Fehlerbehebung bei UCCE SSO-Integration mit Azure IdP

Download-Optionen

  • PDF     (242.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (82.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (69.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. April 2021
Dokument-ID:217089

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie einige häufige Probleme beheben, die bei der UCCE SSO-Integration mit Microsoft Azure IdP auftreten.

    Unterstützt von Anurag Atul Agarwal, Cisco TAC Engineer.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Security Assertion Markup Language (SAML) 2.0
    • Cisco Unified Contact Center/Packaged Contact Center Enterprise - UCCE/PCCE
    • Single Sign On (SSO)
    • Cisco Identity Service (IDs)
    • Identitätsanbieter (IdP)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Azure-IDp
    • UCCE 12.0.1
    • Cisco IDs 12.0.1

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    In diesem Dokument werden einige der häufigsten Probleme bei der Integration von Cisco Identity Service (IdS) und Identity Provider (IdP) für Azure-basierte SSO sowie deren potenzielle Korrekturen beschrieben.  Es wird immer empfohlen, diese Protokolle zu sammeln, um Probleme mit der SSO-Integration zu beheben:

    • Cisco IDs-Protokolle: Link zur Sammlung: IDS-Protokolle
    • Browser-Konsolenprotokolle
    • Alle Protokolle von IdP

    Problem: Zertifikat stimmt nicht überein

    Test-SSO schlägt fehl mit der Meldung 'IdS konnte die SAML-Antwort nicht verarbeiten, obwohl die Authentifizierung erfolgreich war', und die IdS-Protokolle drucken die Fehlermeldung: "SAML-Antwortverarbeitung fehlgeschlagen mit Ausnahme com.sun.identity.saml2.common.SAML2Ausnahme: Das Signaturzertifikat stimmt nicht mit den in den Entitätsmetadaten definierten Zertifikaten überein."

    Lösung

    Überprüfen des Zertifikats und Festlegen des Signierungsalgorithmus in Azure Stellen Sie sicher, dass er mit dem unterstützten Hashalgorithmus übereinstimmt, der auf der IdS-Version basiert. Siehe Kapitel "Single Sign-On" im Funktionsleitfaden und überprüfen Sie den unterstützten sicheren Hash-Algorithmus. Laden Sie die neueste IdP-Metadatendatei herunter und laden Sie sie über die Identity Service Management-Benutzeroberfläche in Cisco IdS hoch.

    Problem: ADSTS900235 - Problem mit Authentifizierungskontext

    Test SSO wird auf die Microsoft-Seite umgeleitet und schlägt mit folgender Meldung fehl: "Sie können sich leider nicht anmelden."
    ADSTS900235: Der RequestedAuthenticationContext Comparison-Wert der SAML-Authentifizierungsanforderung muss Exact sein. Empfangener Wert: Minimum

    Lösung

    AuthContext muss möglicherweise wie in Fehler CSCvm69290 beschrieben angepasst werden. . Wenden Sie sich an das Cisco TAC, um die Problemumgehung in IDs durchzuführen.

    Problem: SAML-Antwort ist nicht signiert

    Test SSO schlägt mit Meldung fehl, IdS konnte die SAML-Antwort nicht verarbeiten, obwohl die Authentifizierung erfolgreich war' und IdS-Protokolle die Fehlermeldung ausgeben: "SAML-Antwortverarbeitung fehlgeschlagen mit Ausnahme com.sun.identity.saml2.common.SAML2Ausnahme: Antwort ist nicht signiert."

    Lösung

    Azure IdP muss eine signierte Assertion an IdS senden. Azure-Einstellung ändern, sodass die Signierungsoption aktiviert ist: SAML-Antwort und -Assertion signieren

    Problem: Problem mit Anspruchsregeln

    Test-SSO schlägt fehl mit der Meldung 'IdP-Konfigurationsfehler: SAML-Verarbeitung fehlgeschlagen. Der Benutzerprinzipal konnte nicht aus der SAML-Antwort abgerufen werden.' und die IDs-Protokolle geben die Fehlermeldung aus: "Die SAML-Antwortverarbeitung ist mit der Ausnahme com.sun.identity.saml.common.SAMLException: Der Benutzerprinzipal konnte nicht aus der SAML-Antwort abgerufen werden."

    Lösung

    Dieser Fehler weist auf falsche Forderungsnamen hin, die in Azure konfiguriert wurden. Dies kann bei anderen Attributen wie UID, NameID usw. der Fall sein, und ähnliche Fehler mit unterschiedlichen Attributnamen werden generiert. Um dies zu beheben, suchen Sie ein beliebiges Attribut in Azure in diesem Format: 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<Attributname>'. Entfernen Sie alles vor dem eigentlichen Attributnamen.

    Dieser Abschnitt enthält die Beispielkonfiguration für ADFS im Funktionsleitfaden, die in Azure repliziert werden muss.

    ADFS-Beispielkonfiguration

    Problem: ADSTS50011 - Antwort-URL stimmt nicht überein

    Test SSO wird auf die Microsoft-Seite umgeleitet und schlägt mit folgender Meldung fehl: "Sie können sich leider nicht anmelden.
    ADSTS50011: Die in der Anforderung angegebene Antwort-URL stimmt nicht mit der Antwort-URL überein, die für die Anwendung konfiguriert wurde."

    Lösung

    Wenden Sie sich an das Cisco TAC. Der Parameter "Assertion Consumer Service" muss im Root des IdS-Knotens überprüft werden, wenn dies fehlschlägt. Wenn der Parameter richtig ist, muss Microsoft Azure eine Fehlerbehebung durchführen. 

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Apr-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Anurag Atul Agarwal
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.