簡介

本文檔介紹在統一聯絡中心企業版(UCCE)中，使用安全宣告標籤語言(SAML)和思科身份服務(IDS)將Microsoft Azure配置為單點登入(SSO)的身份提供程式(IdP)。

必要條件

需求

思科建議您瞭解以下主題：

• SAML 2.0 
• Cisco UCCE和套裝客服中心企業版(PCCE)
• SSO
• IDS
• IdP

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Azure IdP
• UCCE 12.0.1、12.5.1、12.5.2、12.6.1和12.6.2
• Cisco IdS 12.0.1、12.5.1、12.52、12.6.1和12.6.2

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

1.匯出UCCE後設資料檔案

Cisco IDS在IdP和應用之間提供授權。

配置Cisco IDS後，會在Cisco IDS和IdP之間設定後設資料交換。此交換建立了信任關係，允許應用程式使用思科IDS進行SSO。當後設資料檔案從Cisco IDS下載並上傳到IdP時，即建立信任關係。

1.1.程式

• 在Unified CCE Administration中，導航至  Features > Single Sign-On .
• 按一下  Identity Service Management  並開啟「思科身份服務管理」視窗
• 輸入  User Name ，然後按一下  Next.
• 輸入  password ，然後按一下  Sign In.
  • 此時將開啟「思科身份服務管理」頁面，並在左側窗格中顯示「節點」、「設定」和「客戶端」圖示。
• 按一下  Nodes.
  • 「節點」頁面將開啟至整體節點級別檢視，並標識哪些節點正在使用。此頁還提供每個節點的SAML證書到期詳細資訊，這些詳細資訊指示證書到期的時間。節點狀態選項未配置、在服務中、部分服務和不在服務中。按一下某個狀態可檢視詳細資訊。其中一個節點名稱右側的星號標識為主發佈者的節點。
• 按一下  Settings.
• 按一下  IdS Trust.
• 要開始Cisco IdS信任關係，請在Cisco IdS和IdP之間設定，請按一下 Download Metadata File 從Cisco IdS Server下載檔案。

2.生成Azure響應的證書簽名

如果您已安裝OpenSSL，請為Azure生成證書並在Azure應用程式上調配它。Azure在其IdP後設資料匯出中包含此證書，並使用該證書對傳送到UCCE的SAML宣告進行簽名。

如果沒有OpenSSL，請使用企業CA來產生憑證。

2.1程式(OpenSSL)

以下是透過OpenSSL建立憑證的程式

• 建立憑證和私密金鑰：

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• 將證書和金鑰合併到受密碼保護的PFX檔案中，這是Azure所必需的。確保記下密碼。

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• 為UCCE生成單個證書。
• 將證書上載到Azure IdP。

3.配置Azure自定義應用程式

配置Azure之前，必須從UCCE IDS發佈伺服器匯出UCCE後設資料。 在Azure上啟動這些步驟之前，可以同時擁有UCCE後設資料XML檔案和IdP連線的證書。

3.1.程式

• 在Microsoft Azure中，導航到  Enterprise Applications  然後選擇  All Applications.
• 要新增新應用程式，請選擇 New application .

• 在「新增應用程式」視窗中，繼續執行以下步驟：
  1.按一下  Create your own application  （非相簿）。
  2.輸入新應用程式的名稱（例如UCCE），然後按一下  Create.
  3.在新應用程式的左側導航欄中，按一下  Single sign-on .
  4.按一下  SAML .
  5.  Set up Single Sign-On with SAML  視窗。
• 按一下 Upload metadata 檔案，然後瀏覽到 UCCE metadata XML 檔案。
• 選擇並開啟檔案後，按一下  Add .
  • 其 Basic SAML Configuration 使用UCCE伺服器的識別符號(EntityID)和回覆URL（斷言使用者服務URL）填充。
  • 按一下  Save .
• 在 User Attributes & Claims 部分，按一下 Edit :
  • 在Required Claim下，按一下 Unique User Identifier （名稱ID）。
  • 對於名稱識別符號格式，請選擇  Default.
  • 對於「源」屬性，選擇  user.onpremisessamaccountname .
  • 按一下  Save.
  • 在Additional claims下，刪除存在的所有索賠。對於每個宣告，按一下(...)並選擇「刪除」。按一下「確定」進行確認。
  • 點選Add new claim新增  uid 索償
  • 在名稱中，輸入  uid.
  • 將Namespace欄位留空。
  • 對於Source，請選中Attribute單選按鈕。
  • 在「源」屬性下拉選單中，選擇 user.givenname (或  user.onpremisessamaccountname)。           
  • 按一下  Save.
  • 新增新的宣告以新增 user_principal 索賠。
  • 在名稱中，輸入  user_principal.
  • 將Namespace欄位留空。
  • 對於Source，請選中Attribute單選按鈕。
  • 在「源」屬性下拉選單中，選擇 user.userprincipalname.
  • 按一下  Save.
    

要配置的引用的快照： 

• 
• 按一下 SAML-based Sign-on 返回SAML摘要。
• 在 SAML Signing Certificate 部分，按一下  Edit:
  • 將「簽名」選項設定為  Sign SAML Response and Assertion.  
  • 將Signing Algorithm設定為適當的SHA演算法。例如SHA-256。
• 按一下  Import Certificate.
• 在  Certificate  欄位中，瀏覽並開啟之前建立的certificate.pfx檔案。
• 輸入證書的密碼，然後按一下  Add .

這必須是清單中的唯一證書，並且必須處於活動狀態。

• 如果此證書未啟用，請按一下相鄰的點(...)，選擇「啟用證書」，然後按一下「是」。
• 如果清單中有其他證書，請點選這些證書的相鄰點(...)，選擇Delete Certificate（刪除證書），然後按一下Yes（是）刪除這些證書。

• 按一下  Save.
• 下載  Federation Metadata XML  檔案。
• 在Azure中啟用應用程式並分配使用者：

Azure可讓您為Azure的SSO或所有使用者分配單個使用者。 假設已通過DU為所有使用者啟用SSO。

• 在左側導航欄中，導航至  Enterprise Applications > UCCE  （或您指定的應用程式名稱）。
• 選擇  Manage > Properties .
• 將「Enabled for users to sign to in？（使用者登入已啟用？）」設定為  Yes.
• 將「對使用者是否可見」設定為  No.
• 按一下  Save.

作為最終檢查，請檢查IdP後設資料檔案，並確保以前建立的證書在<X509Certificate>欄位中顯示為IdP後設資料檔案中的簽名證書。格式如下：

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4.在UCCE中上載Azure後設資料檔案

在再次訪問UCCE IDS之前，您必須擁有 Federation Metadata XML 檔案已從Azure下載。

4.1程式

• 在Unified CCE Administration中，導航至  Features > Single Sign-On.
• 按一下  Identity Service Management  並開啟「思科身份服務管理」視窗
• 輸入  user name，然後按一下  Next .
• 輸入  password ，然後按一下  Sign In .
  • 將開啟「思科身份服務管理」頁面，並在左側窗格中顯示節點、設定和客戶端圖示。
• 按一下  Nodes .
  • 「節點」頁面將開啟至整體節點級別檢視，並標識哪些節點正在使用。此頁還提供每個節點的SAML證書到期詳細資訊，這些詳細資訊指示證書到期的時間。節點狀態選項未配置、在服務中、部分服務和不在服務中。按一下某個狀態可檢視詳細資訊。其中一個節點名稱右側的星號標識為主發佈者的節點。
• 上傳  Federation Metadata XML  從Azure瀏覽以查詢檔案。
• 瀏覽到 Upload IdP Metadata 頁面並上傳 Federation Metadata XML 檔案。
  • 檔案上傳完成後，會收到通知訊息。後設資料交換現已完成，並且信任關係已建立。
• 清除瀏覽器快取。
• 當頁面重定向到IdP時，請輸入有效的憑據。
• 按一下  Next.
  • 其  Test SSO Setup 頁面開啟。
• 按一下  Test SSO Setup .
  • 系統將顯示一條消息，通知您思科IdS配置已成功。
• 按一下  Settings .
• 按一下  Security.
• 按一下  Tokens.
• 輸入這些設定的持續時間：
  • Refresh Token Expiry — 預設值為10小時。最小值為2小時。最長24小時。
  • Authorization Code Expiry — 預設值為1分鐘，這也是最小值。最大值為10分鐘。
  • 存取權杖到期 — 預設值為60分鐘。最小值為5分鐘。最大值為120分鐘。
• 設定  Encrypt Token  （可選）；預設設定為 On.
• 按一下  Save .
• 按一下  Keys and Certificates .
• 將開啟「生成金鑰和SAML證書」頁。它允許：
  • 按一下重新生成並重新生成加密/簽名金鑰。出現一條消息，說明令牌註冊成功，建議您重新啟動系統以完成配置。
  • 按一下  Regenerate  並重新生成SAML證書。出現一則消息，表示SAML證書重新生成成功。
• 按一下  Save .
• 按一下  Clients.
  • 此頁標識已經存在的Cisco IdS客戶端，並提供客戶端名稱、客戶端ID和重定向URL。要搜尋特定客戶端，請按一下  Search  圖示位於名稱清單頂部，並鍵入客戶端的名稱。
• 新增客戶端：
  • 按一下  New .
  • 輸入客戶端的名稱。
  • 輸入重新導向URL。要新增多個URL，請按一下加號圖示。
  • 按一下  Add  (或按一下  Clear  然後按一下  X   關閉頁面而不新增客戶端)。
  • 要編輯或刪除客戶機，請突出顯示客戶機行，然後按一下「操作」(Actions)下的省略號。
  • 然後：
    • 按一下  Edit  編輯客戶端名稱、ID或重定向URL。在「編輯客戶端」頁面上進行更改，然後按一下  Save  (或者按一下「清除」，然後按一下 X  關閉頁面且不儲存編輯)。
    • 按一下  Delete  刪除客戶端。

注意：證書必須使用SHA-256安全雜湊演算法。