Instalar e Configurar o F5 Identity Provider (IdP) para o Cisco Identity Service (IdS) para ativar o SSO

Introdução

Este documento descreve a configuração no F5 BIG-IP Identity Provider (IdP) para ativar o Single Sign On (SSO).

Modelos de implantação do Cisco IdS

Produto	Implantação
UCCX	Co-residente
PCCE	Co-residente com CUIC (Cisco Unified Intelligence Center) e LD (Live Data)
UCCE	Co-residente com CUIC e LD para implantações de 2k. Autônomo para implantações de 4k e 12k.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco Unified Contact Center Express (UCCX) versão 11.6 ou Cisco Unified Contact Center Enterprise versão 11.6 ou Packaged Contact Center Enterprise (PCCE) versão 11.6, conforme aplicável.

Note: Este documento faz referência à configuração com relação ao Cisco Identitify Service (IdS) e ao Identity Provider (IdP). O documento faz referência ao UCCX nas capturas de tela e nos exemplos, no entanto, a configuração é semelhante com relação ao Cisco Identitify Service (UCCX/UCCE/PCCE) e ao IdP.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Instalação

O Big-IP é uma solução em pacote que tem vários recursos. Gerenciador de política de acesso (APM) que se relaciona com o serviço do provedor de identidade.

Big-IP como APM:

Faça o download da imagem do Virtual Edition no site Big-IP e implante o OVA para criar uma máquina virtual (VM) pré-instalada. Obtenha a licença e instale-a com os requisitos básicos.

Note: Para obter informações de instalação, consulte o Guia de instalação com IP grande.

Configurar

• Navegue até provisionamento de recursos e habilite Política de acesso, defina provisionamento como Nominal

• Crie uma nova VLAN em Network -> VLANs

• Crie uma nova entrada para o IP usado para o IdP em Network -> Self IPs

• Crie um perfil em Access -> Profile/Policies -> Access profiles

• Criar um servidor virtual

• Adicione detalhes do Ative Diretory (AD) em Access -> Authentication -> Ative Diretory

• Crie um novo serviço IdP em Access -> Federation -> SAML Identity Provider -> Serviços IdP Locais

Note: Se uma Common Access Card (CAC) for usada para autenticação, esses atributos deverão ser adicionados na seção de configuração Atributos SAML:

Etapa 1. Criar o atributo uid..

Nome: UID
Valor: %{session.ldap.last.attr.sAMAccountName}


Etapa 2. Crie o atributo user_principal.

Nome: user_principal
Valor: %{session.ldap.last.attr.userPrincipalName}

Note: Depois que o serviço IdP é criado, há uma opção para baixar os metadados com um botão Exportar metadados em Acesso -> Federação -> Provedor de identidade SAML -> Serviços IdP locais

Criação de Security Assertion Markup Language (SAML)

Recursos SAML

• Navegue até Access -> Federation -> SAML Resources e crie um recurso saml para associar ao serviço IdP criado anteriormente

Webtops

• Crie um webtop em Access -> Webtops

Editor de Política Virtual

• Navegue até a política criada anteriormente e clique no link de edição

• O editor de política virtual é aberto

• Clique no botão  e adicionar elementos conforme descrito

Etapa 1. Elemento da página de logon - Deixe todos os elementos como padrão.

Etapa 2. AD Auth -> Escolha a configuração do ADFS criada anteriormente.

Etapa 3. Elemento de consulta do AD - Atribua os detalhes necessários.

Etapa 4. Atribuição Avançada de Recursos - Associe o recurso saml e o webtop criado anteriormente.

Intercâmbio de metadados do provedor de serviços (SP)

• Importe manualmente o certificado do IdS para Big-IP por meio de System -> Certificate Management -> Traffic Management

Note: Certifique-se de que o certificado seja composto de marcas BEGIN CERTIFICATE e END CERTIFICATE.

• Crie uma nova entrada de sp.xml em Access -> Federation -> SAML Identity Provider -> External SP Connectors
• Vincule o conector SP ao serviço IdP em Access -> Federation -> SAML Identity Provider -> Local IdP Services

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Falha de autenticação de Cartão de Acesso Comum (CAC)

Se a autenticação SSO falhar para usuários CAC, verifique o IDs.log do UCCX para verificar se os Atributos SAML foram definidos corretamente.

Se houver um problema de configuração, ocorre uma falha de SAML. Por exemplo, neste trecho de log, o atributo SAML user_principal não está configurado no IdP.

AAAA-MM-DD hh:mm:SS.ss GMT(-0000) [IdSEndPoints-SAML-59] ERRO com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 - Não foi possível recuperar do mapa de atributos: user_principal

AAAA-MM-DD hh:mm:SS.ss GMT(-0000) [IdSEndPoints-SAML-59] ERRO com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - Falha no processamento de resposta SAML com exceção com.sun.identity.saml.common.SAMLException: Não foi possível recuperar user_principal da resposta saml

em com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)

em com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)

em com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)

em com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)

em java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

em java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

em java.lang.Thread.run(Thread.java:745)

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems