简介
本文档介绍F5 BIG-IP身份提供程序(IdP)上启用单点登录(SSO)的配置。
思科IdS部署模式
产品 |
部署 |
UCCX |
并存 |
PCCE |
与CUIC(Cisco Unified Intelligence Center)和LD(实时数据)共存 |
UCCE |
与CUIC和LD共存,进行2000部署。 独立式,适用于4k和12k部署。 |
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco Unified Contact Center Express(UCCX)版本11.6或Cisco Unified Contact Center Enterprise版本11.6或Packaged Contact Center Enterprise(PCCE)版本11.6(如果适用)。
注意:本文档引用有关思科身份识别服务(IdS)和身份提供方(IdP)的配置。文档在屏幕截图和示例中引用UCCX,但配置与思科身份识别服务(UCCX/UCCE/PCCE)和IdP相似。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
Install(安装)
Big-IP是一种具有多种功能的打包解决方案。访问策略管理器 (APM),与身份提供程序服务共同相关。
Big-IP作为APM:
version |
13.0 |
类型 |
虚拟版(OVA) |
IP |
不同子网中的两个IP。一个用于管理IP 一个用于IdP虚拟服务器 |
从Big-IP网站下载虚拟版映像,并部署OVA以创建预安装的虚拟机(VM)。获取许可证并按照基本要求进行安装。
注意:有关安装信息,请参阅Big-IP安装指南。
配置
- 导航到资源调配并启用访问策略,将调配设置为Nominal
- 在Network -> VLAN下创建新的VLAN
- 在Network -> Self IPs下为IdP创建新的IP条目
- 在Access -> Profile/Policies -> Access profiles下创建配置文件
- 在Access -> Authentication -> Active Directory下添加Active Directory(AD)详细信息
- 在Access -> Federation -> SAML Identity Provider -> Local IdP Services下创建新的IdP服务
注意:如果使用通用访问卡(CAC)进行身份验证,则需要在SAML Attributes配置部分添加以下属性:
步骤1.创建uid属性.
名称:uid
值:%{session.ldap.last.attr.sAMAccountName}
步骤2.创建user_principal属性。
名称: user_principal
值:%{session.ldap.last.attr.userPrincipalName}
注意:创建IdP服务后,可以使用按钮Access -> Federation -> SAML Identity Provider -> Local IdP Services下的Export Metadata下载元数据
创建安全断言标记语言(SAML)
SAML资源
- 导航到Access -> Federation -> SAML Resources,然后创建一个saml资源以与之前创建的IdP服务相关联
Webtops
- 在Access -> Webtops下创建Webtop
虚拟策略编辑器
- 单击 图标并按所述添加元素
步骤1.登录页面元素 — 保留所有元素的默认值。
步骤2. AD Auth ->选择之前创建的ADFS配置。
步骤3.AD查询元素 — 分配必要的详细信息。
步骤4.高级资源分配 — 将saml资源与之前创建的webtop相关联。
服务提供商(SP)元数据交换
- 通过System -> Certificate Management -> Traffic Management将Id的证书手动导入Big-IP
注意:确保证书包含BEGIN CERTIFICATE和END CERTIFICATE标记。
- 在Access -> Federation -> SAML Identity Provider -> External SP Connectors下从sp.xml创建新条目
- 将SP连接器绑定到Access -> Federation -> SAML Identity Provider -> Local IdP Services下的IdP服务
验证
当前没有可用于此配置的验证过程。
故障排除
通用访问卡(CAC)身份验证失败
如果CAC用户的SSO身份验证失败,请检查UCCX ids.log以验证是否已正确设置SAML属性。
如果存在配置问题,则会发生SAML故障。例如,在此日志代码片段中,IdP上未配置user_principal SAML属性。
YYYY-MM-DD hh:mm:SS.sss GMT(-000)[IdSEndPoints-SAML-59] ERROR com.cisco.cbu.ids IdSSAMLAsyncServlet.java:465 -无法从属性映射检索:user_principal
YYYY-MM-DD hh:mm:SS.sss GMT(-000)[IdSEndPoints-SAML-59] ERROR com.cisco.cbu.ids IdSSAMLAsyncServlet.java:298 - SAML响应处理失败,异常com.sun.identity.saml.common.SAMLException:无法从saml响应检索user_principal
在com.cisco.cbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)
在com.cisco.cbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)
在com.cisco.cbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)
在com.cisco.cbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)
在java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
在java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
在java.lang.Thread.run(Thread.java:745)
相关信息