Introduction

Ce document décrit la configuration de Microsoft Azure en tant que fournisseur d'identité (IdP) pour l'authentification unique (SSO) dans Unified Contact Center Enterprise (UCCE) avec le langage SAML (Security Assertion Markup Language) et Cisco Identity Service (IDS).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• SAML 2.0 
• Cisco UCCE et Packaged Contact Center Enterprise (PCCE)
• SSO
• IDS
• fournisseur d'identité

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Azure IdP
• UCCE 12.0.1, 12.5.1, 12.5.2, 12.6.1 et 12.6.2
• ID Cisco 12.0.1, 12.5.1, 12.52, 12.6.1 et 12.6.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

1. Exporter les fichiers de métadonnées UCCE

Le Cisco IDS fournit une autorisation entre le fournisseur d'identité et les applications.

Lorsque Cisco IDS est configuré, un échange de métadonnées est configuré entre Cisco IDS et le fournisseur d'identité. Cet échange établit une relation de confiance qui permet aux applications d'utiliser Cisco IDS pour SSO. La relation d'approbation est établie lorsqu'un fichier de métadonnées est téléchargé à partir du Cisco IDS et téléchargé vers le fournisseur d'identité.

1.1. Procédure

• Dans Unified CCE Administration, accédez à  Features > Single Sign-On .
• Cliquer  Identity Service Management  et la fenêtre Cisco Identity Service Management s'ouvre
• Saisissez la commande  User Name , puis cliquez sur  Next.
• Saisissez la commande  password , puis cliquez sur  Sign In.
  • La page Cisco Identity Service Management s'ouvre et affiche les icônes Nodes, Settings et Clients dans le volet de gauche.
• Cliquer  Nodes.
  • La page Noeuds s'ouvre sur la vue globale au niveau du noeud et identifie les noeuds en service. La page fournit également les détails d'expiration du certificat SAML pour chaque noeud, qui indiquent quand le certificat doit expirer. Les options d'état du noeud sont Non configuré, En service, Service partiel et Hors service. Cliquez sur un état pour afficher plus d'informations. L’étoile située à droite de l’un des noms de noeud identifie le noeud qui est l’éditeur principal.
• Cliquer  Settings.
• Cliquer  IdS Trust.
• Pour commencer la relation d'approbation des ID Cisco, configurer entre les ID Cisco et le fournisseur d'ID, cliquez sur Download Metadata File pour télécharger le fichier à partir du serveur Cisco IdS.

2. Générer la signature de certificat pour les réponses Azure

Si OpenSSL est installé, générez un certificat pour Azure et mettez-le en service sur l'application Azure. Azure inclut ce certificat dans son exportation de métadonnées IdP et l'utilise pour signer les assertions SAML qu'il envoie à UCCE.

Si vous ne disposez pas d'OpenSSL, utilisez votre autorité de certification d'entreprise pour générer un certificat.

2.1 Procédure (OpenSSL)

Voici la procédure pour créer un certificat via OpenSSL

• Créez un certificat et une clé privée :

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 1095 -out certificate.pem

• Combinez le certificat et la clé dans un fichier PFX protégé par mot de passe, qui est requis par Azure. Veillez à prendre note du mot de passe.

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in certificate.pem 

• Générez un certificat unique pour UCCE.
• Téléchargez le certificat vers l'IdP Azure.

3. Configurer l'application personnalisée Azure

Avant de configurer Azure, vous devez exporter les métadonnées UCCE à partir de UCCE IDS Publisher. Vous pouvez disposer à la fois du fichier XML de métadonnées UCCE et d'un certificat pour la connexion IdP avant de commencer ces étapes sur Azure.

3.1. Procédure

• Dans Microsoft Azure, accédez à  Enterprise Applications  puis sélectionnez  All Applications.
• Pour ajouter une nouvelle application, sélectionnez New application .

