはマルチサーバ証明書が使用されることを強く推奨します。


(注)  

  • 共通名 (CN) およびサブジェクト代替名 (SAN) は、要求されているアドレスの IP アドレスまたは完全修飾ドメイン名 (FQDN) への参照です。 例えば、「 https://www.cisco.com」と入力した場合、CN または SAN のヘッダーには "www.cisco.com" が必要です。

  • Unified Communications Manager がすでに混合/セキュアモードであり、証明書に変更が加えられた場合、セキュア USB トークンを使用して CTL 証明書を更新する必要があります。 そうしないと、 Cisco Jabber クライアントはテレフォニー機能を取得できません。 CTL トークンの更新では、Unified Communications Manager を再起動する必要があります。

SAML SSO では、ユーザのウェブブラウザを含む、SAML メッセージ交換に参加している各エンティティは、要求されたエンティティへのシームレスで安全な HTTPS 接続を確立する必要があります。 Cisco は、SAML SSO 展開に参加する各 UC 製品で、信頼できる認証局により発行された署名付き証明書を設定することを強く推奨します。

Unified Communications アプリケーションは証明書の検証を使用して、サーバーとのセキュアな接続を確立します。 証明書はエンドポイント間で使用され、データの信頼/認証と暗号化を構築します。 これにより、エンドポイントが目的のデバイスと通信し、2 つのエンドポイント間でデータを暗号化するオプションがあることを確認します。

安全な接続の確立を試みる際、サーバは Unified Communications クライアントに証明書を提示します。 クライアントが証明書を検証できない場合、証明書を受け入れるかどうかを確認するプロンプトをユーザに表示します。

認証局によって署名された証明書

Cisco は、以下のタイプの認証局 (CA) のいずれかによって署名されたサーバ証明書の使用を推奨しています。

  • 公開 CA - サードパーティがサーバの身元を確認し、信頼できる証明書を発行します。
  • プライベート CA - ローカル CA を作成、管理し、信頼できる証明書を発行します。

署名プロセスは各製品によって異なり、サーバのバージョンによっても異なります。 各サーバの各バージョンに対する詳細な手順を提供することは、このドキュメントの範囲を超えます。 CA によって署名された証明書を取得する方法に関する詳細な手順については、適切なサーバのドキュメントを参照してください。

しかし、次のステップは、手順の大まかな概要を説明しています。

手順

ステップ 1

クライアントに証明書を提示できる各製品で、証明書署名リクエスト(CSR)を生成します。

ステップ 2

各 CSR を CA に送信します。

ステップ 3

CA が発行する証明書を各サーバにアップロードします。

すべてのサーバ証明書には、クライアントコンピュータの信頼ストアに存在するルート証明書が関連付けられている必要があります。 Cisco UC アプリケーションは、サーバが提供する証明書を信頼ストアのルート証明書と照合して検証します。

パブリック CA により署名されたサーバ証明書を取得する場合、クライアントコンピュータのトラストストアに、パブリック CA のルート証明書がすでにあるはずです。 この場合、クライアントコンピュータにルート証明書をインポートする必要はありません。

証明書がプライベート CA などの信頼ストアにまだ存在しない CA によって署名されている場合、ルート証明書をインポートする必要があります。

SAML SSO では、IdP とサービスプロバイダは CN または SAN の正しいドメインを持つ CA の署名入りの証明書を持っている必要があります。 正しい CA 証明書が検証されない場合、ブラウザはポップアップ警告を発行します。

例えば、管理者がブラウザで https://www.cucm.com/ccmadmin; Unified Communications Manager ポータルは CA 証明書をブラウザに提示します。 ブラウザが https://www.idp.com/saml にリダイレクトされると、IdP は CA 証明書を提示します。 ブラウザは、サーバによって提示された証明書にそのドメインの CN または SAN フィールドが含まれていること、および証明書が信頼された CA によって署名されていることを確認します。

代わりに、顧客が独自のプライベート CA を持っている場合、その CA は、管理者がブラウザを起動しているコンピュータにルート トラスト アンカーとしてインストールする必要があります。

マルチサーバー SAN 証明書の設定

各シスコ製品には、マルチサーバー SAN 証明書を生成するための独自のプロセスがあります。マルチサーバー SAN 証明書をサポートするシスコ製品については、関連するガイドを参照してください。

Microsoft Edge 相互運用性のための証明書発行者の展開

Microsoft Edge ブラウザが展開されている SAML SSO 展開内には、相互運用性の問題が存在します。Edge ブラウザが SSO 対応マシンに展開されている場合、Edge ブラウザは Unified Communications Manager 証明書の証明書発行者を認識せず、アクセスを提供しません。

この手順を使用して、グループポリシーオブジェクト(GPO)と Active Directory を介してこの問題を修正します。これにより、Unified Communications Manager 証明書の証明書発行者を、Edge ブラウザを使用するローカルマシンの信頼されたルート証明書にプッシュできます。


(注)  

「証明書発行者」は、証明書の設定方法によって異なります。たとえば、サードパーティ CA 証明書の場合、CA 自体が Unified Communications Manager 証明書に署名する場合にのみ、CA 証明書をプッシュする必要があります。ただし、中間 CA が Unified Communications Manager 証明書に署名する場合は、ルート証明書、中間証明書、およびリーフ証明書を含む完全な証明書チェーンをプッシュする必要があります。

始める前に

この手順を完了するには、少なくともローカルコンピュータに対する管理者のメンバーシップ、またはこれと同等の権限が必要です。

手順

ステップ 1

Active Directoryで、グループポリシー管理コンソールを開きます。

ステップ 2

既存の GPO を検索するか、証明書設定を含める新しい GPO を作成します。GPO は、ポリシーの影響を受けるユーザーのドメイン、サイト、または組織単位に関連付ける必要があります。

ステップ 3

GPO を右クリックし、[編集( Edit)] を選択します。

グループ ポリシー管理エディタ が開き、ポリシー オブジェクトの現在の内容が表示されます。

ステップ 4

ナビゲーション ウィンドウで、 [コンピュータの構成 > ] [Windows の設定] [ > セキュリティの設定] [ > 公開キーのポリシー] > [信頼された発行元]を開きます。

ステップ 5

[ アクション (Action)] メニューをクリックし、[インポート( Import)] をクリックします。

ステップ 6

証明書の インポートウィザードの指示に従って、証明書 を検索してインポートします。

ステップ 7

証明書が自己署名されており、 信頼されたルート証明機関 の証明書ストアにある証明書を追跡できない場合は、そのストアに証明書をコピーする必要もあります。ナビゲーション ウィンドウで、[信頼されたルート証明機関( Trusted Root Certification Authorities)] をクリックし、手順 5 と 6 を繰り返して、そのストアに証明書のコピーをインストールします。


(注)  

Active Directory での信頼されたルート証明書の管理の詳細については、「https://technet.microsoft.com/en-us/library/cc754841(v=ws.11).aspx」を参照してください。

SAML SSO 設定タスク フロー

これらのタスクを完了して、Cisco Collaboration 環境で SAML SSO を設定します。 このプロセスには、次のアプリケーションの手順が含まれます。

  • Cisco Unified Communications Manager

  • IM and Presence Service

  • Cisco Unity Connection

  • Cisco Expressway(MRA 導入とともに)

手順

  コマンドまたはアクション 目的

ステップ 1

コラボレーション アプリケーションの SSO 設定を開始する

Cisco Collaboration 環境で、SSO 設定を開始し、UC メタデータをエクスポートします。

ステップ 2

ID プロバイダでの SAML SSO の設定

ID プロバイダで、以下の手順を実行します。

  • UC メタデータをアップロードする

  • SAML SSO 合意を設定する

  • IdP メタデータ ファイルをエクスポートする

ステップ 3

シスコ コラボレーション アプリケーションの SAML SSO の有効化

IdP メタデータを Cisco Collaboration 環境にインポートし、構成を完了します。

コラボレーション アプリケーションの SSO 設定を開始する

Cisco Collaboration 環境で、SAML SSO 構成を開始し、ID プロバイダにアップロードするために UC メタデータをエクスポートします。 SAML SSO を設定しているアプリケーションおよび選択したオプションに応じて、複数のダウンロードファイルがある場合があります。

始める前に

どのタイプの SAML SSO 合意 (クラスター全体またはノードごと) と証明書タイプを事前に計画してください。

手順

ステップ 1

Cisco Unified Communications Manager で、UC メタデータファイルをエクスポートします。

  1. Cisco Unified CM Administration で、[システム(System)] > [SAMLシングルサインオン(SAML Single Sign-On)] の順に選択します。

  2. [SSO モード(SSO Mode)] オプションとして、[クラスタ全体(Cluster wide)] または [ノードごと(Per Node)] を選択します。

  3. 証明書 オプションを選択します: システムで生成された自己署名証明書 または Cisco Tomcat 証明書。

  4. [ すべてのメタデータをエクスポート ] をクリックして、メタデータファイルを安全な場所に保存します。

    クラスター全体の合意では、単一のメタデータ ファイルを受け取ります。 ノードごとの合意では、zip ファイルのダウンロードには各クラスタノードの個別の XML ファイルが含まれます。 標準導入で IM and Presence Service がある場合、

ステップ 2

IM and Presence Service - IM and Presence Servce に集中導入がある場合、IM and Presence 中央クラスタの一部であるスタンドアロン Unified CM パブリッシャノードでステップ 1 を繰り返します。

(注)  

 
IM and Presence サービスの標準的な展開では、このタスクをスキップできます。前のステップで Unified Communications Manager からダウンロードしたメタデータファイルには IM and Presence サービス クラスタのメタデータが含まれるためです。

ステップ 3

Cisco Unity Connection で、メタデータ ファイルをエクスポートします。

  1. Cisco Unity Connection の管理から、 システム設定 > SAML シングルサインオンを選択します。

  2. [SSO モード(SSO Mode)] オプションとして、[クラスタ全体(Cluster wide)] または [ノードごと(Per node)] を選択します。

  3. [ すべてのメタデータをエクスポート] をクリックします。

ステップ 4

Cisco Expressway-C で、メタデータファイルをエクスポートします。

  1. Expressway-C プライマリピアで、[設定(Configuration)] > [Unified Communications] > [設定(Configuration)] に移動します。

  2. [ MRA アクセス制御 ] セクションで、 認証パス に対して次のいずれかのオプションを選択します:

    • SAML SSO 認証

    • SAML SSO および UCM/LDAP—いずれかの方法を許可します。

  3. [SAML メタデータ(SAML Metadata)] オプションとして、[クラスタ(Cluster)] または [ピア(Peer)] を選択します。

    • Cluster—クラスタ用の単一メタデータファイル

    • ピア(Peer):ノードごとに個別のメタデータファイル。

  4. [SAML データのエクスポート(Export SAML data)] をクリックします。

    • クラスタ合意の場合は、[証明書の生成(Generate Certificate)] をクリックしてから、証明書を [ダウンロード(Download)] します。

    • ピア合意の場合は、[すべてダウンロード(Download All)] します。

  5. 安全な場所に保存します。
この手順が完了すると、各 Collaboration アプリケーションのメタデータファイルを保有することになります。 メタデータ ファイルの数は、構成と展開の種類によって異なります。

メタデータのダウンロードの例

Cisco Collaboration の展開で予想されるファイルのダウンロード数の例については、以下を参照してください。 次のアプリケーションの SSO を設定すると想定します:

  • 5 ノードの Cisco Unified Communications Manager クラスタ

  • 3 ノードの IM and Presence Service クラスタ

  • 2 ノードの Cisco Unity Connection クラスタ

  • 3 ノード Expressway-C クラスターと 3 ノード Expressway-E クラスター(MRA 導入)

以下の表は、クラスタ全体の合意を使用しているかどうか、および IM and Presence Service が標準導入と集中導入のどちらにあるかによって、予想されるダウンロードファイルの合計の内訳を示しています。

表 1. 予想されるメタデータのダウンロード

合意タイプ

IM and Presence が標準導入の場合にダウンロードされるファイルの合計数

IM および Presence が集中導入の場合にダウンロードされるファイルの合計数*

クラスタワイド

以下のクラスターを表す 3 つのメタデータ XML ファイル:

  • Unified Communications Manager および IM and Presence Service クラスタ

  • Unity Connection クラスタ

  • Expressway-C クラスター

以下のクラスターを表す 4 つのメタデータ XML ファイル:

  • Unified Communications Manager クラスタ

  • IM and Presence サービス クラスタ

  • Unity Connection クラスタ

  • Expressway-C クラスター

ノードごと

13 個のメタデータ XML ファイルを含む 3 つの zip ファイル:

  • Unified CM および IM and Presence ノード用の 8 つの XML ファイルを含む 1 つの zip ファイル

  • Unity Connection ノード用の 2 つの XML ファイルを含む 1 つの zip ファイル

  • Expressway-C ノード用に 3 つの XML ファイルを含む 1 つの zip ファイル

14 メタデータ XML ファイルを含む 4 つの zip ファイル:

  • Unified CM ノード用の 5 つの XML ファイルを含む 1 つの zip ファイル

  • IM and Presence ノード用の 3 つの XML ファイル、および IM and Presence 中央クラスタにあるスタンドアロン Unified CM パブリッシャノード用の追加の XML ファイルを含む 1 つの zip ファイル

  • Unity Connection ノード用の 2 つの XML ファイルを含む 1 つの zip ファイル

  • Expressway-C ノード用に 3 つの XML ファイルを含む 1 つの zip ファイル

(注)  

標準導入では、IM およびプレゼンス サービスは Cisco Unified Communications Manager と同じクラスタにあります。 IM およびプレゼンス サービスのメタデータは、Cisco Unified Communications Manager からダウンロードしたメタデータに含まれています。

集中導入では、IM および Presence Service が Cisco Unified Communications Manager テレフォニークラスタとは異なるクラスタにあり、IM および Presence セントラルクラスタ内のスタンドアロンで非テレフォニーの Unified CM パブリッシャノードを使用して、IM および Presence Service のメタデータを個別にエクスポートする必要があります。

ID プロバイダでの SAML SSO の設定

アイデンティティ プロバイダー上

  • シスコ コラボレーション環境からダウンロードした UC メタデータ ファイルをインポートします。

  • Cisco Collaboration アプリケーションに対する SAML SSO 契約の設定

  • 後でシスコ コラボレーション アプリケーションにインポートするアイデンティティ プロバイダー メタデータ ファイルをエクスポートします。

シスコでは、次の Idp 固有の設定例をガイドとして提供しています。


(注)  

上記のリンクは単なる例です。公式なマニュアルについては、IdP のマニュアルを参照してください。

シスコ コラボレーション アプリケーションの SAML SSO の有効化

始める前に

ID プロバイダーのメタデータをシスコ コラボレーション アプリケーションにインポートし、SAML SSO 設定を完了します。

重要

これは、リリース 14SU2 以降に適用されます。

(注)  

ドメインを設定する際は、SAML SSO の有効化後に表示される接続の失敗とメタデータの不一致の警告メッセージを回避するために、「CUCM サーバー定義を IP アドレスまたはホスト名から FQDN 形式に変更する」の「設定」セクションを参照することをお勧めします。これは、BCFIPS 機能中に導入されました。

手順

ステップ 1

Cisco Unified Communications Manager の SSO 設定はこれで完了です。

  1. SAML SSO を有効にする前に、Cisco Tomcat サーバーを再起動します。

  2. Cisco Unified CM の管理で、[システム(System)] > [SAMLシングルサインオン(SAML Single Sign-On)]を選択します。

  3. [SAML SSO の有功化(Enable SAML SSO)] をクリックします。

  4. [続行(Continue)] を選択して、プロンプトに従います。

  5. クラスタ全体の契約のみ。[マルチサーバ Tomcat 証明書のテスト(Test for Multi-Server Tomcat Certificate)] をクリックします。

  6. [次へ(Next)] をクリックします。

  7. [参照 (Browse )] をクリックして、エクスポートした IdP メタデータファイルを見つけて選択します。ファイルを開いたら、[IdP メタデータのインポート( Import IdP Metadata)] をクリックします。

  8. [次へ] をクリックします。

  9. 標準 CCM スーパーユーザー権限を持ち、[SSO テストの実行( Run SSO test)] を持つ LDAP 同期対象ユーザーを選択します。

  10. ユーザの証明書によるサインイン

  11. [完了(Finish)] をクリックして、SAML SSO の設定を完了します。

  12. Cisco Tomcat サービスを再起動します。

  13. ノード単位の契約のみ。すべての Unified Communications Manager クラスタ ノードでこの手順を繰り返します。

    (注)  

     

    Unified Communications Manager で FIPS または ESM が有効になっている場合は、SSO 署名アルゴリズムを sha256 に設定する必要があります。

    Cisco Unified CM のすべてのノードの管理 CLI でこのコマンドを実行します。

    utils sso set 署名アルゴリズム sha256

ステップ 2

IM and Presence サービス:IM and Presence サービスの集中型展開がある場合は、IM and Presence 中央クラスタの一部であるスタンドアロン Unified CM パブリッシャ ノードで前の手順を繰り返します。

ステップ 3

Cisco Unity Connection で、SAML SSO 設定を完了します。

  1. SAML SSO を有効にする前に、Cisco Tomcat サーバーを再起動します。

  2. Cisco Unity Connection Administration で、[システム設定(System Settings)][SAMLシングルサインオン( System Settings > SAML Single Sign On )]に移動します。

  3. [SAML シングル サインオンの有効化(Enable SAML Single Sign On)] をクリックします。

  4. [続行(Continue)] を選択して、プロンプトに従います。

  5. IdP メタデータ ファイルを Cisco Unity Connection にインポートします。

  6. SSO 接続をテストします。

  7. Cisco Tomcat サービスを再起動します。

  8. ノード単位の契約のみ。クラスタごとに、この手順を繰り返します。

ステップ 4

Expressway-C プライマリ ピアで、SAML SSO 設定を完了します。

  1. [構成(Configuration)] > [ユニファイド コミュニケーション(Unified Communications)] > [アイデンティティ プロバイダー(IdP)(Identity providers (IdP))] に移動します。

  2. [SAMLから新しいIdPをインポート(Import new IdP from SAML)] をクリックします。

  3. [SAMLファイルをインポート(Import SAML file)] コントロールを使用して、IdP から SMAL メタデータファイルを検索します。

  4. [ダイジェスト(Digest)] を必要な SHA ハッシュアルゴリズムに設定します。

  5. [アップロード(Upload)] をクリックします。

    (注)  

     
    メタデータをインポートした後は、[(Configuration)] > [Unified Communications] > [アイデンティティプロバイダ(IdP)(Identity providers (IdP))] の順に選択し、IdP 行を検索し、アクション列で [ダイジェストの構成(Configure Digest)] をクリックすると署名アルゴリズムを変更できます。

  6. IdP が ID プロバイダーのリストに表示されていることを確認します。

  7. IdP の行で [ドメインの関連付け(Associate domains)] をクリックします。

  8. このアイデンティティ プロバイダーに割り当てるドメインをオンにします。

  9. [保存(Save)] をクリックします。

    (注)  

     
    SAML SSO 用に Active Directory フェデレーション サービス(ADFS)を使用して Cisco Expressway を展開する場合は、「ADFS のための追加の Expressway 構成」で追加の Expressway 設定を参照してください。

SAML SSO の追加タスク

以下の追加タスクを実行し、要件に応じて SAML SSO セットアップを有効にすることができます。

Cisco Tomcat サービスの再起動

SAML シングルサインオンを有効化または無効化した後は、シングルサインオンが実行されているすべての Unified CM クラスタノードと IM and Presence Service クラスタノードで、Cisco Tomcat サービスを再起動します。

手順

ステップ 1

コマンドライン インターフェイスにログインします。

ステップ 2

utils service restart Cisco Tomcat CLI コマンドを実行します。

ステップ 3

シングル サインオンが有効化されているすべてのクラスタ ノードで、この手順を繰り返します。

ADFS のための追加の Expressway 構成

Active Directory フェデレーションサービスを使用して Expressway に SAML SSO を展開する場合、これらの追加の Expressway 構成を完了します。

手順

ステップ 1

Windows PowerShell® で、ADFS で作成された各 Relying Party Trust ごとに、各 Expressway-E の <EntityName> に対して以下のコマンドを 1 回実行します。

Set-ADFSRelyingPartyTrust -TargetName "<EntityName>" -SAMLResponseSignatureMessageAndAssertion、ここで <EntityName> は ADFS で設定されている Expressway-E の Relying Party Trust の表示名でなければなりません。

ステップ 2

ADFS で、各証明書利用者にクレーム ルールを追加します。

  1. [クレームルールの編集(Edit Claims Rule)] ダイアログを開き、AD 属性をクレームとして送信する新しいクレームルールを作成します。

  2. AD 属性を選択して、OAuth ユーザを内部システムに識別する属性を選択します。通常はメールまたは SAMAccountName です。

  3. 発信クレーム タイプとして uid を入力します。

iOS Cisco Jabber の SSO ログインの動作設定

手順

ステップ 1

Cisco Unified CM Administrationから、[システム] > [企業パラメータ] を選択します。

ステップ 2

オプトイン制御を設定するには、[SSO の設定(SSO Configuration)] セクションの [iOS 向け SSO ログイン動作(SSO Login Behavior for iOS)] パラメータで、[ネイティブブラウザの使用(Use Native Browser)] オプションを選択します。

(注)  

 
[iOS向けSSOログイン動作(SSO Login Behavior for iOS)]パラメータには次のオプションが含まれます。

  • [組み込みブラウザの使用(Use Embedded Browser)]:このオプションを有効にすると、Cisco Jabber は SSO の認証に、組み込みブラウザを使用します。 このオプションにより、バージョン 9 より前の iOS デバイスのネイティブ Apple Safari ブラウザで、クロス起動なしの SSO を使用できるようになります。 このオプションは、デフォルトで有効です。

  • ネイティブブラウザの使用(Use Native Browser):このオプションを有効にすると、Cisco Jabber は、iOS デバイスで Apple Safari フレームワークを使用し、MDM の導入で、ID プロバイダ(IdP)を利用する証明書ベースの認証を実行します。

    (注)  

     

    ネイティブ ブラウザの使用は組み込みブラウザの使用ほど安全ではないため、制御された MDM の導入での利用を除いては、このオプションの設定を推奨しません。

ステップ 3

[保存(Save)] をクリックします。

リカバリ URL へのアクセス

トラブルシューティングのために、SAML シングル サインオンをバイパスして、Cisco Unified Communications Manager Administration インターフェイスと Cisco Unified CM IM and Presence サービス インターフェイスにログインする場合に、リカバリ URL を使用します。 たとえば、サーバのドメインまたはホスト名を変更する前に、リカバリ URL を有効にします。 リカバリ URL にログインすると、サーバ メタデータの更新が容易になります。


(注)  
セルフケアポータルにログインしようとするエンドユーザー(LDAP またはローカル)に対して、復元 URL は機能しません。

始める前に

  • 管理権限を持っているアプリケーション ユーザのみがリカバリ URL にアクセスできます。

  • SAML SSO が有効になっている場合は、リカバリ URL がデフォルトで有効になります。 CLI からリカバリ URL を有効/無効にすることができます。 リカバリ URL を有効または無効にする CLI コマンドの詳細については、『Cisco Unified Communications のソリューション コマンド ライン インタフェース リファレンス ガイド』を参照してください。

手順

ブラウザで、「https://hostname:8443/ssosp/local/login」と入力します。

ドメインまたはホスト名の変更後のサーバ メタデータの更新

ドメインまたはホスト名の変更後は、この手順を実行するまで、SAML シングル サインオンが機能しません。


(注)  

この手順を実行しても [SAML シングル サインオン(SAML Single Sign-On)]ウィンドウ にログインできない場合は、ブラウザのキャッシュをクリアしてもう一度ログインしてみてください。

始める前に

リカバリ URL が無効になっている場合、シングル サインオン リンクをバイパスするようには表示されません。 リカバリ URL を有効にするには、CLI にログインして次のコマンドを実行します:utils sso recovery-url enable

手順

ステップ 1

Web ブラウザのアドレス バーに次の URL を入力します。

https://<Unified CM-server-name>

<Unified CM-server-name> は、サーバのホスト名、または IP アドレスです。

ステップ 2

[シングル サインオンをバイパスするリカバリURL(Recovery URL to bypass Single Sign-On (SSO))] をクリックします。

ステップ 3

管理者ロールを持つアプリケーション ユーザのクレデンシャルを入力し、[ログイン(Login)]をクリックします。

ステップ 4

Cisco Unified CM Administration で、[システム(System)] > [SAML シングル サインオン(SAML Single Sign-On)] を選択します。

ステップ 5

[メタデータのエクスポート(Export Metadata)] をクリックしてサーバ メタデータをダウンロードします。

ステップ 6

サーバ メタデータ ファイルを IdP にアップロードします。

ステップ 7

[テスト実行(Run Test)]をクリックします。

ステップ 8

有効なユーザ ID とパスワードを入力します。

ステップ 9

成功のメッセージが表示されたら、ブラウザウィンドウを閉じます。

IdP メタデータの更新

この手順を使用して、クラスター内のすべてのサーバで IdP メタデータ信頼ファイルを更新します。

始める前に

リカバリ URL が無効になっている場合、シングルサインオン リンクをバイパスするようには表示されません。 リカバリ URL を有効にするには、CLI にログインして次のコマンドを実行します:utils sso recovery-url enable

手順

ステップ 1

Web ブラウザのアドレス バーに次の URL を入力します。

https://<Unified CM-server-name>

<Unified CM-server-name> はサーバのホスト名または IP アドレスです。

ステップ 2

[シングルサインオンをバイパスするリカバリ URL(Recovery URL to bypass Single Sign-On (SSO))] をクリックします。

ステップ 3

管理者ロールを持つアプリケーションユーザの資格情報を入力して、[ ログイン] をクリックします

ステップ 4

Cisco Unified CM Administration で、[システム(System)] > [SAMLシングルサインオン(SAML Single Sign-On)] を選択します。

ステップ 5

[IdP メタデータファイルの更新(Update IdP Metadata File)] をクリックして、IdP メタデータトラストファイルをインポートします。

ステップ 6

[参照(Browse)] をクリックして IdP メタデータトラストファイルを選択し、[IdP メタデータのインポート(Import IdP Metadata)] をクリックしてコラボレーションサーバーにインポートします。

ステップ 7

[ 次へ] をクリックします。

ステップ 8

メタデータファイルが適切に設定されているかどうかを確認するための標準 CCM スーパーユーザー権限を持つ LDAPと同期されたユーザーを選択し、[SSO テストを実行(Run SSO Test)] します。

ステップ 9

有効なユーザのサインイン情報でログインします。

ステップ 10

[完了] をクリックして、クラスタ内のすべてのサーバで SAML SSO 設定を有効にします。

(注)  

 

アプリケーションが更新されると、少し遅延があります。 SSO モードが「クラスター全体」の場合、「Cisco Tomcat」、「Cisco SSOSP Tomcat」、「Cisco UDS Tomcat」 サービスは、クラスター内のすべてのノードで再起動します。 そうしないと、IDP メタデータが更新された特定のノードでサービスが再起動されます。

サーバ メタデータの手動プロビジョニング

ID プロバイダで複数の UC アプリケーション用の単一接続をプロビジョニングするには、ID プロバイダとサービス プロバイダー間の信頼の輪を設定しながら、サーバ メタデータを手動でプロビジョニングする必要があります。 信頼の輪の設定方法については、IdP 製品のマニュアルを参照してください。

一般的な URL 構文は次のとおりです。

https://<SP FQDN>:8443/ssosp/saml/SSO/alias/<SP FQDN>

手順

サーバ メタデータを手動でプロビジョニングするには、Assertion Customer Service(ACS)URL を使用します。

例:

ACS URL の例: <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://cucm.ucsso.cisco.com:8443/ssosp/saml/SSO/alias/cucm.ucsso.cisco.com" index="0"/>

アップグレード後に OpenAM SSO から SAML SSO を再設定する

リリース 11.0(1) で、Unified Communications Manager は OpenAM SSO ソリューションを提供しなくなりました。 Open AM SSO ソリューションが設定された以前のリリースからアップグレードした場合、サポートされている IdP の 1 つを使用して SAML SSO ソリューションにシステムを再設定する必要があります。 このガイドに記載されている設定を使用して、SAML SSO を使用するようにシステムを再設定します。


(注)  

OpenAM SSO ソリューションと、ID プロバイダに OpenAM を使用する SAML SSO ソリューションを混同しないでください。これらは別のソリューションであるためです。 SAML SSO を使用するためにシステムを再設定する場合、本書に記載されている任意の IdP を使用することができます。

ネットワーク移行後のクラスターの再プロビジョニング

SSO ログインが適切に機能するためには、ネットワーク移行後にクラスターを再プロビジョニングしてください。


(注)  
この手順は、SSO が有効になっているネットワーク移行クラスターにのみ適用できます。 この手順は、シンプル移行には適用できません。

始める前に

  • 管理権限を持っているアプリケーション ユーザのみがリカバリ URL にアクセスできます。

  • SAML SSO が有効になっている場合は、リカバリ URL がデフォルトで有効になります。 CLI からリカバリ URL を有効/無効にすることができます。 リカバリ URL を有効または無効にする CLI コマンドの詳細については、『Cisco Unified Communications のソリューション コマンド ライン インタフェース リファレンス ガイド』を参照してください。

手順

ステップ 1

ウェブブラウザのアドレスバーに、次の URL を入力します。https://<Unified CM-server-name>, ここで、Unified CM-server-name> はサーバーのホスト名または IP アドレスです。

ステップ 2

[シングル サインオンをバイパスするリカバリURL(Recovery URL to bypass Single Sign-On (SSO))] をクリックします。

ステップ 3

管理者ロールを持つアプリケーション ユーザのクレデンシャルを入力し、[ログイン(Login)]をクリックします。

ステップ 4

Cisco Unified CM Administration で、[システム(System)] > [SAML シングルサインオン(SAML Single Sign-On)] を選択します。

ステップ 5

[ すべてのメタデータをエクスポート ] をクリックして、ID プロバイダにアップロードするサーバのメタデータをダウンロードします。

ステップ 6

[IdP メタデータファイルの更新(Update IdP Metadata File)] をクリックして、IdP メタデータトラストファイルをインポートします。

ステップ 7

[参照(Browse)] をクリックして IdP メタデータトラストファイルを選択し、[IdP メタデータのインポート(Import IdP Metadata)] をクリックしてコラボレーションサーバーにインポートします。 [次へ(Next)]をクリックします。

ステップ 8

LDAP 同期済みで、標準 CCM スーパーユーザ権限を持つユーザを選択してメタデータファイルが適切に設定されているかどうかを確認し、 [テストを実行] をクリックします。

ステップ 9

[完了] をクリックして、クラスタ内のすべてのサーバで SAML SSO 設定を有効にします。

アプリケーションが更新されると、少し時間がかかります。 SSO モードが「クラスター全体」の場合、 "Cisco SSOSP Tomcat"、および "Cisco UDS Tomcat" サービスは、クラスター内のすべてのノードで再起動します。

SAML SSO 展開の相互作用と制限

特長

機能の相互作用

Tomcat 証明書の再生成

Tomcat 証明書を再生成する場合、サービス プロバイダーで新しいメタデータ ファイルを生成し、そのメタデータ ファイルを IdP にアップロードします。

メタデータの再生成

以下のいずれかを実行すると、メタデータファイルが再生成されます。

  • 自己署名証明書を Tomcat 証明書に、またはその逆に変更します。

  • Tomcat 証明書を ITL 回復証明書に再発行します。

Cisco Unified Communications Manager は再生成されたメタデータファイルをダウンロードし、IdP にアップロードします。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