De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe de overdracht van een autorisatie-code op vernieuwingtoken is gebaseerd om Jabber User Experience op verschillende apparaten te verbeteren, met name voor Jabber op mobiel
Cisco raadt kennis van de volgende onderwerpen aan:
Raadpleeg de volgende koppelingen voor meer informatie over deze onderwerpen:
De informatie in dit document is gebaseerd op deze software:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Vanaf vandaag is Jabber SSO-flow met infrastructuur gebaseerd op Impliciete Grant Flow waar de CUCM Authz-service de kortstondige toegangspenningen toewijst.
Na afloop van het toegangstoken stuurt CUCM Jabber terug naar IDP voor herverificatie.
Dit leidt tot een slechte gebruikerservaring, vooral met jabber op mobiel, waar de gebruiker wordt gevraagd om vaak aanmeldingsgegevens in te voeren.
Security herarchitectuuroplossing stelt ook vergunningscode Grant Flow voor (met gebruik van Refresh Tokens benadering (verlengbaar met End Point/Other Collaboration Apps)) voor de unificatie van Jabber en End Point-in-flow voor zowel SSO- als niet-SSO-scenario's.
Deze optie is standaard niet ingeschakeld.
Stap 1. Om deze functie in te schakelen, navigeer naar System > Enterprise-parameters.
Stap 2. Stel het param in met de inlogstroom ververversen naar Ingeschakeld zoals in de afbeelding.
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMjpjMjc3MGM5N2JkYTlkMzRmZDA1YTdlYTFhZWQzZTU0Y2E4MGJkZDdlZTM1ZDk3MDNiNjBiNTQ5MTBiZDQ0ODRiIn0.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.u2fJrVA55NQC3esPb4kcodt5rnjc1o-5uEDdUf-KnCYEPBZ7t2CTsMMVVE3nfRhM39MfTlNS-qVOVpuoW_51NYaENXQMxfxlU9aXp944QiU1OeFQKj_g-n2dEINRStbtUc3KMKqtz38BFf1g2Z51sdlnBn4XyVWPgGCf4XSfsFIa9fF051awQ0LcCv6YQTGer_6nk7t6F1MzPzBZzja1abpm--6LNSzjPftEiexpD2oXvW8Vl0Z9ggNk5Pn3Ne4RzqK09J9WChaJSXkTTE5G39EZcePmVNtcbayq-L2pAK5weDa2k4uYMfAQAwcTOhUrwK3yilwqjHAamcG-CoiPZQ OAuth Refresh Token Expiry Timer” parameter in enterprise parameters page in CUCM. Path: System -> Enterprise parameters Values are integers ranging from 1 – 90 Minimum lifetime = 1 Day Default lifetime = 60 days Maximum lifetime = 90 days
Elke keer dat de klant om een nieuw toegangstoken vraagt, wordt er een nieuw toegangstoken uitgegeven. Het oude blijft geldig zolang:
Steekproef-toegangstoken:
Hier is een overzicht op hoog niveau van de betrokken callflow:
run sql select * from refreshtokendetailsof met een leesbare datum:
run sql select pkid,refreshtokenindex,userid,clientid,dbinfo('utc_to_datetime',validity) as validity,state from refreshtokendetails
Waarschuwing: Het verftoken wordt van DB gespoeld wanneer de geldigheid is verlopen. Timer-thread loopt om 2.00 uur elke dag (niet aanpasbaar via UI, maar kan via externe ondersteuningsaccount worden gewijzigd). Als de tabel een groot aantal toegangspenningen heeft, die ongeldig zijn en moeten worden gemarkeerd. Dit kan een CPU-punt veroorzaken.
Sample refresh token: eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMjpjMjc3MGM5N2JkYTlkMzRmZDA1YTdlYTFhZWQzZTU0Y2E4MGJkZDdlZTM1ZDk3MDNiNjBiNTQ5MTBiZDQ0ODRiIn0.eyJleHAiOjE1MDI2MjAwNTIsImlzcyI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMiIsInR5cCI6InVzZXIiLCJ0aWQiOiJiOTkxMjIxZi1mNDJlLTRlNTItODg3MS1jODc2ZTYzNWRkNWIiLCJjdHlwIjoicmVmcmVzaCIsImNjaWQiOiJDM2IwYWZmZWZlMTQzOTA0MTY4M2U5YzJjMzdkMzZmNDM4ZWYwZWYyN2MwOTM4YWRjNjIyNmUwYzAzZDE2OWYyYSJ9.creRusfwSYAMAtttS2FIPAgIVvCiREvnzlouxeyGVndalJlMa-ZpRqv8FOBrsYwqEyulrl-TeM8XGGQCUvFaqO9IkhJqSYz3zvFvvySWzDhl_pPyWIQteAhL1GaQkue6a5ZegeHRp1sjEczKMLC6H68CHCfletn5-j2FNrAUOX99Vg5h4mHvlhfjJEel3dU_rciAIni12e3LOKajkzFxF6W0cXzzujyi2yPbY9gZsp9HoBbkkfThaZQbSlCEpvB3t7yRfEMIEaHhEUU4M3-uSybuvitUWJnUIdTONiWGRh_fOFR9LV3Iv9J54dbsecpsncc369pYhu5IHwvsglNKEQ
Admin heeft de mogelijkheid om alle verfrissingspenningen voor een gebruiker of apparaat-enige verfrissingspenningen voor een gebruiker te herroepen via gebruikerID of gebruikerID en ClientID.
Zo trekt u op een apparaat gebaseerde RTs voor een gebruiker in:
Toetsen voor signalering en encryptie
De regeneratie van Auteur certs (ondertekenende sleutel) van de Cisco Unified OS-beheerpagina op CUCM is zoals in de afbeelding weergegeven.
De regeneratie van de Authz-signaaltoets met het gebruik van de CLI-opdracht is zoals in de afbeelding weergegeven.
Admin kan autorisatie- en encryptiesleutels weergeven met behulp van CLI. De hash van de toets wordt weergegeven in plaats van de originele toets.
Opdracht om toetsen weer te geven is:
Signaaltoets: Laat belangrijke auz tekenen en tonen zoals in de afbeelding.
Encryptiesleutel: Laat een belangrijke auz-encryptie en zoals in de afbeelding zien.
Opmerking: Het signatuur en de encryptie auz zijn altijd verschillend.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Wanneer de netwerkbeheerder is bedoeld om 0 te gebruiken op de Cisco Unity Connection-server (CUC), moet de netwerkbeheerder twee stappen uitvoeren.
Stap 1. Configureer de Unity Connection Server om de OAuth Token-signalering en encryptiesleutels uit de CUCM te halen.
Stap 2. Schakel gifteserver in.
Opmerking: Om de ondertekenings- en encryptiesleutels te halen, moet Unity worden geconfigureerd met de CUCM host-gegevens en een gebruikersaccount dat is ingeschakeld van de CUCM AXL Access. Als dit niet is ingesteld, kan de Unity Server de OAuth Token niet van het CUCM ophalen en kan het voicemail-logbestand voor de gebruikers niet beschikbaar zijn.
Navigeren in naar Cisco Unity Connection Management > systeeminstellingen > Auteur servers
Deze sectie verschaft de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Opmerking: Als Auto wordt gebruikt en de Cisco Jabber-gebruikers niet kunnen inloggen, herzie altijd de ondertekening en encryptiesleutels van CUCM en Instant Messaging and Presence (IM&P) servers.
De netwerkbeheerders moeten deze twee opdrachten op alle CUCM- en IM&P-knooppunten uitvoeren:
Als de signaaluitvoer en de encryptie auz-output niet over alle knooppunten overeenkomen, moeten ze worden gereproduceerd. Om dat te kunnen doen, moeten deze twee opdrachten op alle CUCM- en IM&P-knooppunten worden uitgevoerd:
Daarna moet de Cisco Tomcat-service op alle knooppunten opnieuw worden gestart.
Gelijktijdig gebruik van de toetsen en mismatch, is deze foutlijn te vinden in de Cisco Jabber-loggen:
2021-03-30 14:21:49,631 WARN [0x0000264c] [vices\impl\system\SingleSignOn.cpp(1186)] [Single-Sign-On-Logger] [CSFUnified::SingleSignOn::Impl::handleRefreshTokenFailure] - Failed to get valid access token from refresh token, maybe server issue.
Op deze locaties worden de Sso-app-logs gegenereerd:
Invoerend geluid met Cisco Collaboration Solution release 12.0
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
18-Mar-2022 |
Grammar-updates. |
1.0 |
09-Feb-2018 |
Eerste vrijgave |