Exemplo de Configuração da Instalação do AD FS Versão 2.0 para SAML SSO

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.6 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de fevereiro de 2018
ID do documento:118771

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o Ative Diretory Federation Service (AD FS) Versão 2.0 para habilitar o Security Assertion Markup Language (SAML) Single Sign-on (SSO) para produtos do Cisco Collaboration como o Cisco Unified Communications Manager (CUCM), Cisco Unity Connection (UCXN), CUCM IM e Presence e Cisco Prime Collaboration.

    Pré-requisitos

    Requisitos

    O AD FS Versão 2.0 deve ser instalado e testado.

    Cuidado: este guia de instalação é baseado em uma configuração de laboratório e presume-se que o AD FS Versão 2.0 seja usado somente para SAML SSO com produtos do Cisco Collaboration. Caso ele seja usado por outros aplicativos essenciais aos negócios, a personalização necessária deverá ser feita de acordo com a Documentação oficial da Microsoft.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • AD FS Versão 2.0
    • Microsoft Internet Explorer 10
    • CUCM versão 10.5
    • Cisco IM and Presence Server versão 10.5
    • UCXN Versão 10.5
    • Cisco Prime Collaboration Provisioning 10.5

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Configurar

    Baixar Metadados do Provedor de Identidade (IdP) do AD FS Versão 2.0

    Para baixar metadados IdP, execute este link no navegador: https://<FQDN do ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Baixar Metadados do Servidor de Colaboração (SP)

    Serviço de mensagens instantâneas e presença do CUCM

    Abra um navegador da Web, faça login no CUCM como administrador e navegue até Sistema > Logon único SAML.

    Unity Connection

    Abra um navegador da Web, faça login no UCXN como administrador e navegue até Configurações do sistema > Logon único SAML.

    Provisionamento do Cisco Prime Collaboration

    Abra um navegador da Web, efetue login no Prime Collaboration Assurance como globaladmin e navegue para Administração > Configuração do sistema > Logon único.

    Adicionar CUCM como Terceira Parte Confiável

    1. Faça login no servidor AD FS e inicie o AD FS Versão 2.0 no menu Programas do Microsoft Windows.

    2. Selecione Adicionar Objeto de Confiança de Terceira Parte Confiável.

      Adicionar Confiança da Terceira Parte Confiável



    3. Clique em Iniciar.

      Bem-vindo ao Assistente para Adicionar Confiança da Terceira Parte Confiável



    4. Selecione a opção Importar dados sobre a terceira parte confiável de um arquivo, escolha o arquivo de metadados SPMetadata_CUCM.xml que você baixou do CUCM anteriormente e clique em Próximo.

      Selecionar a fonte de dados



    5. Insira Display name e clique em Next.

      Adicionar o nome para exibição e as anotações



    6. Escolha Permitir que todos os usuários acessem esta terceira parte confiável e clique em Avançar.

      Escolher Regras de Autorização de Emissão



    7. Selecione Abrir a caixa de diálogo Editar regras de reivindicação do objeto de confiança da terceira parte confiável quando o assistente for fechado e clique em Fechar.

      Confirmação de que a Terceira Parte Confiável foi adicionada com êxito



    8. Clique em Adicionar regra.

      Editar Regras de Transformação de Emissão



    9. Clique em Avançar com o modelo de regra de Declaração padrão definido para Enviar atributos LDAP como Declarações.

      Escolher o modelo de regra



    10. Em Configurar regra, insira o nome da regra de Declaração, selecione Ative Diretory como o armazenamento de atributos, configure Atributo LDAP e Tipo de Declaração de Saída como mostrado nesta imagem e clique em Concluir.

      Note:
      - O atributo Lightweight Diretory Access Protocol (LDAP) deve corresponder ao atributo Diretory Sync no CUCM.
      - "uid" deve ser em minúsculas.



      Configurar o nome da regra e o modelo



    11. Clique em Add Rule, selecione Send Claims Using a Custom Rule como o modelo de regra de declaração e clique em Next.

      Lista de regras de reivindicação



      Escolher o tipo de regra



    12. Insira um nome para o nome da regra de Declaração e copie esta sintaxe no espaço fornecido em Regra personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (OBSERVAÇÃO: se você copiar e colar o texto desses exemplos, esteja ciente de que algum software de processamento de texto substituirá as aspas ASCII (") pelas versões UNICODE (""). As versões UNICODE farão com que a regra de declaração falhe.)


      Configurar uma regra personalizada para o CallManager



      Note:
       - O CUCM e o ADFS Fully Qualified Domain Name (FQDN) são preenchidos previamente com o CUCM e o AD FS do laboratório neste exemplo e devem ser modificados para corresponder ao seu ambiente.
      - O FQDN do CUCM/ADFS diferencia maiúsculas de minúsculas e deve corresponder aos arquivos de metadados.



    13. Clique em Finish.

    14. Clique em Aplicar e em OK.

    15. Reinicie o serviço AD FS Versão 2.0 em Services.msc.

    Adicionar mensagens instantâneas e presença do CUCM como Terceira parte confiável

    1. Repita as Etapas 1 a 11 conforme descrito para Adicionar CUCM como Confiança da terceira parte confiável e continue na Etapa 2.

    2. Insira um nome para o nome da regra de Declaração e copie esta sintaxe no espaço fornecido em Regra personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      Configurar uma regra personalizada para IMP




      Observe que IM e Presença e FQDN do AD FS são pré-preenchidos com IM e Presença do laboratório e AD FS neste exemplo e devem ser modificados para corresponder ao seu ambiente.

    3. Clique em Finish.

    4. Clique em Aplicar e em OK.

    5. Reinicie o serviço AD FS Versão 2.0 de Services.msc.

    Adicionar UCXN como Terceira Parte Confiável

    1. Repita as Etapas 1 a 12 conforme descrito para Adicionar CUCM como Confiança da terceira parte confiável e continue na Etapa 2.

    2. Insira um nome para o Nome da regra de declaração e copie esta sintaxe no espaço fornecido em Regra personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      Configurar uma regra personalizada para ICXN



      Observe que o UCXN e o FQDN do AD FS são pré-preenchidos com o laboratório UCXN e o ADFS neste exemplo e devem ser modificados para corresponder ao seu ambiente.

    3. Clique em Finish.

    4. Clique em Aplicar e em OK.

    5. Reinicie o serviço AD FS Versão 2.0 de Services.msc.

    Adicionar o provisionamento do Cisco Prime Collaboration como Terceira parte confiável

    1. Repita as Etapas 1 a 12 conforme descrito para Adicionar CUCM como Confiança da terceira parte confiável e continue na Etapa 2.

    2. Insira um nome para o Nome da regra de declaração e copie esta sintaxe no espaço fornecido em Regra personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      Configurar uma regra personalizada para PCP



      Observe que o Prime Provisioning e o FQDN do AD FS são pré-preenchidos com o laboratório Prime Collaboration Provisioning (PCP) e o AD FS deste exemplo e devem ser modificados para corresponder ao seu ambiente.

    3. Clique em Finish.

    4. Clique em Aplicar e em OK.

    5. Reinicie o serviço AD FS Versão 2.0 em Services.msc.


    Depois de configurar o AD FS Versão 2.0, continue para habilitar o SAML SSO nos produtos Cisco Collaboration.

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshooting

    O AD FS registra dados de diagnóstico no Log de Eventos do sistema.  No Gerenciador de Servidores do servidor AD FS, abra Diagnóstico -> Visualizador de Eventos -> Aplicativos e Serviços -> AD FS 2.0 -> Administrador

    Procurar erros registrados para a atividade do AD FS

    Exibição Evento do Gerenciador de Servidores

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    20-Jan-2015
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • A M Mahesh Babu
      TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos