소개

이 문서에서는 SAML(Security Assertion Markup Language) 및 Cisco IDS(Identity Service)를 사용하는 UCCE(Unified Contact Center Enterprise)에서 SSO(Single Sign-On)용 IdP(Identity Provider)로서 Microsoft Azure의 구성에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• SAML 2.0 
• Cisco UCCE 및 PCCE(Packaged Contact Center Enterprise)
• SSO
• IDS
• 아이디P

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Azure IdP
• UCCE 12.0.1, 12.5.1, 12.5.2, 12.6.1 및 12.6.2
• Cisco Id 12.0.1, 12.5.1, 12.52, 12.6.1 및 12.6.2

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

1. UCCE 메타데이터 파일 내보내기

Cisco IDS는 IdP와 애플리케이션 간의 권한 부여를 제공합니다.

Cisco IDS를 구성하면 Cisco IDS와 IdP 간에 메타데이터 교환이 설정됩니다. 이 교환은 애플리케이션에서 Cisco IDS를 SSO에 사용할 수 있도록 신뢰 관계를 설정합니다. 신뢰 관계는 메타데이터 파일이 Cisco IDS에서 다운로드되어 IdP에 업로드될 때 설정됩니다.

1.1. 절차

• Unified CCE 관리에서  Features > Single Sign-On .
• 클릭  Identity Service Management  Cisco Identity Service Management 창이 열립니다
• 다음을 입력합니다.  User Name 을 클릭한 다음  Next.
• 다음을 입력합니다.  password 을 클릭한 다음  Sign In.
  • Cisco Identity Service Management 페이지가 열리고 왼쪽 창에 노드, 설정 및 클라이언트 아이콘이 표시됩니다.
• 클릭  Nodes.
  • Nodes(노드) 페이지가 열리면 전체 노드 레벨 보기가 표시되고 서비스 중인 노드가 식별됩니다. 또한 이 페이지는 인증서가 만료되는 시기를 나타내는 각 노드에 대한 SAML 인증서 만료 세부 정보를 제공합니다. 노드 상태 옵션은 Not Configured(구성되지 않음), In Service(서비스 중), Partial Service(부분 서비스) 및 Out of Service(서비스 외)입니다. 상태를 클릭하면 자세한 내용을 볼 수 있습니다. 노드 이름 중 하나의 오른쪽에 있는 별은 기본 게시자인 노드를 식별합니다.
• 클릭  Settings.
• 클릭  IdS Trust.
• Cisco Id와 IdP 간에 Cisco Id 트러스트 관계를 설정하려면 Download Metadata File - Cisco IdS 서버에서 파일을 다운로드합니다.

2. Azure 응답에 대한 인증서 서명 생성

OpenSSL이 설치되어 있는 경우 Azure용 인증서를 생성하고 Azure 응용 프로그램에서 프로비전합니다. Azure는 IdP 메타데이터 내보내기에 이 인증서를 포함하고 UCCE로 보내는 SAML 어설션에 서명하는 데 사용합니다.

OpenSSL이 없는 경우 엔터프라이즈 CA를 사용하여 인증서를 생성합니다.

2.1 절차(OpenSSL)

다음은 OpenSSL을 통해 인증서를 생성하는 절차입니다

• 인증서 및 개인 키를 만듭니다.

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• 인증서와 키를 Azure에 필요한 암호로 보호된 PFX 파일에 결합합니다. 비밀번호를 기록해 두십시오.

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• UCCE용 단일 인증서를 생성합니다.
• Azure IdP에 인증서를 업로드합니다.

3. Azure 사용자 지정 응용 프로그램 구성

Azure를 구성하기 전에 UCCE IDS 게시자에서 UCCE 메타데이터를 내보내야 합니다. Azure에서 이 단계를 시작하기 전에 UCCE 메타데이터 XML 파일과 IdP 연결에 대한 인증서를 모두 가질 수 있습니다.

3.1. 절차

• Microsoft Azure에서  Enterprise Applications  선택한 다음  All Applications.
• 새 응용 프로그램을 추가하려면 New application .

