Einleitung
In diesem Dokument wird beschrieben, wie Sie einige häufige Probleme beheben, die bei der UCCE SSO-Integration mit Microsoft Azure IdP auftreten.
Unterstützt von Anurag Atul Agarwal, Cisco TAC Engineer.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Security Assertion Markup Language (SAML) 2.0
- Cisco Unified Contact Center/Packaged Contact Center Enterprise - UCCE/PCCE
- Single Sign On (SSO)
- Cisco Identity Service (IDs)
- Identitätsanbieter (IdP)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Azure-IDp
- UCCE 12.0.1
- Cisco IDs 12.0.1
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
In diesem Dokument werden einige der häufigsten Probleme bei der Integration von Cisco Identity Service (IdS) und Identity Provider (IdP) für Azure-basierte SSO sowie deren potenzielle Korrekturen beschrieben. Es wird immer empfohlen, diese Protokolle zu sammeln, um Probleme mit der SSO-Integration zu beheben:
- Cisco IDs-Protokolle: Link zur Sammlung: IDS-Protokolle
- Browser-Konsolenprotokolle
- Alle Protokolle von IdP
Problem: Zertifikat stimmt nicht überein
Test-SSO schlägt fehl mit der Meldung 'IdS konnte die SAML-Antwort nicht verarbeiten, obwohl die Authentifizierung erfolgreich war', und die IdS-Protokolle drucken die Fehlermeldung: "SAML-Antwortverarbeitung fehlgeschlagen mit Ausnahme com.sun.identity.saml2.common.SAML2Ausnahme: Das Signaturzertifikat stimmt nicht mit den in den Entitätsmetadaten definierten Zertifikaten überein."
Lösung
Überprüfen des Zertifikats und Festlegen des Signierungsalgorithmus in Azure Stellen Sie sicher, dass er mit dem unterstützten Hashalgorithmus übereinstimmt, der auf der IdS-Version basiert. Siehe Kapitel "Single Sign-On" im Funktionsleitfaden und überprüfen Sie den unterstützten sicheren Hash-Algorithmus. Laden Sie die neueste IdP-Metadatendatei herunter und laden Sie sie über die Identity Service Management-Benutzeroberfläche in Cisco IdS hoch.
Problem: ADSTS900235 - Problem mit Authentifizierungskontext
Test SSO wird auf die Microsoft-Seite umgeleitet und schlägt mit folgender Meldung fehl: "Sie können sich leider nicht anmelden."
ADSTS900235: Der RequestedAuthenticationContext Comparison-Wert der SAML-Authentifizierungsanforderung muss Exact sein. Empfangener Wert: Minimum
Lösung
AuthContext muss möglicherweise wie in Fehler CSCvm69290 beschrieben angepasst werden. . Wenden Sie sich an das Cisco TAC, um die Problemumgehung in IDs durchzuführen.
Problem: SAML-Antwort ist nicht signiert
Test SSO schlägt mit Meldung fehl, IdS konnte die SAML-Antwort nicht verarbeiten, obwohl die Authentifizierung erfolgreich war' und IdS-Protokolle die Fehlermeldung ausgeben: "SAML-Antwortverarbeitung fehlgeschlagen mit Ausnahme com.sun.identity.saml2.common.SAML2Ausnahme: Antwort ist nicht signiert."
Lösung
Azure IdP muss eine signierte Assertion an IdS senden. Azure-Einstellung ändern, sodass die Signierungsoption aktiviert ist: SAML-Antwort und -Assertion signieren
Problem: Problem mit Anspruchsregeln
Test-SSO schlägt fehl mit der Meldung 'IdP-Konfigurationsfehler: SAML-Verarbeitung fehlgeschlagen. Der Benutzerprinzipal konnte nicht aus der SAML-Antwort abgerufen werden.' und die IDs-Protokolle geben die Fehlermeldung aus: "Die SAML-Antwortverarbeitung ist mit der Ausnahme com.sun.identity.saml.common.SAMLException: Der Benutzerprinzipal konnte nicht aus der SAML-Antwort abgerufen werden."
Lösung
Dieser Fehler weist auf falsche Forderungsnamen hin, die in Azure konfiguriert wurden. Dies kann bei anderen Attributen wie UID, NameID usw. der Fall sein, und ähnliche Fehler mit unterschiedlichen Attributnamen werden generiert. Um dies zu beheben, suchen Sie ein beliebiges Attribut in Azure in diesem Format: 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<Attributname>'. Entfernen Sie alles vor dem eigentlichen Attributnamen.
Dieser Abschnitt enthält die Beispielkonfiguration für ADFS im Funktionsleitfaden, die in Azure repliziert werden muss.
ADFS-Beispielkonfiguration
Problem: ADSTS50011 - Antwort-URL stimmt nicht überein
Test SSO wird auf die Microsoft-Seite umgeleitet und schlägt mit folgender Meldung fehl: "Sie können sich leider nicht anmelden.
ADSTS50011: Die in der Anforderung angegebene Antwort-URL stimmt nicht mit der Antwort-URL überein, die für die Anwendung konfiguriert wurde."
Lösung
Wenden Sie sich an das Cisco TAC. Der Parameter "Assertion Consumer Service" muss im Root des IdS-Knotens überprüft werden, wenn dies fehlschlägt. Wenn der Parameter richtig ist, muss Microsoft Azure eine Fehlerbehebung durchführen.