简介

本文档介绍如何将Microsoft Azure配置为具有安全声明标记语言(SAML)和思科身份服务(IDS)的统一联系中心企业版(UCCE)中单点登录(SSO)的身份提供程序(IdP)。

先决条件

要求

Cisco 建议您了解以下主题：

• SAML 2.0 
• Cisco UCCE和套装联络中心企业版(PCCE)
• SSO
• IDS
• IdP

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Azure IdP
• UCCE 12.0.1、12.5.1、12.5.2、12.6.1和12.6.2
• Cisco IdS 12.0.1、12.5.1、12.52、12.6.1和12.6.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

1.导出UCCE元数据文件

Cisco IDS在IdP和应用之间提供授权。

配置思科IDS后，思科IDS和IdP之间会建立元数据交换。此交换建立了信任关系，允许应用使用思科IDS进行SSO。当从思科IDS下载元数据文件并上传到IdP时，即建立信任关系。

1.1.程序

• 在Unified CCE Administration中，导航至  Features > Single Sign-On .
• 点击  Identity Service Management  并打开“思科身份服务管理”窗口
• 输入  User Name ，然后单击  Next.
• 输入  password ，然后单击  Sign In.
  • 系统将打开“思科身份服务管理”(Cisco Identity Service Management)页面，并在左侧窗格中显示“节点”(Nodes)、“设置”(Settings)和“客户端”(Clients)图标。
• 点击  Nodes.
  • “节点”(Nodes)页面会打开到整体节点级别视图，并识别哪些节点正在使用。该页面还提供每个节点的SAML证书到期详细信息，指明证书到期的时间。未配置节点状态选项、服务中、部分服务和停止服务。单击某个状态可查看详细信息。其中一个节点名称右侧的星号标识作为主发布方的节点。
• 点击  Settings.
• 点击  IdS Trust.
• 要开始思科IdS信任关系，请在思科IdS和IdP之间设置，请点击 Download Metadata File 从Cisco IdS服务器下载文件。

2.生成Azure响应的证书签名

如果已安装OpenSSL，请为Azure生成证书并在Azure应用程序上调配它。Azure在其IdP元数据导出中包含此证书，并使用该证书对发送到UCCE的SAML声明进行签名。

如果没有OpenSSL，请使用企业CA生成证书。

2.1程序(OpenSSL)

以下是通过OpenSSL创建证书的过程

• 创建证书和私钥：

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• 将证书和密钥合并到Azure所需的受密码保护的PFX文件中。确保记下密码。

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• 为UCCE生成单个证书。
• 将证书上传到Azure IdP。

3.配置Azure自定义应用程序

在配置Azure之前，必须从UCCE IDS发布服务器导出UCCE元数据。 在Azure上启动这些步骤之前，您可以同时拥有UCCE元数据XML文件和IdP连接的证书。

3.1.程序

• 在Microsoft Azure中，导航至  Enterprise Applications  然后选择  All Applications.
• 要添加新应用程序，请选择 New application .

• 在Add an Application（添加应用）窗口中，继续执行以下步骤：
  1.单击  Create your own application  （非画廊）。
  2.输入新应用的名称（例如UCCE），然后单击  Create.
  3.在新应用程序的左侧导航栏中，单击  Single sign-on .
  4.单击  SAML .
  5.  Set up Single Sign-On with SAML  窗口。
• 点击 Upload metadata 文件，然后浏览到 UCCE metadata XML 文件.
• 选择并打开文件后，单击  Add .
  • 此 Basic SAML Configuration 使用UCCE服务器的标识符(EntityID)和应答URL（断言消费者服务URL）进行填充。
  • 点击  Save .
• 如果 User Attributes & Claims 部分，单击 Edit :
  • 在“Required Claim”下，点击 Unique User Identifier （名称ID）。
  • 对于名称标识符格式，请选择  Default.
  • 对于“源”属性，选择  user.onpremisessamaccountname .
  • 点击  Save.
  • 在Additional claims（其他领款申请）下，删除存在的所有领款申请。对于每个领款申请，点击(...)并选择删除。点击OK确认。
  • 点击Add new claim添加  uid 领款
  • 在名称(Name)中输入  uid.
  • 将“名称空间”字段留空。
  • 对于Source，选中Attribute单选按钮。
  • 从源属性下拉列表中，选择 user.givenname (或  user.onpremisessamaccountname影响。           
  • 点击  Save.
  • 添加新领款申请以添加 user_principal 索赔。
  • 在名称(Name)中输入  user_principal.
  • 将“名称空间”字段留空。
  • 对于Source，选中Attribute单选按钮。
  • 从源属性下拉列表中，选择 user.userprincipalname.
  • 点击  Save.
    

