Solucionar Problemas de Integração do UCCE SSO com o Azure IdP

Opções de download

  • PDF     (242.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de abril de 2021
ID do documento:217089

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como solucionar alguns problemas comuns enfrentados ao executar a integração do SSO UCCE com o IdP do Microsoft Azure.

    Contribuição de Anurag Atul Agarwal, engenheiro do Cisco TAC.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Security Assertion Markup Language (SAML) 2.0
    • Cisco Unified/Packaged Contact Center Enterprise UCCE/PCCE
    • Logon Único (SSO)
    • Cisco Identity Service (IdS)
    • Provedor de identidade (IdP)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • IdP do Azure
    • UCCE 12.0.1
    • Cisco IdS 12.0.1

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento descreve alguns dos problemas comuns enfrentados durante a integração do Cisco Identity Service (IdS) e do Identity Provider (IdP) para o SSO baseado no Azure e suas possíveis correções.  É sempre recomendável coletar esses registros para solucionar problemas com a integração de SSO:

    • Logs do Cisco IdS: Link para a coleção: logs do IDS
    • Logs do console do navegador
    • Quaisquer logs do IdP

    Problema: O Certificado Não Corresponde

    O SSO de teste falha com a mensagem 'IdS não pôde processar a resposta SAML, embora a autenticação tenha sido bem-sucedida' e os logs de IdS imprimem a mensagem de erro: "Falha no processamento da resposta SAML com exceção com.sun.identity.saml2.common.SAML2Exception: O certificado de autenticação não corresponde ao que está definido nos metadados da entidade'"

    Solução

    Verifique o certificado e a configuração do Algoritmo de Assinatura no Azure. Certifique-se de que ele corresponda ao algoritmo de hash suportado com base na versão do IdS. Consulte o Capítulo 'Single Sign-On' no Guia de Recursos e verifique o algoritmo de hash seguro suportado. Faça download do arquivo de metadados IdP mais recente e carregue-o para o Cisco IdS através da interface do usuário do Identity Service Management.

    Problema: AADSTS900235 - Problema de contexto de autenticação

    O SSO de teste redireciona para a página da Microsoft e falha com a mensagem: "Desculpe, mas estamos com problemas para conectá-lo".
    AADSTS900235: O valor RequestedAuthenticationContext Comparison da solicitação de autenticação SAML deve ser Exact. Valor recebido: Mínimo

    Solução

    AuthContext talvez precise ser ajustado conforme descrito no bug CSCvm69290 . Entre em contato com o TAC da Cisco para executar a solução em IdS.

    Problema: A Resposta SAML Não Está Assinada

    O SSO de teste falha com a mensagem, o IdS não pôde processar a resposta SAML, embora a autenticação tenha sido bem-sucedida' e os logs do IdS imprimam a mensagem de erro: "Falha no processamento da resposta SAML com exceção com.sun.identity.saml2.common.SAML2Exception: A resposta não está assinada."

    Solução

    O Azure IdP precisa enviar a declaração assinada para o IdS. Modifique a configuração do Azure para ter a opção de assinatura: Assinar resposta e asserção SAML

    Problema: Problema com as regras da reivindicação

    O teste de SSO falha com a mensagem 'Erro de configuração de IdP: falha no processamento de SAML. Não foi possível recuperar a entidade de usuário da resposta SAML.' e os logs de IdS imprimem a mensagem de erro: "Falha no processamento da resposta SAML com exceção com.sun.identity.saml.common.SAMLException: Não foi possível recuperar a entidade de usuário da resposta SAML."

    Solução

    Este erro aponta para 'Nomes de declaração' incorretos configurados no Azure. Isso pode acontecer com outros atributos, como UID, NameID, etc., e erros semelhantes com nomes de atributos diferentes são gerados. Para corrigir isso, localize qualquer atributo no Azure neste formato, 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribute_name>'. Remover tudo antes do nome real do atributo.

    Esta seção fornece a configuração de exemplo para ADFS no guia Recursos e que precisa ser replicada no Azure.

    Configuração de Exemplo do ADFS

    Problema: AADSTS50011 - A URL de Resposta Não Corresponde

    O teste de SSO redireciona para a página da Microsoft e falha com a mensagem: "Desculpe, mas estamos com problemas para conectá-lo.
    AADSTS50011: A URL de resposta especificada na solicitação não corresponde à URL de resposta configurada para o aplicativo"

    Solução

    Entre em contato com o TAC da Cisco. O parâmetro 'Assertion Consumer Service' precisa ser verificado na raiz no nó de IdS onde isso falhar. Se o parâmetro estiver correto, o Microsoft Azure terá que solucionar o problema. 

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    29-Apr-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Anurag Atul Agarwal
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos