Inleiding

In dit document wordt de configuratie van Microsoft Azure beschreven als de Identity Provider (IDP) voor Single Sign-On (SSO) in Unified Contact Center Enterprise (UCCE) met Security Assertion Markup Language (SAML) en Cisco Identity Service (IDS).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• SAML 2.0 
• Cisco UCS en pakketcontactcenters voor ondernemingen (PCCE)
• SSO
• IDS
• IDp

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Azure IDP
• UCS 12.0.1, 12.5.1, 12.5.2, 12.6.1 en 12.6.2
• Cisco IDS 12.0.1, 12.5.1, 12.52, 12.6.1 en 12.6.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

1. Exporteren van metagegevensbestanden van de UCE

Cisco IDS biedt autorisatie tussen de IDp en de toepassingen.

Wanneer Cisco IDS is geconfigureerd, wordt een metagegevensuitwisseling tussen Cisco IDS en de IDp ingesteld. Deze uitwisseling stelt een vertrouwensrelatie in die toepassingen toestaat om de Cisco IDS voor SSO te gebruiken. De vertrouwensrelatie wordt vastgesteld wanneer een metagegevensbestand wordt gedownload van de Cisco IDS en naar de IDp wordt geüpload.

1.1. Procedure

• In Unified CCE-beheer navigeer u naar  Features > Single Sign-On .
• Klik op de knop   Identity Service Management  en het venster Cisco Identity Service Management wordt geopend
• Voer het  User Name en klik vervolgens op  Next.
• Voer het  password en klik vervolgens op  Sign In.
  • De pagina Cisco Identity Service Management wordt geopend en toont de pictogrammen voor knooppunten, instellingen en clients in het linker deelvenster.
• Klik op de knop   Nodes.
  • De pagina Knooppunten opent naar de algemene weergave Knoopniveau en geeft aan welke knooppunten in bedrijf zijn. Op de pagina staan ook de vervalgegevens van het SAML-certificaat voor elk knooppunt, die aangeven wanneer het certificaat verloopt. De opties voor de status van het knooppunt zijn niet geconfigureerd, in bedrijf, gedeeltelijke service en buiten bedrijf. Klik op een status om meer informatie te zien. De ster rechts van een van de Node namen identificeert het knooppunt dat de primaire uitgever is.
• Klik op de knop   Settings.
• Klik op de knop   IdS Trust.
• Als u de vertrouwensrelatie van Cisco IDs wilt starten, klikt u op de configuratie tussen de Cisco-id’s en de idP Download Metadata File om het bestand te downloaden van de Cisco IDs-server.

2. Certificaatondertekening voor Azure Responses genereren

Als u OpenSSL hebt geïnstalleerd, genereert u een certificaat voor Azure en voorziet u dit in de Azure-toepassing. Azure neemt dit certificaat op in zijn IDP-metagegevens-export en gebruikt het om de SAML-beweringen te ondertekenen die het naar UCCE stuurt.

Als u geen OpenSSL hebt, gebruikt u uw Enterprise CA om een certificaat te genereren.

2.1 Procedure (OpenSSL)

Hier is de procedure om een certificaat te maken via OpenSSL

• Maak een certificaat en een privé-sleutel:

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• Combineer het certificaat en de sleutel in een met een wachtwoord beveiligd PFX-bestand, dat is vereist door Azure. Let erop dat u het wachtwoord genoteerd hebt.

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• Genereer één certificaat voor UCCE.
• Upload het certificaat naar Azure IDP.

3. Aangepaste Azure-toepassing configureren

Voordat u Azure configureert, moet u UCCE-metagegevens exporteren vanuit UCCE IDS Publisher. U kunt zowel het UCCE metadata XML-bestand als een certificaat voor de IDP-verbinding hebben voordat u deze stappen op Azure start.

3.1. Procedure

• In Microsoft Azure navigeren naar  Enterprise Applications  en selecteer vervolgens  All Applications.
• Als u een nieuwe toepassing wilt toevoegen, selecteert u New application .

• Ga in het venster Add an Application (Toepassingsvenster toevoegen) als volgt te werk:
  1. Klik op  Create your own application  (Niet-galerij).
  2. Voer de naam van uw nieuwe toepassing in (bijvoorbeeld UCCE) en klik op  Create.
  3. Klik in de linkernavigatiebalk voor de nieuwe toepassing op  Single sign-on .
  4. Klik op  SAML .
  5. De  Set up Single Sign-On with SAML  verschijnt.
• Klik op de knop  Upload metadata bestand en blader vervolgens naar het UCCE metadata XML bestand.
• Klik nadat u het bestand hebt geselecteerd en geopend op  Add .
  • Het Basic SAML Configuration vult met Identifier (EntityID) en antwoord URL (Assertion Consumer Service URL) voor de UCS-server.
  • Klik op de knop   Save .
• In het User Attributes & Claims sectie klikt u op Edit :
  • Klik onder Vereiste claim op Unique User Identifier (Naam ID).
  • Selecteer voor de bestandsindeling voor de naamidentificatiecode  Default.
  • Selecteer voor het kenmerk Source  user.onpremisessamaccountname .
  • Klik op de knop   Save.
  • Onder Aanvullende claims verwijdert u alle bestaande claims. Klik voor elke claim op (...) en selecteer Verwijderen. Klik op OK om dit te bevestigen.
  • Klik op Nieuwe claim toevoegen om de  uid vorderen
  • Voer voor naam  uid.
  • Laat het veld Namespace leeg.
  • Controleer voor de bron het keuzerondje Attributen.
  • Selecteer vanuit de vervolgkeuzelijst Bronkenmerk de optie user.givenname (of  user.onpremisessamaccountname).           
  • Klik op de knop   Save.
  • Voeg een nieuwe claim toe om de user_principal vordering.
  • Voer voor naam  user_principal.
  • Laat het veld Namespace leeg.
  • Controleer voor de bron het keuzerondje Attributen.
  • Selecteer vanuit de vervolgkeuzelijst Bronkenmerk de optie user.userprincipalname.
  • Klik op de knop   Save.
    

Snapshot voor referentie die moet worden geconfigureerd: 

• 
• Klik op de knop  SAML-based Sign-on om terug te keren naar de samenvatting van de SAML.
• In het SAML Signing Certificate sectie klikt u op  Edit:
  • Stel de tekenoptie in op  Sign SAML Response and Assertion.  
  • Stel het ondertekeningsalgoritme in op het juiste SHA-algoritme. Bijvoorbeeld SHA-256.
• Klik op de knop   Import Certificate.
• In het  Certificate  veld bladert u naar het eerder gemaakte certificaat.pfx-bestand en opent u dit.
• Voer het wachtwoord voor het certificaat in en klik op  Add .

Dit moet het enige certificaat in de lijst zijn en moet actief zijn.

• Als dit certificaat niet actief is, klik dan op de aangrenzende punten (...), selecteer Certificaat actief maken en klik vervolgens op Ja.
• Als er andere certificaten in de lijst staan, klikt u op de aangrenzende punten (...) voor die certificaten, selecteert u Certificaat verwijderen en klikt u op Ja om die certificaten te verwijderen.

• Klik op de knop   Save.
• Download het  Federation Metadata XML  bestand.
• De toepassing in Azure inschakelen en Gebruikers toewijzen:

Azure biedt u de mogelijkheid om individuele gebruikers toe te wijzen aan SSO met Azure, of aan alle gebruikers. Veronderstel dat SSO voor alle gebruikers door DU wordt toegelaten.

• Ga in de linkernavigatiebalk naar  Enterprise Applications > UCCE  (of de door u opgegeven naam van de aanvraag).
• Kiezen  Manage > Properties .
• Ingeschakeld instellen voor gebruikers om in te loggen? op  Yes.
• Zichtbaar voor gebruikers instellen? op  No.
• Klik op de knop   Save.

Als een laatste controle, controleer het IDP meta-gegevensdossier en zorg ervoor dat het certificaat dat u eerder creeerde aanwezig in het veld <X509Certificate> als het het ondertekenen certificaat in het IDP meta-gegevensdossier is. Het formaat is als volgt:

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4. Azure Metadata-bestand uploaden in UCCE

Voordat u naar UCCE IDS gaat, moet u de Federation Metadata XML bestand gedownload van Azure.