• Dans la fenêtre Ajouter une application, procédez comme suit :
  1. Cliquez sur  Create your own application  (Hors galerie).
  2. Entrez le nom de votre nouvelle application (par exemple, UCCE) et cliquez sur  Create.
  3. Dans la barre de navigation de gauche de la nouvelle application, cliquez sur  Single sign-on .
  4. Cliquez sur  SAML .
  5. La  Set up Single Sign-On with SAML  s'affiche.
• Cliquer Upload metadata , puis accédez à la page UCCE metadata XML fichier.
• Après avoir sélectionné et ouvert le fichier, cliquez sur  Add .
  • Les Basic SAML Configuration renseigne avec Identifier (EntityID) et URL de réponse (Assertion consumer service URL) pour le serveur UCCE.
  • Cliquer  Save .
• Dans la User Attributes & Claims , cliquez sur Edit :
  • Sous Demande requise, cliquez sur Unique User Identifier (ID du nom).
  • Pour le format d'identificateur de nom, sélectionnez  Default.
  • Pour l'attribut Source, sélectionnez  user.onpremisessamaccountname .
  • Cliquer  Save.
  • Sous Revendications supplémentaires, supprimez toutes les revendications existantes. Pour chaque revendication, cliquez sur (...) et sélectionnez Supprimer. Cliquez sur OK pour confirmer.
  • Cliquez sur Ajouter une nouvelle revendication pour ajouter la  uid demande
  • Dans Nom, saisissez  uid.
  • Laissez le champ Espace de noms vide.
  • Pour Source, cochez la case d'option Attribut.
  • Dans la liste déroulante Attribut source, sélectionnez user.givenname (ou  user.onpremisessamaccountname.           
  • Cliquer  Save.
  • Ajoutez une nouvelle revendication pour ajouter le user_principal demande.
  • Dans Nom, saisissez  user_principal.
  • Laissez le champ Espace de noms vide.
  • Pour Source, cochez la case d'option Attribut.
  • Dans la liste déroulante Attribut source, sélectionnez user.userprincipalname.
  • Cliquer  Save.
    

Instantané pour référence à configurer : 

• 
• Cliquer SAML-based Sign-on pour revenir au résumé SAML.
• Dans la SAML Signing Certificate , cliquez sur  Edit:
  • Définissez l'option de signature sur  Sign SAML Response and Assertion.  
  • Définissez l'algorithme de signature sur l'algorithme SHA approprié. Par exemple, SHA-256.
• Cliquer  Import Certificate.
• Dans la  Certificate  , accédez au fichier certificate.pfx créé précédemment et ouvrez-le.
• Entrez le mot de passe du certificat et cliquez sur  Add .

Il doit s'agir du seul certificat de la liste et il doit être actif.

• Si ce certificat n'est pas actif, cliquez sur les points adjacents (...), sélectionnez Rendre le certificat actif, puis cliquez sur Oui.
• S'il existe d'autres certificats dans la liste, cliquez sur les points adjacents (...) pour ces certificats, sélectionnez Supprimer le certificat et cliquez sur Oui pour supprimer ces certificats.

• Cliquer  Save.
• Téléchargez le  Federation Metadata XML  fichier.
• Activez l'application dans Azure et affectez des utilisateurs :

Azure vous permet d'attribuer des utilisateurs individuels pour l'authentification unique avec Azure ou tous les utilisateurs. Supposons que l'authentification unique est activée pour tous les utilisateurs par DU.

• Dans la barre de navigation de gauche, accédez à  Enterprise Applications > UCCE  (ou le nom de l'application que vous avez indiqué).
• Sélectionner  Manage > Properties .
• Activer pour que les utilisateurs se connectent ? à  Yes.
• Définir Visible pour les utilisateurs ? sur  No.
• Cliquer  Save.

Pour terminer, vérifiez le fichier de métadonnées IdP et assurez-vous que le certificat que vous avez créé précédemment est présent dans le champ <X509Certificate> en tant que certificat de signature dans le fichier de métadonnées IdP. Le format est le suivant :

<KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
--actual X.509 certificate--
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

4. Télécharger le fichier de métadonnées Azure dans UCCE

Avant de revenir à UCCE IDS, vous devez disposer de la Federation Metadata XML fichier téléchargé à partir d'Azure.

