In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie der Fluss der Autorisierungscode-Zuschüsse auf Aktualisierungstoken basiert, um die Benutzerfreundlichkeit von Jabber auf verschiedenen Geräten zu verbessern, insbesondere bei Jabber on Mobile.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Weitere Informationen zu diesen Themen finden Sie unter:
Die Informationen in diesem Dokument basieren auf dieser Software:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Zum gegenwärtigen Zeitpunkt basiert der Jabber SSO-Fluss mit Infrastruktur auf Implicit Grant Flow, bei dem der CUCM Authz-Service die kurzlebigen Zugriffstoken zuweist.
Nach Ablauf des Tokens für den Zugriff leitet CUCM Jabber zur erneuten Authentifizierung an IDP um.
Dies führt zu einer schlechten Benutzererfahrung, insbesondere bei Jabber auf dem Mobilgerät, bei dem der Benutzer häufig aufgefordert wird, Anmeldeinformationen einzugeben.
Die Security Re-Architecture-Lösung bietet außerdem einen Fluss für Autorisierungscode (mit dem Ansatz "Refresh Tokens" (erweiterbar auf Endpunkte/andere Collaboration-Anwendungen)) für die Vereinheitlichung von Jabber- und Endpunkt-Login-Fluss für SSO- und Nicht-SSO-Szenarien.
Diese Funktion ist standardmäßig nicht aktiviert.
Schritt 1: Um dieses Feature zu aktivieren, navigieren Sie zu System > Enterprise Parameters (System > Enterprise-Parameter).
Schritt 2: Legen Sie den Parameter OAuth mit Refresh Login Flow auf Enabled (Aktiviert) fest, wie im Bild gezeigt.
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMjpjMjc3MGM5N2JkYTlkMzRmZDA1YTdlYTFhZWQzZTU0Y2E4MGJkZDdlZTM1ZDk3MDNiNjBiNTQ5MTBiZDQ0ODRiIn0.eyJwcml2YXRlIjoiZXlKaGJHY2lPaUprYVhJaUxDSmpkSGtpT2lKS1YxUWlMQ0psYm1NaU9pSkJNVEk0UTBKRExVaFRNalUySWl3aWEybGtJam9pT0dRd1pEVXpNalF0WmpSbU1DMDBZakJpTFRneE1XVXROR0UxT1daa1lqWmlOekl5T21Vd1ptUm1ZMk16WlRRMU5ERTFOV0ZpTkRJek5tRTJOMlV4T0RCbU1qWmxZMkl3WXpJeE56SXlOREJtWlRFellXWXlOak14TkRkalpHVXpNR1l3TjJJaWZRLi5xQWd6aGdRaTVMMkdlaDl5V2RvN25nLmdMTHNpaTRjQk50c1NEUXRJTE51RWRnWTl4WkJVczJ4YzBaeTFGQjZQNmNzWWJfZkRnaDRZby04V1NaNjUzdXowbnFOalpXT1E1dGdnYW9qMlp6ZFk2ZzN2SWFHbF9JWUtNdkNIWWNscmt4YUFGTk5MWExLQlJmaTA2LVk2V3l1dUdxNmpNWk5DbnlKX1pTbUpkVFQwc1Z4RTdGTXVxaUJsMElrRGdyVDdvOFNXMEY5cXFadndEZDJSaDdqNkRJWGdkS3VtOWltU2xNU1pjejhueVdic01Udk5yMWY0M25VenJzMHk5WWN6NnBDX0czZmlWYjJsX2VWLVFkcFh4TUo2bnZodXcydjRiUGVkM3VMQlpaVW1oQ3B6TUVDdW5NMlh1TVBrTGdlS1NqWG44aGhPRFNVcW1WQ0Uta3RZdnRBc2Q0RnJxcGNxWlZiS0ZiVTFRbU0wV2pMYVJtUk9IVllQVkc0a3FBdTRWalVMUzVCRWszNnZ4Nmp3U3BMUy1IdTcwbVRNcmR3dmV5Q2ZOYkhyT0FlVmVvekFIR3JqdGlmaFpmSFVUTWZiNkMtX2tOQVJGQWdDclZTZy0wUzlxb1JvTWVkUENETEE4MDJiaWwtNDJjOC15MWo4X1FVaC02UUtCV2dodVd4VWtBODRpekFFaWl0QTlsSHFKM3Nxd2JFNURkZmhIay05bTJfTTN5MWlWVkdoRVQ3ZW9XVDBqWllnRGRBQjFzUGwxLTlaSFNYYmsydTE3SkJVRV9FOXI0V0tWMnBqWGtiN0lQSWgtQ3JWQTZkcVdQRHVIbmx1V19wblNLYnYtTkZVbGQ0WEY3cmZLYmQySlg4eUhhX05pOVVVUnUwZVdsNWxGRUVabklubmFKZEdHLUZrb3VuN2xHSFlwSE4ydXVudmRnOHZVZzZsa0JPbmozeUFjc1ZTMGxKc1NWdUxFYldwd2c4YjdBdDM3d3AtMWt2Y1ZQaWpCQ1lCV181d2JzbTFYd2k4MVc2WHVpNzMzQVg3cEJVQnBfT2VRNzQ2ZXJJekNUUFZCYUpZUGJuZWEtdFhsU3RmZzBGeVRmbnhnX1Vzazl3QXJkemE4c204T0FQaWMxZmFQOG0uUTdFN0FVX2xUVnNmZFI2bnkydUdhQSJ9.u2fJrVA55NQC3esPb4kcodt5rnjc1o-5uEDdUf-KnCYEPBZ7t2CTsMMVVE3nfRhM39MfTlNS-qVOVpuoW_51NYaENXQMxfxlU9aXp944QiU1OeFQKj_g-n2dEINRStbtUc3KMKqtz38BFf1g2Z51sdlnBn4XyVWPgGCf4XSfsFIa9fF051awQ0LcCv6YQTGer_6nk7t6F1MzPzBZzja1abpm--6LNSzjPftEiexpD2oXvW8Vl0Z9ggNk5Pn3Ne4RzqK09J9WChaJSXkTTE5G39EZcePmVNtcbayq-L2pAK5weDa2k4uYMfAQAwcTOhUrwK3yilwqjHAamcG-CoiPZQ OAuth Refresh Token Expiry Timer” parameter in enterprise parameters page in CUCM. Path: System -> Enterprise parameters Values are integers ranging from 1 – 90 Minimum lifetime = 1 Day Default lifetime = 60 days Maximum lifetime = 90 days
Jedes neue Zugriffstoken wird ausgegeben, wenn ein Client um ein Token bittet. Der alte behält seine Gültigkeit, solange:
Beispiel-Zugriffstoken:
Im Folgenden finden Sie eine grobe Übersicht über den Anrufablauf:
run sql select * from refreshtokendetailsoder mit einem lesbaren Gültigkeitsdatum:
run sql select pkid,refreshtokenindex,userid,clientid,dbinfo('utc_to_datetime',validity) as validity,state from refreshtokendetails
Warnung: Aktualisierungstoken werden von der DB geleert, wenn die Gültigkeit abgelaufen ist. Der Timer-Thread wird täglich um 2 Uhr ausgeführt (nicht über die Benutzeroberfläche konfigurierbar, kann aber über ein Remote-Support-Konto geändert werden). Wenn die Tabelle eine große Anzahl von Zugriffs-Token enthält, sind diese ungültig und müssen entfernt werden. Dies kann zu einer CPU-Spitze führen.
Sample refresh token: eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMjpjMjc3MGM5N2JkYTlkMzRmZDA1YTdlYTFhZWQzZTU0Y2E4MGJkZDdlZTM1ZDk3MDNiNjBiNTQ5MTBiZDQ0ODRiIn0.eyJleHAiOjE1MDI2MjAwNTIsImlzcyI6IjhkMGQ1MzI0LWY0ZjAtNGIwYi04MTFlLTRhNTlmZGI2YjcyMiIsInR5cCI6InVzZXIiLCJ0aWQiOiJiOTkxMjIxZi1mNDJlLTRlNTItODg3MS1jODc2ZTYzNWRkNWIiLCJjdHlwIjoicmVmcmVzaCIsImNjaWQiOiJDM2IwYWZmZWZlMTQzOTA0MTY4M2U5YzJjMzdkMzZmNDM4ZWYwZWYyN2MwOTM4YWRjNjIyNmUwYzAzZDE2OWYyYSJ9.creRusfwSYAMAtttS2FIPAgIVvCiREvnzlouxeyGVndalJlMa-ZpRqv8FOBrsYwqEyulrl-TeM8XGGQCUvFaqO9IkhJqSYz3zvFvvySWzDhl_pPyWIQteAhL1GaQkue6a5ZegeHRp1sjEczKMLC6H68CHCfletn5-j2FNrAUOX99Vg5h4mHvlhfjJEel3dU_rciAIni12e3LOKajkzFxF6W0cXzzujyi2yPbY9gZsp9HoBbkkfThaZQbSlCEpvB3t7yRfEMIEaHhEUU4M3-uSybuvitUWJnUIdTONiWGRh_fOFR9LV3Iv9J54dbsecpsncc369pYhu5IHwvsglNKEQ
Admin kann alle Aktualisierungstoken für einen Benutzer oder reine Geräte-Aktualisierungstoken für einen Benutzer über Benutzer-ID oder Benutzer-ID und ClientID widerrufen.