4.1 Werkwijze

• In Unified CCE-beheer navigeer u naar  Features > Single Sign-On.
• Klik op de knop   Identity Service Management  en het venster Cisco Identity Service Management wordt geopend
• Voer het  user nameen klik vervolgens op  Next .
• Voer het  password en klik vervolgens op  Sign In .
  • De pagina Cisco Identity Service Management wordt geopend en toont de pictogrammen voor knooppunten, instellingen en clients in het linker deelvenster.
• Klik op de knop   Nodes .
  • De pagina Knooppunten opent naar de algemene weergave Knoopniveau en geeft aan welke knooppunten in bedrijf zijn. Op de pagina staan ook de vervalgegevens van het SAML-certificaat voor elk knooppunt, die aangeven wanneer het certificaat verloopt. De opties voor de status van het knooppunt zijn niet geconfigureerd, in bedrijf, gedeeltelijke service en buiten bedrijf. Klik op een status om meer informatie te zien. De ster rechts van een van de Node namen identificeert het knooppunt dat de primaire uitgever is.
• U kunt het volgende uploaden:  Federation Metadata XML  Blader vanuit Azure om het bestand te vinden.
• Bladeren naar het Upload IdP Metadata de pagina te uploaden en Federation Metadata XML bestand.
  • Wanneer het uploaden van het bestand is voltooid, wordt er een waarschuwing ontvangen. De metagegevensuitwisseling is nu voltooid en de vertrouwensrelatie is van kracht.
• Schakel de browser cache uit.
• Voer geldige referenties in wanneer de pagina wordt omgeleid naar IdP.
• Klik op de knop   Next.
  • Het  Test SSO Setup pagina geopend.
• Klik op de knop   Test SSO Setup .
  • Er verschijnt een bericht dat u vertelt dat de configuratie van Cisco IDs is geslaagd.
• Klik op de knop   Settings .
• Klik op de knop   Security.
• Klik op de knop   Tokens.
• Voer de duur van deze instellingen in:
  • Vervaltijd voor token verversen - de standaardwaarde is 10 uur. De minimale waarde is 2 uur. Het maximum is 24 uur.
  • Vervaldatum autorisatiecode - De standaardwaarde is 1 minuut, wat ook het minimum is. Het maximum is 10 minuten.
  • Access Token Expiry - de standaardwaarde is 60 minuten. De minimale waarde is 5 minuten. Het maximum is 120 minuten.
• Stel de  Encrypt Token  (optioneel); de standaardinstelling is On.
• Klik op de knop   Save .
• Klik op de knop   Keys and Certificates .
• De pagina Generate Keys and SAML Certificate wordt geopend. Het maakt het mogelijk:
  • Klik op Herstellen en regenereer de sleutel Encryptie/Handtekening. Er verschijnt een bericht dat de Token Registration succesvol is en u wordt geadviseerd het systeem opnieuw op te starten om de configuratie te voltooien.
  • Klik op de knop   Regenerate  en regenereert het SAML-certificaat. Een bericht lijkt te zeggen dat de SAML-certificaatregeneratie is geslaagd.
• Klik op de knop   Save .
• Klik op de knop   Clients.
  • Deze pagina identificeert de clients van Cisco IDS die al bestaan en geeft de clientnaam, de client-id en een doorverwijzing naar URL. Als u wilt zoeken naar een bepaalde client, klikt u op de  Search  pictogram bovenaan de lijst met namen en typ de naam van de client.
• U voegt een client als volgt toe:
  • Klik op de knop   New .
  • Voer de naam van de client in.
  • Voer de URL voor omleiden in. Als u meer dan één URL wilt toevoegen, klikt u op het plus-pictogram.
  • Klik op de knop   Add  (of klik op  Clear  en klik vervolgens op  X   om de pagina te sluiten en niet de client toe te voegen).
  • Als u een client wilt bewerken of verwijderen, markeert u de clientrij en klikt u op de ellips onder Handelingen.
  • Vervolgens:
    • Klik op de knop   Edit  om de naam van de client te bewerken, moet u de URL wijzigen of een nieuwe URL toewijzen. Voer op de pagina Client bewerken de gewenste wijzigingen in en klik op  Save  (of klik op Wissen en klik vervolgens op de X  om de pagina te sluiten en geen bewerkingen op te slaan).
    • Klik op de knop   Delete  om de client te verwijderen.

Opmerking: het certificaat moet worden uitgevoerd met het SHA-256 Secure Hash-algoritme.