4.1 Procédure

• Dans Unified CCE Administration, accédez à  Features > Single Sign-On.
• Cliquer  Identity Service Management  et la fenêtre Cisco Identity Service Management s'ouvre
• Saisissez la commande  user name, puis cliquez sur  Next .
• Saisissez la commande  password , puis cliquez sur  Sign In .
  • La page Cisco Identity Service Management s'ouvre et affiche les icônes Nodes, Settings et Clients dans le volet gauche.
• Cliquer  Nodes .
  • La page Noeuds s'ouvre sur la vue globale au niveau du noeud et identifie les noeuds en service. La page fournit également les détails d'expiration du certificat SAML pour chaque noeud, qui indiquent quand le certificat doit expirer. Les options d'état du noeud sont Non configuré, En service, Service partiel et Hors service. Cliquez sur un état pour afficher plus d'informations. L’étoile située à droite de l’un des noms de noeud identifie le noeud qui est l’éditeur principal.
• Pour télécharger le  Federation Metadata XML  à partir d'Azure, recherchez le fichier.
• Accédez à la page Upload IdP Metadata et téléchargez le Federation Metadata XML fichier.
  • Lorsque le téléchargement du fichier est terminé, un message de notification est reçu. L'échange de métadonnées est maintenant terminé et la relation de confiance est en place.
• Effacer le cache du navigateur.
• Entrez des informations d'identification valides lorsque la page est redirigée vers IdP.
• Cliquer  Next.
  • Les  Test SSO Setup s'ouvre.
• Cliquer  Test SSO Setup .
  • Un message s'affiche pour vous indiquer que la configuration de Cisco IdS a réussi.
• Cliquer  Settings .
• Cliquer  Security.
• Cliquer  Tokens.
• Saisissez la durée de ces paramètres :
  • Refresh Token Expiry - La valeur par défaut est 10 heures. La valeur minimale est de 2 heures. La durée maximale est de 24 heures.
  • Expiration du code d'autorisation - La valeur par défaut est 1 minute, ce qui correspond également au minimum. La durée maximale est de 10 minutes.
  • Expiration du jeton d'accès - La valeur par défaut est 60 minutes. La valeur minimale est de 5 minutes. La durée maximale est de 120 minutes.
• Définissez la  Encrypt Token  (facultatif) ; le paramètre par défaut est On.
• Cliquer  Save .
• Cliquer  Keys and Certificates .
• La page Generate Keys and SAML Certificate s'ouvre. Il permet de :
  • Cliquez sur Régénérer et régénérez la clé de cryptage/signature. Un message apparaît pour indiquer que l'enregistrement du jeton a réussi et vous conseille de redémarrer le système pour terminer la configuration.
  • Cliquer  Regenerate  et régénérez le certificat SAML. Un message apparaît pour indiquer que la régénération du certificat SAML a réussi.
• Cliquer  Save .
• Cliquer  Clients.
  • Cette page identifie les clients Cisco IdS qui existent déjà et fournit le nom du client, l'ID du client et une URL de redirection. Afin de rechercher un client particulier, cliquez sur le bouton  Search  en haut de la liste des noms et tapez le nom du client.
• Pour ajouter un client :
  • Cliquer  New .
  • Saisissez le nom du client.
  • Saisissez l'URL de redirection. Pour ajouter plusieurs URL, cliquez sur l'icône plus.
  • Cliquer  Add  (ou cliquez sur  Clear  puis cliquez sur  X   pour fermer la page et ne pas ajouter le client).
  • Pour modifier ou supprimer un client, mettez en surbrillance la ligne du client et cliquez sur les points de suspension sous Actions.
  • Puis :
    • Cliquer  Edit  pour modifier le nom du client, l'ID ou l'URL de redirection. Sur la page Edit Client, apportez les modifications souhaitées et cliquez sur  Save  (ou cliquez sur Effacer, puis cliquez sur le bouton X  pour fermer la page et ne pas enregistrer les modifications).
    • Cliquer  Delete  pour supprimer le client.

Remarque : le certificat doit être associé à l'algorithme de hachage sécurisé SHA-256.