In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die SAML (Security Assertion Markup Language) Single Sign-On (SSO) für Cisco Unity Connection (UCXN) konfiguriert und verifiziert wird.
Damit SAML SSO funktioniert, müssen Sie die richtige NTP-Konfiguration installieren und sicherstellen, dass die Zeitdifferenz zwischen dem Identity Provider (IdP) und den Unified Communications-Anwendungen drei Sekunden nicht überschreitet. Weitere Informationen zur Synchronisierung von Uhren finden Sie im Abschnitt "NTP Settings" (NTP-Einstellungen) im Administratorleitfaden für das Cisco Unified Communications-Betriebssystem.
Unified Communications-Anwendungen können DNS verwenden, um vollständig qualifizierte Domänennamen (FQDNs) in IP-Adressen aufzulösen. Die Service Provider und die IdP müssen vom Browser auflösbar sein.
Active Directory Federation Service (AD FS) Version 2.0 muss installiert und konfiguriert werden, um SAML-Anfragen zu bearbeiten.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
SAML ist ein XML-basiertes, offenes Datenformat für den Datenaustausch. Es ist ein Authentifizierungsprotokoll, das von Service Providern zur Authentifizierung eines Benutzers verwendet wird. Die Informationen zur Sicherheitsauthentifizierung werden zwischen einem IdP und dem Service Provider weitergegeben.
SAML ist ein offener Standard, der es Clients ermöglicht, sich gegen jeden SAML-fähigen Collaboration- (oder Unified Communication-) Service zu authentifizieren, unabhängig von der Client-Plattform.
Alle Cisco Unified Communication-Webschnittstellen, wie z. B. Cisco Unified Communications Manager (CUCM) oder UCXN, verwenden das SAML Version 2.0-Protokoll in der SAML SSO-Funktion. Um den LDAP-Benutzer (Lightweight Directory Access Protocol) zu authentifizieren, delegiert UCXN eine Authentifizierungsanforderung an die IDP. Diese vom UCXN generierte Authentifizierungsanfrage ist eine SAML-Anforderung. Die IDP authentifiziert und gibt eine SAML-Assertion zurück. Die SAML-Assertion zeigt entweder Yes (authentifiziert) oder No (Authentifizierung fehlgeschlagen) an.
Mit SAML SSO kann sich ein LDAP-Benutzer mit einem Benutzernamen und einem Kennwort, die sich auf dem IdP authentifizieren, bei Client-Anwendungen anmelden. Wenn Sie die SAML SSO-Funktion aktiviert haben, erhalten Benutzer, die sich bei einer der unterstützten Webanwendungen für Unified Communication-Produkte anmelden, auch Zugriff auf diese Webanwendungen auf UCXN (außer CUCM und CUCM IM und Presence):
Unity Connection-Benutzer |
Webanwendungen |
---|---|
LDAP-Benutzer mit Administratorrechten |
|
LDAP-Benutzer ohne Administratorrechte |
|
Tipp: Wenn Sie LDAP über SSL konfigurieren, laden Sie das LDAP-Verzeichniszertifikat auf den CUCM hoch. Informationen zum Synchronisierungsmechanismus für bestimmte LDAP-Produkte und allgemeine Best Practices für die LDAP-Synchronisierung finden Sie im LDAP-Verzeichnisinhalt im Cisco Unified Communications Manager SRND.
Hinweis: Vergewissern Sie sich, dass der Cisco DirSync-Dienst auf der Webseite Serviceability aktiviert ist, bevor Sie auf Save (Speichern) klicken.
Vorsicht: Wenn Sie eine Administratorvorlage angeben, verfügen die Benutzer nicht über Mailboxen.
Hinweis: Dieses Konfigurationsbeispiel basiert auf selbstsignierten UCXN- und AD FS-Zertifikaten. Falls Sie Zertifikate der Zertifizierungsstelle (Certificate Authority, CA) verwenden, müssen entsprechende Zertifikate sowohl auf AD FS als auch auf UCXN installiert sein. Weitere Informationen finden Sie unter Zertifikatsverwaltung und -validierung.
Obligatorische Anmerkung: Führen Sie den SSO-Test für UCXN-Teilnehmer aus, wenn es sich um ein Cluster zur Aktivierung von SAML SSO handelt. AD FS muss für alle UCXN-Knoten in einem Cluster konfiguriert werden.
Tipp: Wenn Sie die XML-Metadaten aller Knoten auf IDs konfigurieren und die SSO-Operation auf einem Knoten aktivieren, wird die SAML SSO auf allen Knoten im Cluster automatisch aktiviert.
Öffnen Sie einen Webbrowser, und geben Sie den FQDN von UCXN ein. Unter Installierte Anwendungen sehen Sie eine neue Option namens Recovery URL, um Single Sign-on (SSO) zu umgehen. Wenn Sie auf den Link Cisco Unity Connection klicken, werden Sie vom AD FS zur Eingabe der Anmeldeinformationen aufgefordert. Nachdem Sie die Anmeldeinformationen des Benutzer-SSO eingegeben haben, werden Sie erfolgreich bei der Seite Unity Administration (Unity-Administration), Unified Serviceability (Unified Serviceability), angemeldet.
Hinweis: SAML SSO ermöglicht keinen Zugriff auf folgende Seiten:
- Prime Licensing Manager
- Betriebssystemverwaltung
- Disaster Recovery System
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Weitere Informationen finden Sie unter Problembehandlung bei SAML SSO für Collaboration-Produkte 10.x.