Introducción
Este documento describe la configuración de Microsoft Azure como proveedor de identidad (IdP) para el inicio de sesión único (SSO) en Unified Contact Center Enterprise (UCCE) con lenguaje de marcado de aserción de seguridad (SAML) y Cisco Identity Service (IDS).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- SAML 2.0
- Cisco UCCE y Packaged Contact Center Enterprise (PCCE)
- SSO
- IDS
- IdP
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Azure IdP
- UCCE 12.0.1, 12.5.1, 12.5.2, 12.6.1 y 12.6.2
- IdS 12.0.1, 12.5.1, 12.52, 12.6.1 y 12.6.2 de Cisco
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
1. Exportar archivos de metadatos de UCCE
El IDS de Cisco proporciona autorización entre el IdP y las aplicaciones.
Cuando se configura Cisco IDS, se configura un intercambio de metadatos entre Cisco IDS y el IdP. Este intercambio establece una relación de confianza que permite a las aplicaciones utilizar el IDS de Cisco para SSO. La relación de confianza se establece cuando se descarga un archivo de metadatos desde el IDS de Cisco y se carga en el IdP.
1.1. Procedimiento
- En Unified CCE Administration, vaya a
Features > Single Sign-On
.
- Haga clic en
Identity Service Management
y se abre la ventana Cisco Identity Service Management
- Escriba el
User Name
y, a continuación, en Next
.
- Escriba el
password
y, a continuación, en Sign In
.
- Se abre la página Cisco Identity Service Management (Administración de servicios de identidad de Cisco), que muestra los iconos Nodos, Configuración y Clientes en el panel izquierdo.
- Haga clic en
Nodes
.
- La página Nodos se abre en la vista general de nivel de nodo e identifica qué nodos están en servicio. La página también proporciona los detalles de caducidad del certificado SAML para cada nodo, que indican cuándo vencerá el certificado. Las opciones de estado del nodo son No configurado, En servicio, Servicio parcial y Fuera de servicio. Haga clic en un estado para ver más información. La estrella situada a la derecha de uno de los nombres de nodo identifica el nodo que es el editor principal.
- Haga clic en
Settings
.
- Haga clic en
IdS Trust
.
- Para iniciar la relación de confianza de Cisco IdS, configurada entre Cisco IdS y el IdP, haga clic en
Download Metadata File
para descargar el archivo desde Cisco IdS Server.
2. Generar firma de certificado para respuestas de Azure
Si tiene instalado OpenSSL, genere un certificado para Azure y aprovisiónelo en la aplicación de Azure. Azure incluye este certificado en su exportación de metadatos IdP y lo utiliza para firmar las afirmaciones SAML que envía a UCCE.
Si no dispone de OpenSSL, utilice la CA de la empresa para generar un certificado.
2.1 Procedimiento (OpenSSL)
Este es el procedimiento para crear un certificado mediante OpenSSL
- Cree un certificado y una clave privada:
openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem
- Combine el certificado y la clave en un archivo PFX protegido mediante contraseña, que requiere Azure. Asegúrese de anotar la contraseña.
openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem
- Genere un único certificado para UCCE.
- Cargue el certificado en el IdP de Azure.
3. Configurar aplicación personalizada de Azure
Antes de configurar Azure, debe exportar los metadatos de UCCE desde UCCE IDS Publisher. Puede tener tanto el archivo XML de metadatos de UCCE como un certificado para la conexión IdP antes de iniciar estos pasos en Azure.
3.1. Procedimiento
- En Microsoft Azure, desplácese a
Enterprise Applications
y, a continuación, seleccione All Applications
.
- Para agregar una nueva aplicación, seleccione
New application
.
-
En la ventana Add an Application (Agregar una aplicación), siga estos pasos:
1. Haga clic Create your own application
(No de la galería).
2. Introduzca el nombre de la nueva aplicación (por ejemplo, UCCE) y pulse en Create
.
3. En la barra de navegación izquierda de la nueva aplicación, haga clic en Single sign-on
.