So widerrufen Sie gerätebasierte RTs für einen Benutzer:
Signatur- und Verschlüsselungsschlüssel
Das Bild zeigt die Wiederherstellung von Autz-Zertifikaten (Signaturschlüssel) auf der Seite Cisco Unified OS Administration auf CUCM.
Die Wiederherstellung des Signaturschlüssels Authz mithilfe des CLI-Befehls wird im Bild gezeigt.
Admin kann mithilfe der CLI Authentifizierungs- und Verschlüsselungsschlüssel anzeigen. Der Hash des Schlüssels wird statt des ursprünglichen Schlüssels angezeigt.
Befehle zum Anzeigen von Schlüsseln sind:
Signaturschlüssel: Schlüsselauthentifizierungssignierung anzeigen und wie im Bild gezeigt.
Verschlüsselungsschlüssel: Schlüsselauthentifizierungsverschlüsselung anzeigen und wie im Bild gezeigt.
Anmerkung: Die Authentisierung der Signierung und Verschlüsselung sind immer unterschiedlich.
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Wenn OAuth auf dem Cisco Unity Connection (CUC)-Server verwendet werden soll, muss der Netzwerkadministrator zwei Schritte ausführen.
Schritt 1: Konfigurieren Sie den Unity Connection Server so, dass die Token-Signierungs- und Verschlüsselungsschlüssel des OAuth vom CUCM abgerufen werden.
Schritt 2: Aktivieren Sie OAuth-Dienste auf dem CUC-Server.
Hinweis: Um die Signierungs- und Verschlüsselungsschlüssel abzurufen, muss Unity mit den CUCM-Hostdetails konfiguriert werden, und ein Benutzerkonto, das für den CUCM AXL Access aktiviert ist. Wenn dies nicht konfiguriert ist, kann der Unity Server das OAuth-Token nicht vom CUCM abrufen, und die Voicemail-Anmeldung für die Benutzer kann nicht verfügbar sein.
Navigieren Sie zu Cisco Unity Connection Administration > System Settings > Authz Servers.
Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.
Anmerkung: Wenn OAuth verwendet wird und die Benutzer von Cisco Jabber sich nicht anmelden können, überprüfen Sie stets die Signierungs- und Verschlüsselungsschlüssel von den CUCM- und Instant Messaging and Presence (IM&P)-Servern.
Die Netzwerkadministratoren müssen diese beiden Befehle auf allen CUCM- und IM&P-Knoten ausführen:
Wenn die Ausgaben für die Signaturauthentifizierung und die Verschlüsselungsauthentifizierung nicht mit allen Knoten übereinstimmen, müssen sie neu generiert werden. Dazu müssen diese beiden Befehle auf allen CUCM- und IM&P-Knoten ausgeführt werden:
Anschließend muss der Cisco Tomcat Service auf allen Knoten neu gestartet werden.
Diese Fehlerzeile ist nicht nur in der Schlüsselübereinstimmung enthalten, sondern auch in den Cisco Jabber-Protokollen:
2021-03-30 14:21:49,631 WARN [0x0000264c] [vices\impl\system\SingleSignOn.cpp(1186)] [Single-Sign-On-Logger] [CSFUnified::SingleSignOn::Impl::handleRefreshTokenFailure] - Failed to get valid access token from refresh token, maybe server issue.
Die so-App-Protokolle werden an folgenden Stellen generiert:
Bereitstellung von OAuth mit Cisco Collaboration Solution, Version 12.0
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
18-Mar-2022 |
Grammatikaktualisierungen. |
1.0 |
09-Feb-2018 |
Erstveröffentlichung |