為思科身份服務配置身份提供程式以啟用SSO

簡介

本文檔介紹為思科身份服務(IdS)配置身份提供程式(IdP)以啟用單一登入(SSO)。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco Unified Contact Center Express(UCCX)版本11.5或Cisco Unified Contact Center Enterprise版本11.5或Packaged Contact Center Enterprise(PCCE)版本11.5（如果適用）
• Microsoft Active Directory - Windows Server上安裝的AD
• Active Directory聯合身份驗證服務(ADFS)版本2.0/3.0

註：本文檔在螢幕截圖和示例中引用了UCCX，但是其配置與Cisco IdS(UCCX/UCCE/PCCE)和IdP相似。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

Cisco IdS部署模式

產品	部署
UCCX	共住者
PCCE	與CUIC（思科統一情報中心）和LD（即時資料）共存
UCCE	與CUIC和LD共駐以進行2k部署。 獨立式，適用於4k和12k部署。

SSO概述

思科以不同的形式提供多種服務，作為終端使用者，您只需登入一次即可訪問所有思科服務。如果您想從任何思科應用程式和裝置尋找和管理聯絡人，請利用所有可能的來源（企業目錄、Outlook、行動聯絡人、Facebook、LinkedIn、歷史記錄），並以標準且一致的方式呈現聯絡人，提供所需的資訊，以瞭解其可用性和聯絡的最佳方式。

使用SAML（安全宣告標籤語言）的SSO面向此要求。SAML/SSO允許使用者通過稱為IdP的通用帳戶和授權標識登入多個裝置和服務。SSO功能在UCCX/UCCE/PCCE 11.5及更高版本中可用。

組態概觀

設定

驗證型別

Cisco IdS僅支援IdP的基於表單的身份驗證。

請參閱這些MSDN文章以瞭解如何在ADFS中啟用表單身份驗證。

• 有關ADFS 2.0的資訊，請參閱此Microsoft TechNet文章，
  http://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx。
• 有關ADFS 3.0的資訊，請參閱此Microsoft TechNet文章，
  https://learn.microsoft.com/en-us/archive/blogs/josrod/enabled-forms-based-authentication-in-adfs-3-0

注意:Cisco IdS 11.6及更高版本同時支援基於表單的身份驗證和Kerberos身份驗證。 若要使Kerberos身份驗證生效，必須禁用基於表單的身份驗證。

建立信任關係

對於自註冊並為了讓應用程式使用思科ID進行SSO，請在IdS和IdP之間執行後設資料交換。

• 下載SAML SP後設資料檔案  sp.xml.
• 自 Settings，導航至 IdS Trust 頁籤。

• 從URL的IdP下載IdP後設資料檔案：
  https://<ADFSServer>/federationmetadata/2007-06/federationmetadata.xml

• 在「IdS管理」頁面上，上傳在上一步中下載的IdP後設資料檔案。

這是上傳IdS後設資料和新增宣告規則的過程。ADFS 2.0和3.0對此做了概述。

ADFS 2.0

步驟1.在ADFS伺服器中，導航到， Start > All Programs > Administrative Tools > ADFS 2.0 Management中，如下圖所示：

步驟2.導航至 Add ADFS 2.0 > Trust Relationship > Relying Party Trust中，如下圖所示：

步驟3.如圖所示，選擇選項 Import data about the relying party from a file.

步驟4.完成信賴方信任的建立。

步驟5.在信賴方信任的屬性中，選擇 Identifier 頁籤。

步驟6.將識別符號設定為Cisco Identity Server的完全限定主機名，Cisco Identity Server可從其獲得 sp.xml 已下載。

步驟7.按一下右鍵信賴方信任，然後按一下 Edit Claim Rules.

必須新增兩個宣告規則，一個是匹配LDAP（輕型目錄訪問協定）屬性，另一個是通過自定義宣告規則。

uid — 應用程式需要此屬性以標識經過身份驗證的使用者。
user_principal - Cisco Id需要此屬性來標識經過身份驗證的使用者的領域。

領款申請規則1:

按名稱新增規則 NameID 型別（將LDAP屬性的值作為宣告傳送）：

• 選擇屬性儲存作為Active Directory
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal （小寫）
• 選擇必須用作的LDAP屬性 userId 應用程式使用者，以便登入並將其對映到 uid （小寫）

配置示例 SamAccountName 將用作使用者ID:

• 對映LDAP屬性 SamAccountName 成長至 uid.
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

配置示例 UPN 必須用作使用者ID:

• 對映LDAP屬性 User-Principal-Name 成長至 uid.
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

配置示例 PhoneNumber 必須用作使用者ID:

• 將LDAP屬性telephoneNumber對映到 uid .
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

注意：必須確保為CUCM LDAP同步上的使用者ID配置的LDAP屬性與配置為 uid 在ADFS宣告規則中 NameID.這是為了使CUIC和Finesse登入正常工作。

註：本文檔引用宣告規則名稱上的約束條件，並顯示UCCX的名稱(如NameID、完全限定域名(FQDN)等)。雖然自定義欄位和名稱可以適用於各個部分，但宣告規則名稱和顯示名稱始終保持標準，以保持一致性和符合命名規範中的最佳做法。

領款申請規則2:

• 新增另一個自定義宣告規則型別的規則，該規則的名稱是Cisco Identity Server的完全限定主機名，並新增此規則文本。
  
  

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• 在Cisco Identity Server群集中，所有完全限定主機名都是Cisco Identity Server主節點或發佈伺服器節點的主機名。
• <Cisco Identity Server的完全限定主機名>區分大小寫，因此它與Cisco Identity Server FQDN完全匹配（包括大小寫）。
• <ADFS伺服器FQDN>區分大小寫，因此它與ADFS FQDN完全匹配（包括大小寫）。

步驟8.按一下右鍵信賴方信任，然後按一下 Properties ，然後選擇「advanced」頁籤，如下圖所示。

步驟9.如圖所示，選擇Secure Hash Algorithm(SHA)作為SHA-256。

步驟10.按一下 OK.

ADFS 3.0

步驟1.在ADFS伺服器中，導航至 Server Manager > Tools > ADFS Management.

步驟2.導航至 ADFS > Trust Relationship > Relying Party Trust.

步驟3.選擇選項 Import data about the relying party from a file.

步驟4.完成信賴方信任的建立。

步驟5.在信賴方信任的屬性中，選擇 Identifier 頁籤。

步驟6.將識別符號設定為Cisco Identity Server的完全限定主機名，Cisco Identity Server可從其獲得 sp.xml 已下載。

步驟7.按一下右鍵信賴方信任，然後按一下 Edit Claim Rules.

必須新增兩個宣告規則，一個是匹配LDAP屬性，另一個是通過自定義宣告規則。

uid — 應用程式需要此屬性來標識經過身份驗證的使用者。
user_principal - Cisco Id需要此屬性來標識經過身份驗證的使用者的領域。

領款申請規則1:

按名稱新增規則 NameID 型別（將LDAP屬性的值作為宣告傳送）：

• 選擇屬性儲存作為Active Directory
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal （小寫）
• 選擇必須用作的LDAP屬性 userId 供應用程式使用者登入並將其對映到 uid（小寫）

配置示例 SamAccountName 將用作使用者ID:

• 對映LDAP屬性 SamAccountName 成長至 uid.
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

當UPN必須用作使用者ID時配置示例：

• 對映LDAP屬性 User-Principal-Name 成長至 uid.
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

配置示例 PhoneNumber 必須用作使用者ID:

• 對映LDAP屬性 telephoneNumber 成長至 uid.
• 對映LDAP屬性 User-Principal-Name 成長至 user_principal.

注意：必須確保為CUCM LDAP同步上的使用者ID配置的LDAP屬性與配置為 uid 在ADFS宣告規則名稱ID中。這是為CUIC和Finesse登入的正確功能而設定的。

註：本文檔引用宣告規則名稱和顯示名稱（如NameID、UCCX的FQDN等）上的約束。雖然自定義欄位和名稱可以適用於各個部分，但宣告規則名稱和顯示名稱始終保持標準，以便保持一致性和符合命名約定中的最佳做法。

領款申請規則2:

• 新增另一個自定義宣告規則型別的規則，該規則的名稱是Cisco Identity Server的完全限定主機名，並新增此規則文本。
                                

  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<ADFS Server FQDN>/ADFS/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<fully qualified hostname of IdS/UCCX>");

  
  
• 在Cisco Identity Server群集中，所有完全限定主機名都是Cisco Identity Server主節點或發佈伺服器節點的主機名。
• <Cisco Identity Server的完全限定主機名>區分大小寫，因此它與Cisco Identity Server FQDN完全匹配（包括大小寫）。
• <ADFS伺服器FQDN>區分大小寫，因此它與ADFS FQDN完全匹配（包括大小寫）。

步驟8.按一下右鍵信賴方信任，然後按一下 Properties 並選擇 advanced 頁籤。

步驟9.如圖所示，選擇SHA作為SHA-256。

步驟10.按一下 OK.

這些步驟在步驟10之後是強制性的。

為信賴方信任(Cisco IdS)啟用已簽名的SAML斷言

步驟1.按一下 Start 並輸入PowerShell以開啟windows powershell。

步驟2.使用命令將ADFS CmdLet新增到PowerShell Add-PSSnapin Microsoft.Adfs.Powershell.

步驟3.運行命令， Set-ADFSRelyingPartyTrust -TargetName -SamlResponseSignature "MessageAndAssertion" .

          

註：如果使用ADFS 3.0，則不需要步驟2。因為CmdLet已經作為角色和功能新增的一部分安裝。

註:  區分大小寫，因此它會與「信賴方信任」屬性的「識別符號」頁籤中的設定進行匹配（包括大小寫）。

註：從UCCX 12.0版起，Cisco IdS支援SHA-256。信賴方信任使用SHA-256對SAML請求進行簽名，並期待來自ADFS的響應相同。

用於聯合ADFS的多域配置

在ADFS中的聯合情況下，特定域中的ADFS為其他已配置域中的使用者提供聯合SAML身份驗證，因此需要其他配置。

在本節中，術語「主ADFS」是指必須在IdS中使用的ADFS。術語「聯合ADFS」表示這些ADFS，其使用者可以通過IdS登入，從而成為主ADFS。

聯合ADFS配置

在每個聯合ADFS中，必須為主ADFS建立信賴方信任，並且必須按照上一節所述配置宣告規則。

主ADFS配置

對於主ADFS，除針對IdS的信賴方信任外，還需要此附加配置。

新增 Claim Provider Trust 設定聯合的ADFS。

在宣告提供程式信任中，確保 Pass through or Filter an Incoming Claim 規則配置為傳遞所有宣告值作為選項：

• 名稱ID
• 從中選擇名稱ID Incoming Claim Type 收存箱
• 選擇 Transient 作為傳入NameID格式的選項
• uid：這是一個自定義宣告。在CLI中輸入值uid Incoming Claim Type 收存箱
• user_principal：這是一個自定義宣告。在CLI中鍵入值user_principal Incoming Claim Type 收存箱

在IdS的信賴方信任中，新增 Pass though or Filter an Incoming Claim 以傳遞所有宣告值作為選項的規則。

• 名稱IDFromSubdomain
• 從中選擇名稱ID Incoming Claim Type 收存箱
• 選擇 Transient 作為傳入NameID格式的選項
• uid：這是一個自定義宣告。在中鍵入值uid Incoming Claim Type 收存箱
• user_principal：這是一個自定義宣告。在CLI中鍵入值user_principal Incoming Claim Type 收存箱