4. Haga clic SAML
.
5. El Set up Single Sign-On with SAML
aparecerá.
- Haga clic en
Upload metadata
y, a continuación, vaya a la UCCE metadata XML
archivo.
- Después de seleccionar y abrir el archivo, haga clic en
Add
.
-
Basic SAML Configuration
se rellena con el identificador (EntityID) y la URL de respuesta (URL de servicio de consumidor de aserción) para el servidor UCCE.
- Haga clic en
Save
.
- En el
User Attributes & Claims
sección, haga clic en Edit
:
- En Reclamación necesaria, haga clic en
Unique User Identifier
(ID de nombre).
- Para el formato del identificador de nombre, seleccione
Default
.
- Para el atributo Source, seleccione
user.onpremisessamaccountname
.
- Haga clic en
Save
.
- En Reclamaciones adicionales, elimine todas las reclamaciones existentes. Para cada justificante de venta, haga clic en (...) y seleccione Eliminar. Haga clic en Aceptar para confirmar.
- Haga clic en Agregar nueva reclamación para agregar el
uid
reivindicar
- En Nombre, introduzca
uid
.
- Deje el campo Espacio de nombres en blanco.
- Para Source (Origen), marque el botón de opción Attribute (Atributo).
- En el menú desplegable Atributo de origen, seleccione
user.givenname
(or user.onpremisessamaccountname
).
- Haga clic en
Save
.
- Agregue una nueva reclamación para agregar el
user_principal
reclamación.
- En Nombre, introduzca
user_principal
.
- Deje el campo Espacio de nombres en blanco.
- Para Source (Origen), marque el botón de opción Attribute (Atributo).
- En el menú desplegable Atributo de origen, seleccione
user.userprincipalname
.
- Haga clic en
Save
.
Instantánea de referencia que se va a configurar:
-
- Haga clic en
SAML-based Sign-on
para volver al resumen de SAML.
- En el
SAML Signing Certificate
sección, haga clic en Edit
:
- Establezca la Opción de firma en
Sign SAML Response and Assertion
.
- Establezca el algoritmo de firma en el algoritmo SHA adecuado. Por ejemplo, SHA-256.
- Haga clic en
Import Certificate
.
- En el
Certificate
, busque y abra el archivo certificate.pfx que se creó anteriormente.
- Introduzca la contraseña del certificado y haga clic en
Add
.
Este debe ser el único certificado de la lista y debe estar activo.
- Si este certificado no está activo, haga clic en los puntos adyacentes (...), seleccione Activar certificado y, a continuación, haga clic en Sí.
- Si hay otros certificados en la lista, haga clic en los puntos adyacentes (...) para esos certificados, seleccione Eliminar certificado y haga clic en Sí para eliminar esos certificados.
- Haga clic en
Save
.
- Descargue el
Federation Metadata XML
archivo.
- Habilite la aplicación en Azure y asigne usuarios:
Azure le proporciona la capacidad de asignar usuarios individuales para SSO con Azure o todos los usuarios. Supongamos que DU habilita SSO para todos los usuarios.
- En la barra de navegación izquierda, desplácese hasta
Enterprise Applications > UCCE
(o el nombre de la aplicación proporcionado por el usuario).
- Seleccionar
Manage > Properties
.
- ¿Desea que los usuarios inicien sesión? para
Yes
.
- ¿Establecer Visible para los usuarios? para
No
.
- Haga clic en
Save
.
Como comprobación final, compruebe el archivo de metadatos IdP y asegúrese de que el certificado que creó anteriormente está presente en el campo <X509Certificate> como el certificado de firma en el archivo de metadatos IdP. El formato es el siguiente:
<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
4. Cargar archivo de metadatos de Azure en UCCE
Antes de volver a UCCE IDS, debe tener el Federation Metadata XML
archivo descargado de Azure.
4.1 Procedimiento
- En Unified CCE Administration, vaya a
Features > Single Sign-On
.