• 애플리케이션 추가 창에서 다음 단계를 진행합니다.
  1. 클릭  Create your own application  (갤러리가 아님).
  2. 새 애플리케이션의 이름(예: UCCE)을 입력하고  Create.
  3. 새 응용 프로그램의 왼쪽 탐색 모음에서  Single sign-on .
  4. 클릭  SAML .
  5.  Set up Single Sign-On with SAML  창이 나타납니다.
• 클릭 Upload metadata 파일을 찾은 다음 UCCE metadata XML 파일을 클릭합니다.
• 파일을 선택하고 연 다음  Add .
  • 이 Basic SAML Configuration UCCE 서버의 식별자(EntityID) 및 회신 URL(Assertion 소비자 서비스 URL)로 채워집니다.
  • 클릭  Save .
• 의 User Attributes & Claims 섹션, 클릭 Edit :
  • Required Claim 아래에서 Unique User Identifier (이름 ID).
  • 이름 식별자 형식으로 다음을 선택합니다.  Default.
  • Source 속성에서 다음을 선택합니다  user.onpremisessamaccountname .
  • 클릭  Save.
  • Additional claims(추가 클레임)에서 존재하는 모든 클레임을 삭제합니다. 각 청구에 대해 (...)를 클릭하고 삭제를 선택합니다. OK(확인)를 클릭하여 확인합니다.
  • Add new claim(새 클레임 추가)을 클릭하여  uid 클레임
  • Name(이름)에 다음을 입력합니다  uid.
  • 네임스페이스 필드를 비워 둡니다.
  • Source(소스)에서 Attribute(특성) 라디오 버튼을 선택합니다.
  • Source attribute 드롭다운에서 다음을 선택합니다. user.givenname (또는  user.onpremisessamaccountname).           
  • 클릭  Save.
  • 새 클레임을 추가하여 user_principal 클레임.
  • Name(이름)에 다음을 입력합니다  user_principal.
  • 네임스페이스 필드를 비워 둡니다.
  • Source(소스)에서 Attribute(특성) 라디오 버튼을 선택합니다.
  • Source attribute 드롭다운에서 다음을 선택합니다. user.userprincipalname.
  • 클릭  Save.
    

구성할 참조용 스냅샷: 

• 
• 클릭 SAML-based Sign-on SAML 요약으로 돌아갑니다.
• 의 SAML Signing Certificate 섹션, 클릭  Edit:
  • 서명 옵션을 다음으로 설정  Sign SAML Response and Assertion.  
  • Signing Algorithm(서명 알고리즘)을 적절한 SHA 알고리즘으로 설정합니다. 예를 들면 SHA-256입니다.
• 클릭  Import Certificate.
• 의  Certificate  필드에서 이전에 만든 certificate.pfx 파일을 찾아서 엽니다.
• 인증서의 비밀번호를 입력하고  Add .

이 인증서는 목록에 있는 유일한 인증서이며 활성 상태여야 합니다.

• 이 인증서가 활성 상태가 아니면 인접한 점(...)을 클릭하고 Make certificate active(인증서 활성 상태로 만들기)를 선택한 다음 Yes(예)를 클릭합니다.
• 목록에 다른 인증서가 있는 경우 해당 인증서에 대해 인접한 점(...)을 클릭하고 Delete Certificate를 선택한 다음 Yes를 클릭하여 해당 인증서를 삭제합니다.

• 클릭  Save.
• 다운로드  Federation Metadata XML  파일을 클릭합니다.
• Azure에서 응용 프로그램을 사용하도록 설정하고 사용자 할당:

Azure에서는 Azure를 사용하는 SSO에 대해 개별 사용자 또는 모든 사용자를 할당할 수 있는 기능을 제공합니다. SSO가 DU에 의해 모든 사용자에 대해 활성화되었다고 가정합니다.

• 왼쪽 탐색 모음에서 다음으로 이동합니다.  Enterprise Applications > UCCE  (또는 사용자가 지정한 애플리케이션 이름).
• 선택  Manage > Properties .
• 사용자가 로그인할 수 있도록 사용 을(를) 설정  Yes.
• 사용자에게 표시 여부 설정  No.
• 클릭  Save.

마지막으로 IdP 메타데이터 파일을 확인하고 이전에 생성한 인증서가 <X509Certificate> 필드에 IdP 메타데이터 파일의 서명 인증서로 있는지 확인합니다. 형식은 다음과 같습니다.

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4. UCCE에 Azure 메타데이터 파일 업로드

UCCE IDS로 다시 이동하기 전에 Federation Metadata XML Azure에서 파일을 다운로드했습니다.

4.1 절차

• Unified CCE 관리에서  Features > Single Sign-On.
• 클릭  Identity Service Management  Cisco Identity Service Management 창이 열립니다
• 다음을 입력합니다.  user name을 클릭한 다음  Next .
• 다음을 입력합니다.  password 을 클릭한 다음  Sign In .
  • Cisco Identity Service Management 페이지가 열리고 왼쪽 창에 노드, 설정 및 클라이언트 아이콘이 표시됩니다.
• 클릭  Nodes .
  • Nodes(노드) 페이지가 열리면 전체 노드 레벨 보기가 표시되고 서비스 중인 노드가 식별됩니다. 또한 이 페이지는 인증서가 만료되는 시기를 나타내는 각 노드에 대한 SAML 인증서 만료 세부 정보를 제공합니다. 노드 상태 옵션은 Not Configured(구성되지 않음), In Service(서비스 중), Partial Service(부분 서비스) 및 Out of Service(서비스 외)입니다. 상태를 클릭하면 자세한 내용을 볼 수 있습니다. 노드 이름 중 하나의 오른쪽에 있는 별은 기본 게시자인 노드를 식별합니다.
• 업로드하려면  Federation Metadata XML  azure에서 파일을 찾습니다.
• 다음 사이트로 이동합니다. Upload IdP Metadata 페이지 및 업로드 Federation Metadata XML 파일을 클릭합니다.
  • 파일 업로드가 완료되면 알림 메시지가 수신됩니다. 이제 메타데이터 교환이 완료되었으며 트러스트 관계가 설정되어 있습니다.
• 브라우저 캐시 지우기
• 페이지가 IdP로 리디렉션될 때 유효한 자격 증명을 입력하십시오.
• 클릭  Next.
  • 이  Test SSO Setup 페이지가 열립니다.
• 클릭  Test SSO Setup .
  • Cisco IdS 컨피그레이션이 성공했음을 알리는 메시지가 나타납니다.
• 클릭  Settings .
• 클릭  Security.
• 클릭  Tokens.
• 다음 설정의 기간을 입력합니다.
  • Refresh Token Expiry(토큰 새로 고침 만료) - 기본값은 10시간입니다. 최소값은 2시간입니다. 최대값은 24시간입니다.
  • Authorization Code Expiry(권한 부여 코드 만료) - 기본값은 1분이며, 최소값입니다. 최대 시간은 10분입니다.
  • 액세스 토큰 만료 - 기본값은 60분입니다. 최소값은 5분입니다. 최대 시간은 120분입니다.
• 설정  Encrypt Token  (선택 사항), 기본 설정은 On.
• 클릭  Save .
• 클릭  Keys and Certificates .
• Generate Keys and SAML Certificate 페이지가 열립니다. 이를 통해 다음과 같은 효과를 거둘 수 있습니다.
  • Regenerate(재생성)를 클릭하고 Encryption/Signature 키를 재생성합니다. 토큰 등록이 성공적으로 완료되었다는 메시지가 나타나고 컨피그레이션을 완료하기 위해 시스템을 다시 시작하라는 메시지가 나타납니다.
  • 클릭  Regenerate  SAML 인증서를 재생성합니다. SAML 인증서 재생성에 성공했다는 메시지가 나타납니다.
• 클릭  Save .
• 클릭  Clients.
  • 이 페이지는 이미 존재하는 Cisco IdS 클라이언트를 식별하고 클라이언트 이름, 클라이언트 ID 및 리디렉션 URL을 제공합니다. 특정 클라이언트를 검색하려면  Search  이름 목록의 맨 위에 있는 아이콘을 클릭하고 클라이언트의 이름을 입력합니다.
• 클라이언트를 추가하려면
  • 클릭  New .
  • 클라이언트의 이름을 입력합니다.
  • 리디렉션 URL을 입력합니다. 둘 이상의 URL을 추가하려면 더하기 아이콘을 클릭합니다.
  • 클릭  Add  (또는  Clear  다음을 클릭합니다.  X   클라이언트를 추가하지 않고 페이지를 닫습니다.
  • 클라이언트를 편집하거나 삭제하려면 클라이언트 행을 강조 표시하고 작업 아래의 말줄임표를 클릭합니다.
  • 그 다음:
    • 클릭  Edit  - 클라이언트 이름, ID 또는 리디렉션 URL을 편집합니다. Edit Client(클라이언트 수정) 페이지에서 변경하고  Save  (또는 지우기를 클릭한 다음 X  - 페이지를 닫고 편집 내용을 저장하지 않습니다.)
    • 클릭  Delete  클라이언트를 삭제합니다.

참고: 인증서는 SHA-256 Secure Hash Algorithm을 사용해야 합니다.