AD FS Version 2.0 Setup für SAML SSO - Konfigurationsbeispiel

Download-Optionen

  • PDF     (1.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. Februar 2018
Dokument-ID:118771

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie der Active Directory Federation Service (AD FS) Version 2.0 konfiguriert wird, um Security Assertion Markup Language (SAML) Single Sign-on (SSO) für Cisco Collaboration-Produkte wie Cisco Unified Communications Manager (CUCM), Cisco Unity Connection (UCXN), CUCM IM and Presence und Cisco Prime Collaboration zu aktivieren.

    Voraussetzungen

    Anforderungen

    AD FS Version 2.0 muss installiert und getestet werden.

    Achtung: Diese Installationsanleitung basiert auf einem Lab-Setup. Es wird angenommen, dass AD FS Version 2.0 nur für SAML SSO mit Cisco Collaboration-Produkten verwendet wird. Falls es von anderen geschäftskritischen Anwendungen verwendet wird, muss die erforderliche Anpassung gemäß der offiziellen Microsoft-Dokumentation vorgenommen werden.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • AD FS Version 2.0
    • Microsoft Internet Explorer 10
    • CUCM-Version 10.5
    • Cisco IM und Presence Server Version 10.5
    • UCXN-Version 10.5
    • Cisco Prime Collaboration Provisioning 10.5

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Konfigurieren

    AD FS Version 2.0 Identity Provider (IdP)-Metadaten herunterladen

    Um IdP-Metadaten herunterzuladen, führen Sie den folgenden Link in Ihrem Browser aus: https://<FQDN of ADFS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Collaboration Server-Metadaten (SP) herunterladen

    CUCM IM- und Presence-Service

    Öffnen Sie einen Webbrowser, melden Sie sich als Administrator bei CUCM an, und navigieren Sie zu System > SAML Single Sign On.

    Unity Connection

    Öffnen Sie einen Webbrowser, melden Sie sich als Administrator bei UCXN an, und navigieren Sie zu Systemeinstellungen > SAML Single Sign On.

    Cisco Prime Collaboration-Bereitstellung

    Öffnen Sie einen Webbrowser, melden Sie sich bei Prime Collaboration Assurance als globaladmin an, und navigieren Sie zu Administration > System Setup > Single Sign On.

    Hinzufügen von CUCM als Vertrauenswürdigkeit der vertrauenden Seite

    1. Melden Sie sich beim AD FS-Server an, und starten Sie AD FS Version 2.0 über das Menü Microsoft Windows-Programme.

    2. Wählen Sie Vertrauenswürdigkeit für vertrauende Partei hinzufügen aus.

      Vertrauenswürdigkeit von vertrauenden Parteien hinzufügen



    3. Klicken Sie auf Start.

      Willkommen beim Assistenten zum Hinzufügen von Vertrauenswürdigkeit für vertrauende Parteien



    4. Wählen Sie die Option Daten über die vertrauende Partei aus einer Datei importieren aus, wählen Sie die SPMetadata_CUCM.xml-Metadatendatei aus, die Sie zuvor von CUCM heruntergeladen haben, und klicken Sie auf Weiter.

      Datenquelle auswählen



    5. Geben Sie Anzeigename ein, und klicken Sie auf Weiter.

      Hinzufügen des Anzeigenamens und der Notizen



    6. Wählen Sie Alle Benutzer für den Zugriff auf diese vertrauende Seite zulassen aus, und klicken Sie auf Weiter.

      Autorisierungsregeln für die Ausgabe auswählen



    7. Wählen Sie Öffnen des Dialogs Anspruchsregeln bearbeiten für die Vertrauensstellung der vertrauenden Seite, wenn der Assistent geschlossen wird, und klicken Sie auf Schließen.

      Bestätigen, dass die Vertrauensstellung der vertrauenden Partei erfolgreich hinzugefügt wurde



    8. Klicken Sie auf Regel hinzufügen.

      Ausstellungstransformationsregeln bearbeiten



    9. Klicken Sie auf Weiter mit Standardvorlage für Anspruchsregeln, um LDAP-Attribute als Ansprüche zu senden.

      Regelvorlage auswählen



    10. Geben Sie unter Configure Rule (Regel konfigurieren) den Namen der Anspruchsregel ein, wählen Sie Active Directory als Attributspeicher aus, konfigurieren Sie das LDAP-Attribut und den ausgehenden Anspruchstyp, wie in diesem Bild dargestellt, und klicken Sie auf Finish (Fertig stellen).

      Anmerkung:
      - Das LDAP-Attribut (Lightweight Directory Access Protocol) muss mit dem Directory Sync-Attribut auf CUCM übereinstimmen.
      - "uid" sollte in Kleinbuchstaben geschrieben werden.



      Regelname und -vorlage konfigurieren



    11. Klicken Sie auf Regel hinzufügen, wählen Sie Anträge mit einer benutzerdefinierten Regel als Anspruchsregelvorlage senden aus, und klicken Sie auf Weiter.

      Liste der Anspruchsregeln



      Regeltyp auswählen



    12. Geben Sie einen Namen für den Namen der Anspruchsregel ein, und kopieren Sie diese Syntax in den unter Benutzerdefinierte Regel angegebenen Leerraum:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of CUCM>");
      (HINWEIS: Wenn Sie den Text aus diesen Beispielen kopieren und einfügen, beachten Sie, dass einige Textverarbeitungssoftware die ASCII-Anführungszeichen (") durch die UNICODE-Versionen ("") ersetzen wird. Die UNICODE-Versionen führen dazu, dass die Anspruchsregel fehlschlägt.)


      Konfigurieren einer benutzerdefinierten Regel für CallManager



      Anmerkung:
       - Der vollqualifizierte CUCM- und ADFS-Domänenname (Fully Qualified Domain Name, FQDN) wird in diesem Beispiel mit dem Übungs-CUCM und dem AD FS vorbelegt und muss entsprechend Ihrer Umgebung geändert werden.
      - Bei FQDN von CUCM/ADFS wird die Groß-/Kleinschreibung beachtet und muss mit den Metadatendateien übereinstimmen.



    13. Klicken Sie auf Beenden.

    14. Klicken Sie auf Apply und dann auf OK.

    15. Starten Sie den AD FS-Dienst Version 2.0 von Services.msc neu.

    Hinzufügen von CUCM IM und Presence als vertrauensvoller Gesprächspartner

    1. Wiederholen Sie die Schritte 1 bis 11 für "CUCM als vertrauensvolle Partei hinzufügen" (Add CUCM as Relying Party Trust) beschrieben, und fahren Sie mit Schritt 2 fort.

    2. Geben Sie einen Namen für den Namen der Anspruchsregel ein, und kopieren Sie diese Syntax in den unter Benutzerdefinierte Regel angegebenen Leerraum:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of IMP>");


      Konfigurieren einer benutzerdefinierten Regel für IMP




      Beachten Sie, dass IM und Presence und AD FS FQDN in diesem Beispiel mit den Übungs-IM und Presence und AD FS vorbelegt sind und entsprechend Ihrer Umgebung geändert werden müssen.

    3. Klicken Sie auf Beenden.

    4. Klicken Sie auf Apply und dann auf OK.

    5. Starten Sie den AD FS-Dienst Version 2.0 von Services.msc neu.

    Hinzufügen von UCXN als Vertrauenswürdigkeit von vertrauenden Parteien

    1. Wiederholen Sie die Schritte 1 bis 12 für "CUCM als Vertrauensstellung der vertrauenden Partei hinzufügen" beschrieben, und fahren Sie mit Schritt 2 fort.

    2. Geben Sie einen Namen für den Namen der Anspruchsregel ein, und kopieren Sie diese Syntax in das unter Benutzerdefinierte Regel angegebene Leerzeichen:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of UCXN>");


      Konfigurieren einer benutzerdefinierten Regel für ICXN



      Beachten Sie, dass UCXN und AD FS-FQDN in diesem Beispiel mit dem Übungs-UCXN und ADFS vorbelegt sind und entsprechend Ihrer Umgebung geändert werden müssen.

    3. Klicken Sie auf Beenden.

    4. Klicken Sie auf Apply und dann auf OK.

    5. Starten Sie den AD FS-Dienst Version 2.0 von Services.msc neu.

    Cisco Prime Collaboration-Bereitstellung als Vertrauensstellung mit vertrauten Parteien hinzufügen

    1. Wiederholen Sie die Schritte 1 bis 12 für "CUCM als Vertrauensstellung der vertrauenden Partei hinzufügen" beschrieben, und fahren Sie mit Schritt 2 fort.

    2. Geben Sie einen Namen für den Namen der Anspruchsregel ein, und kopieren Sie diese Syntax in das unter Benutzerdefinierte Regel angegebene Leerzeichen:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://<FQDN of ADFS>/com/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<FQDN of PCP>");


      Konfigurieren einer benutzerdefinierten Regel für PCP



      Beachten Sie, dass in Prime Provisioning und AD FS FQDN die Übung Prime Collaboration Provisioning (PCP) und AD FS aus diesem Beispiel eingefügt wird und entsprechend Ihrer Umgebung geändert werden muss.

    3. Klicken Sie auf Beenden.

    4. Klicken Sie auf Apply und dann auf OK.

    5. Starten Sie den AD FS-Dienst Version 2.0 von Services.msc neu.


    Sobald Sie AD FS Version 2.0 eingerichtet haben, fahren Sie mit der Aktivierung von SAML SSO auf Cisco Collaboration-Produkten fort.

    Überprüfung

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    AD FS protokolliert Diagnosedaten im Systemereignisprotokoll.  Öffnen Sie im Server Manager auf dem AD FS-Server Diagnostics -> Event Viewer -> Applications and Services -> AD FS 2.0 -> Admin

    Nach Fehlern suchen, die für AD FS-Aktivität protokolliert wurden

    Server Manager-Ereignisanzeige

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    20-Jan-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • A M Mahesh Babu
      Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.