- Haga clic en
Identity Service Management
y se abre la ventana Cisco Identity Service Management
- Escriba el
user name
y, a continuación, en Next
.
- Escriba el
password
y, a continuación, en Sign In
.
- Se abre la página Cisco Identity Service Management (Administración de servicios de identidad de Cisco), que muestra los iconos Nodos, Configuración y Clientes en el panel izquierdo.
- Haga clic en
Nodes
.
- La página Nodos se abre en la vista general de nivel de nodo e identifica qué nodos están en servicio. La página también proporciona los detalles de caducidad del certificado SAML para cada nodo, que indican cuándo vencerá el certificado. Las opciones de estado del nodo son No configurado, En servicio, Servicio parcial y Fuera de servicio. Haga clic en un estado para ver más información. La estrella situada a la derecha de uno de los nombres de nodo identifica el nodo que es el editor principal.
- Para cargar el
Federation Metadata XML
en Azure, busque el archivo.
- Vaya a la
Upload IdP Metadata
y cargue la página Federation Metadata XML
archivo.
- Cuando finaliza la carga del archivo, se recibe un mensaje de notificación. El intercambio de metadatos ha finalizado y la relación de confianza ya existe.
- Borrar la caché del navegador.
- Introduzca credenciales válidas cuando la página se redirija a IdP.
- Haga clic en
Next
.
-
Test SSO Setup
página se abre.
- Haga clic en
Test SSO Setup
.
- Aparece un mensaje que le indica que la configuración de Cisco IdS se ha realizado correctamente.
- Haga clic en
Settings
.
- Haga clic en
Security
.
- Haga clic en
Tokens
.
- Introduzca la duración de estos parámetros:
- Caducidad del token de actualización: el valor predeterminado es 10 horas. El valor mínimo es de 2 horas. El máximo es de 24 horas.
- Caducidad del código de autorización: el valor predeterminado es 1 minuto, que también es el mínimo. El tiempo máximo es de 10 minutos.
- Vencimiento del token de acceso: el valor predeterminado es 60 minutos. El valor mínimo es de 5 minutos. El tiempo máximo es de 120 minutos.
- Establezca el
Encrypt Token
(opcional); el valor predeterminado es On
.
- Haga clic en
Save
.
- Haga clic en
Keys and Certificates
.
- Se abre la página Generar claves y certificado SAML. Permite lo siguiente:
- Haga clic en Regenerar y vuelva a generar la clave de cifrado/firma. Aparece un mensaje que indica que el Registro de token se ha realizado correctamente y le aconseja reiniciar el sistema para completar la configuración.
- Haga clic en
Regenerate
y regenerar el certificado SAML. Aparece un mensaje que indica que la regeneración del certificado SAML se ha realizado correctamente.
- Haga clic en
Save
.
- Haga clic en
Clients
.
- Esta página identifica los clientes de Cisco IdS que ya existen y proporciona el nombre del cliente, la ID del cliente y una URL de redirección. Para buscar un cliente en particular, haga clic en el botón
Search
en la parte superior de la lista de nombres y escriba el nombre del cliente.
- Para agregar un cliente:
- Haga clic en
New
.
- Introduzca el nombre del cliente.
- Introduzca la URL de redirección. Para agregar más de una URL, haga clic en el icono más.
- Haga clic en
Add
(o haga clic en Clear
y haga clic en X
para cerrar la página y no agregar el cliente).
- Para editar o eliminar un cliente, resalte la fila del cliente y haga clic en los puntos suspensivos de Acciones.
- Luego:
- Haga clic en
Edit
para editar el nombre del cliente, la ID o la URL de redirección. En la página Editar cliente, realice cambios y haga clic en Save
(o haga clic en Borrar y, a continuación, haga clic en el botón X
para cerrar la página y no guardar las modificaciones).
- Haga clic en
Delete
para eliminar el cliente.
Nota: El certificado debe estar basado en el algoritmo hash seguro SHA-256.