要配置的参考快照： 

• 
• 点击 SAML-based Sign-on 返回到SAML摘要。
• 如果 SAML Signing Certificate 部分，单击  Edit:
  • 将“签名”选项设置为  Sign SAML Response and Assertion.  
  • 将Signing Algorithm设置为适当的SHA算法。例如SHA-256。
• 点击  Import Certificate.
• 如果  Certificate  字段中，浏览并打开之前创建的certificate.pfx文件。
• 输入证书的密码，然后单击  Add .

该证书必须是列表中的唯一证书，并且必须处于活动状态。

• 如果此证书未激活，请点击相邻的点(...)，选择“激活证书”，然后单击“是”。
• 如果列表中有其他证书，请点击这些证书的相邻点(...)，选择Delete Certificate，然后点击Yes删除这些证书。

• 点击  Save.
• 立即下载  Federation Metadata XML  文件.
• 在Azure中启用应用程序并分配用户：

Azure可让您为具有Azure的SSO分配单个用户或所有用户。 假设通过DU为所有用户启用SSO。

• 在左侧导航栏中，导航至  Enterprise Applications > UCCE  （或您指定的应用程序名称）。
• 选择  Manage > Properties .
• 将“是否启用”设置为让用户登录？  Yes.
• 将“对用户可见”设置为  No.
• 点击  Save.

作为最终检查，请检查IdP元数据文件，并确保以前创建的证书出现在<X509Certificate>字段中，作为IdP元数据文件中的签名证书。格式如下：

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4.在UCCE中上载Azure元数据文件

在再次访问UCCE IDS之前，您必须拥有 Federation Metadata XML 已从Azure下载文件。

4.1程序

• 在Unified CCE Administration中，导航至  Features > Single Sign-On.
• 点击  Identity Service Management  并打开“思科身份服务管理”窗口
• 输入  user name，然后单击  Next .
• 输入  password ，然后单击  Sign In .
  • 系统将打开“思科身份服务管理”(Cisco Identity Service Management)页面，并在左侧窗格中显示“节点”(Nodes)、“设置”(Settings)和“客户端”(Clients)图标。
• 点击  Nodes .
  • “节点”(Nodes)页面会打开到整体节点级别视图，并识别哪些节点正在使用。该页面还提供每个节点的SAML证书到期详细信息，指明证书到期的时间。未配置节点状态选项、服务中、部分服务和停止服务。单击某个状态可查看详细信息。其中一个节点名称右侧的星号标识作为主发布方的节点。
• 上传  Federation Metadata XML  从Azure浏览以查找文件。
• 浏览到 Upload IdP Metadata 页面并上传 Federation Metadata XML 文件.
  • 文件上传完成后，会收到一条通知消息。元数据交换现已完成，信任关系已建立。
• 清除浏览器缓存.
• 当页面重定向到IdP时，请输入有效凭据。
• 点击  Next.
  • 此  Test SSO Setup 页面打开。
• 点击  Test SSO Setup .
  • 系统将显示一条消息，告知您思科IdS配置已成功。
• 点击  Settings .
• 点击  Security.
• 点击  Tokens.
• 输入这些设置的持续时间：
  • Refresh Token Expiry — 默认值为10小时。最小值为2小时。最长24小时。
  • 授权码到期 — 默认值为1分钟，这也是最小值。最大值为10分钟。
  • 访问令牌到期 — 默认值为60分钟。最小值为5分钟。最大值为120分钟。
• 设置  Encrypt Token  （可选）；默认设置为 On.
• 点击  Save .
• 点击  Keys and Certificates .
• 系统将打开“生成密钥和SAML证书”(Generate Keys and SAML Certificate)页面。它允许：
  • 点击Regenerate并重新生成加密/签名密钥。系统将显示一条消息，告知令牌注册成功，并建议您重新启动系统以完成配置。
  • 点击  Regenerate  并重新生成SAML证书。系统将显示一条消息，表示SAML证书重新生成成功。
• 点击  Save .
• 点击  Clients.
  • 此页面标识已经存在的思科IdS客户端，并提供客户端名称、客户端ID和重定向URL。要搜索特定客户端，请单击  Search  图标位于名称列表顶部，并键入客户端的名称。
• 添加客户端的步骤：
  • 点击  New .
  • 输入客户端的名称。
  • 输入重定向URL。要添加多个URL，请点击加号图标。
  • 点击  Add  (或单击  Clear  然后单击  X   关闭页面且不添加客户端)。
  • 要编辑或删除客户端，请突出显示客户端行，然后点击Actions下的省略号。
  • 然后：
    • 点击  Edit  编辑客户端的名称、ID或重定向URL。在Edit Client（编辑客户端）页面上进行更改，然后单击  Save  (或者单击“清除”，然后单击 X  关闭页面且不保存编辑)。
    • 点击  Delete  删除客户端。

注：证书必须使用SHA-256安全散列算法。