ADFS自動證書滾動更新

UCCX 11.6.1及更高版本支援自動證書滾動更新。(UCCX 11.6中的Fedlet庫升級到版本14.0解決了此問題。)

Kerberos驗證（整合Windows驗證）

整合的Windows身份驗證(IWA)為使用者提供身份驗證機制，但不允許通過網路傳輸憑證。啟用整合的Windows身份驗證時， 基於票證工作，以允許節點通過非安全網路進行通訊，從而以安全的方式證明其相互之間的身份。它允許使用者在登入到其Windows電腦後登入到域。

注意：僅從11.6及更高版本支援Kerberos身份驗證。

已登入到域控制器(DC)的域使用者可無縫登入到SSO客戶端，而無需重新輸入憑據。對於非域使用者，IWA回退到新技術區域網管理器(NTLM)，並顯示登入對話方塊。使用IWA驗證的IdS的限定是使用Kerberos針對ADFS 3.0完成的。

步驟1.開啟Windows命令提示符並以管理員使用者身份運行，以便使用 setspn 指令 setspn -s http/ \ .

步驟2.禁用窗體身份驗證並為Intranet站點啟用Windows身份驗證。導航至 ADFS Management > Authentication Policies > Primary Authentication > Global Settings > Edit.在Intranet下，確保只選中Windows身份驗證(取消選中「表單身份驗證」)。

Microsoft Internet Explorer for IWA支援的配置

步驟1. 確保 Internet Explorer > Advanced > Enable Integrated Windows Authentication 已選中。

步驟2. 必須將ADFS URL新增到 Security > Intranet zones > Sites  (winadcom215.uccx116.com 是ADFS URL)。

步驟3. 確保Internet Explorer > Security > Local Intranet > Security Settings > User Authentication - Logon  配置為使用intranet站點的登入憑據。

用於IWA支援的Mozilla Firefox所需的配置

步驟1.進入Firefox的配置模式。開啟Firefox並輸入 about:config  在URL中。接受風險陳述。

步驟2.搜尋 ntlm  並啟用 network.automatic-ntlm-auth.allow-non-fqdn  將其設定為真。

步驟3.設定 network.automatic-ntlm-auth.trusted-uris  域或顯式的ADFS URL。

用於IWA支援的Google Chrome所需配置

Windows中的Google Chrome使用Internet Explorer設定，因此在Internet Explorer中進行配置 Tools > Internet Options 對話方塊，或者從下面的「控制面板」 Internet Options 在子類別內 Network and Internet.

SSO的進一步配置

本文檔從SSO的IdP方面描述了配置，以便與思科IdS整合。有關詳細資訊，請參閱各個產品配置指南：

• UCCX
• UCCE
• PCCE

驗證

此過程用於確定是否在Cisco IdS和IDP之間正確建立了信賴方信任。

• 在瀏覽器中輸入URL https://<ADFS_FQDN>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<IDS_FQDN>
• ADFS提供登入表單。如果上述配置正確，則此選項可用。
• 成功驗證後，瀏覽器必須重定向至https://<IDS_FQDN>:8553/ids/saml/response，此時將顯示核對清單頁面。

註：作為驗證過程的一部分顯示的「核對清單」頁不是錯誤，而是確認信任已正確建立。

疑難排解

如需疑難排解，請參閱https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200662-ADFS-IdS-Troubleshooting-and-Common-Prob.html。

UCCX SSO繞過/恢復URL

• Cisco Unified CCX管理
• Cisco Unified CCX可維護性

禁用SSO

• GUI：導航至 CCX Administration > Single Sign-On (SSO) > Disable.
• CLI: set authmode non_sso (此命令必須同時禁用Pub和Sub的SSO — 如果出現高可用性(HA)群集，則可從UCCX節點上的任一節點執行)。

螢幕截圖

CCX管理 — 非SSO

CCX管理 — 啟用SSO

Finesse登入 — 非SSO

Finesse登入 — 啟用SSO

CUIC — 非SSO

CUIC — 啟用SSO