SAML SSO的AD FS 2.0版设置配置示例

简介

本文档介绍如何配置Active Directory联合身份验证服务(AD FS) 2.0版，以便为思科协作产品(例如Cisco Unified Communications Manager (CUCM)、Cisco Unity Connection (UCXN)、CUCM IM and Presence和Cisco Prime Collaboration)启用安全断言标记语言(SAML)单点登录(SSO)。

先决条件

要求

必须安装并测试AD FS 2.0版。

注意：本安装指南基于实验室设置，并假设AD FS 2.0版仅用于采用思科协作产品的SAML SSO。如果其他关键业务应用程序使用它，则必须根据官方Microsoft文档进行必要的自定义。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• AD FS版本2.0
• Microsoft Internet Explorer 10
• CUCM版本10.5
• 思科即时消息和在线状态服务器版本10.5
• UCXN版本10.5
• 思科Prime协作调配10.5

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

下载AD FS版本2.0身份提供程序(IdP)元数据

要下载IdP元数据，请在浏览器上运行此链接：https://<ADFS的FQDN>/FederationMetadata/2007-06/FederationMetadata.xml。

下载协作服务器(SP)元数据

CUCM IM和在线状态服务

打开Web浏览器，以管理员身份登录CUCM，然后导航至系统> SAML单点登录。

Unity Connection

打开Web浏览器，以管理员身份登录UCXN，然后导航到系统设置> SAML单点登录。

Cisco Prime协作调配

打开Web浏览器，以globaladmin身份登录Prime Collaboration Assurance，然后导航到管理>系统设置>单点登录。

添加CUCM作为信赖方信任

1. 登录到AD FS服务器并从Microsoft Windows Programs菜单启动AD FS版本2.0。
   
   
2. 选择添加信赖方信任。
   
   

   

   
   
   
3. 单击开始。
   
   

   

   
   
   
4. 选择Import data about the relying party from a file选项，选择之前从CUCM下载的SPMetadata_CUCM.xml元数据文件，然后单击Next。
   
   

   

   
   
   
5. 输入显示名称并单击下一步。
   
   

   

   
   
   
6. 选择允许所有用户访问此信赖方，然后单击下一步。
   
   

   

   
   
   
7. 选择向导关闭时为信赖方信任打开“编辑声明规则”对话框，然后单击关闭。
   
   

   

   
   
   
8. 单击Add Rule。
   
   

   

   
   
   
9. 在默认声明规则模板设置为Send LDAP Attributes as Claims的情况下，点击Next。
   
   

   

   
   
   
10. 在Configure Rule中，输入声明规则名称，选择Active Directory作为属性存储，配置LDAP Attribute和Outgoing Claim Type（如图所示），然后单击Finish。
    
    

    注意：
    - 轻量级目录访问协议(LDAP)属性应与CUCM上的目录同步属性匹配。
    - “uid”应使用小写。

    
    
    

    

    
    
    
11. 点击添加规则，选择使用自定义规则发送声明作为声明规则模板，然后点击下一步。
    
    

    

    
    
    

    

    
    
    
12. 输入声明规则名称的名称，并在“自定义规则”(Custom rule)下提供的空白处复制此语法：
    
    

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");

    (注意：如果复制并粘贴这些示例中的文本，请注意某些字处理软件将用UNICODE版本(“”)替换ASCII引号(“)。UNICODE版本将导致声明规则失败。)
    
    
    

    

    
    
    

    注意：
     - CUCM和ADFS完全限定域名(FQDN)已预填充在本示例中的实验CUCM和AD FS中，必须对其进行修改以匹配您的环境。
    - CUCM/ADFS的FQDN区分大小写，并且必须与元数据文件匹配。

    
    
    
13. 单击 完成。
    
    
14. 依次单击应用和确定。
    
    
15. 从Services.msc重新启动AD FS版本2.0服务。

添加CUCM IM and Presence作为信赖方信任

1. 按照添加CUCM为信赖方信任的说明重复步骤1到11，然后继续步骤2。
   
   
2. 输入声明规则名称的名称，并在“自定义规则”(Custom rule)下提供的空白处复制此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");

   
   
   

   

   
   
   
   请注意，在本例中，IM and Presence和AD FS FQDN预先填充了实验IM and Presence和AD FS，必须对其进行修改才能与您的环境相匹配。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 从Services.msc重新启动AD FS版本2.0服务。

添加UCXN作为信赖方信任

1. 重复第1步到第12步，如添加CUCM为信赖方信任中所述，然后继续执行第2步。
   
   
2. 输入声明规则名称的名称，并在自定义规则下的空白处复制此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");

   
   
   

   

   
   
   请注意，在本例中，UCXN和AD FS FQDN预先填充了实验UCXN和ADFS，必须对其进行修改才能与您的环境相匹配。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 从Services.msc重新启动AD FS版本2.0服务。

添加Cisco Prime协作调配作为信赖方信任

1. 重复第1步到第12步，如添加CUCM为信赖方信任中所述，然后继续执行第2步。
   
   
2. 输入声明规则名称的名称，并在自定义规则下的空白处复制此语法：
   
   

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");

   
   
   

   

   
   
   请注意，本示例中的Prime调配和AD FS FQDN预填充了实验室Prime协作调配(PCP)和AD FS，必须对其进行修改才能与您的环境相匹配。
   
   
3. 单击 完成。
   
   
4. 依次单击应用和确定。
   
   
5. 从Services.msc重新启动AD FS版本2.0服务。

设置AD FS版本2.0后，继续启用思科协作产品上的SAML SSO。

验证

当前没有可用于此配置的验证过程。

故障排除

AD FS将诊断数据记录到系统事件日志中。  从AD FS服务器上的服务器管理器打开Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin

查找AD FS活动记录的错误