Probleemoplossing voor UCS SSO-integratie met Azure IDP

Downloadopties

  • PDF     (241.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (82.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (69.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 april 2021
Document-id:217089

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen kunt oplossen bij het uitvoeren van UCE SSO-integratie met Microsoft Azure IDP.

    Bijgedragen door Anurag Atul Agarwal, Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Security Assertion Markup Language (SAML) 2.0
    • Cisco Unified/Packaging Contact Center voor ondernemingen - UCS/PVC
    • Single Sign On (SSO)
    • Cisco Identity Service (ID’s)
    • Identity Provider (IDP)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Azure IDP
    • UCS 12.0.1
    • Cisco ID’s 12.0.1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document beschrijft een aantal veelvoorkomende problemen die zich voordoen bij de integratie van Cisco Identity Service (ID’s) en Identity Provider (IDP) voor Azure-gebaseerde SSO en de mogelijke oplossingen daarvoor.  Het wordt altijd aanbevolen om deze logbestanden te verzamelen om problemen met SSO-integratie op te lossen:

    • Logboeken Cisco IDs: Koppelen met verzameling: IDS-logboeken
    • Logbestanden van browserconsole
    • Alle logs van IdP

    Probleem: certificaat komt niet overeen

    Test SSO mislukt met bericht 'IdS was niet in staat om de SAML-respons te verwerken ondanks, de authenticatie was succesvol' en IDs logs afdrukken de foutmelding: "SAML-responsverwerking mislukt met uitzondering com.sun.identiteits.saml2.common.SAML2Exception: Het ondertekeningscertificaat komt niet overeen met wat is gedefinieerd in de entiteit-metagegevens'"

    Oplossing

    Controleer het certificaat en stel Algoritme in Azure in. Zorg ervoor dat het overeenkomt met het ondersteunde hashalgoritme op basis van de IDs-versie. Raadpleeg het hoofdstuk 'Single Sign-On' in de Functiegids en controleer het ondersteunde beveiligde hashalgoritme. Download het laatste idP-metabestand en upload het naar Cisco ID’s via de gebruikersinterface voor Identity Service Management.

    Probleem: ADSTS900235 - Probleem met verificatiecontext

    Test SSO wordt omgeleid naar Microsoft-pagina en mislukt met bericht: "Sorry, maar we hebben moeite om u aan te melden."
    ADSTS900235: De gevraagde verificatie van SAML-verificatieaanvraagContext De vergelijkingswaarde moet nauwkeurig zijn. Ontvangen waarde: Minimaal

    Oplossing

    AuthContext moet mogelijk worden afgestemd op de beschrijving in bug CSCvm69290 . Neem contact op met Cisco TAC om de tijdelijke oplossing in ID’s uit te voeren.

    Probleem: SAML Response is niet ondertekend

    Test SSO mislukt met bericht, IDs was niet in staat om de SAML-respons te verwerken ondanks, de authenticatie was succesvol' en IDs logs afdrukken de foutmelding: "SAML-respons verwerking mislukt met uitzondering com.sun.identiteits.saml2.common.SAML2Exception: Reactie is niet ondertekend."

    Oplossing

    Azure IdP moet ondertekende bewering naar IDs sturen. Wijzing Azure-instelling zodanig aan dat u de ondertekeningsoptie hebt: Sign SAML response and assertion

    Probleem: probleem met claimregels

    Test SSO mislukt met bericht 'IdP configuratie fout: SAML verwerking mislukt. Kan het gebruikershoofd niet van SAML-respons onthouden.' en IDs-logboeken drukken de foutmelding: "SAML-responsverwerking mislukt met uitzondering van com.sun.identiteits.saml.common.SAMLException: Kan gebruikershoofd niet van SAML-respons terugtrekken."

    Oplossing

    Deze fout wijst op verkeerde 'Claim-namen' die in Azure zijn geconfigureerd. Dit zou kunnen gebeuren met andere attributen zoals UID, NameID etc. en soortgelijke fouten met verschillende attributennamen worden gegenereerd. Om dit op te lossen, zoek alle attributen in Azure in deze indeling, 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribuut_name>'. Verwijder alles voordat de eigenlijke naam van het kenmerk.

    Deze sectie geeft de voorbeeldconfiguratie voor ADFS in de handleiding Functies en die moet worden gerepliceerd in Azure.

    ADFS-voorbeeldconfiguratie

    Probleem: ADSTS50011 - Antwoord URL niet overeenkomt

    Test SSO wordt omgeleid naar Microsoft-pagina en mislukt met bericht: "Sorry, maar we hebben moeite om u aan te melden.
    ADSTS50011: De antwoord-URL die in het verzoek is opgegeven, komt niet overeen met de antwoord-URL's die zijn geconfigureerd voor de toepassing"

    Oplossing

    Neem contact op met Cisco TAC. De parameter 'Assertion Consumer Service' moet in root worden gecontroleerd op de IDs-knooppunt, waar dit mislukt. Als de parameter correct is, moet Microsoft Azure dit oplossen. 

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Apr-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Anurag Atul Agarwal
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten