Inleiding
In dit document wordt de configuratie op de F5 BIG-IP Identity Provider (IDP) beschreven om Single Sign On (SSO) in te schakelen.
Cisco IDs-implementatiemodule
Product |
Plaatsing |
UCCX |
Medeingezetene |
PCCE |
Gelijktijdige inwoner met CUIC (Cisco Unified Intelligence Center) en LD (Live Data) |
UCCES |
Gelijktijdige inwoner met CUIC en LD voor 2k implementaties. Standalone voor 4k- en 12k-implementaties. |
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Unified Contact Center Express (UCCX) release 11.6 of Cisco Unified Contact Center Enterprise release 11.6 of Packaged Contact Center Enterprise (PCCE) release 11.6 indien van toepassing.
Opmerking: Dit document verwijst naar de configuratie met betrekking tot de Cisco Identifier Service (IDS) en de Identity Provider (IDP). Het document verwijst naar UCCX in de screenshots en voorbeelden, maar de configuratie is vergelijkbaar met betrekking tot Cisco Identifier Service (UCCX/UCCE/PCCE) en de IDP.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Installeren
Big-IP is een verpakte oplossing die meerdere eigenschappen heeft. Access Policy Manager (APM) die verband houdt met de dienst Identity Provider.
Big IP als APM:
Versie |
13.0 |
Type |
Virtual Edition (OVA) |
IP’s |
Twee IP's in verschillende subnetten. Eén voor IP-beheer en één voor de virtuele IDP-server |
Download de virtuele editieafbeelding van de Big-IP website en gebruik de OVA om een virtuele machine (VM) te maken die vooraf is geïnstalleerd. Verkrijg de licentie en installeer het apparaat met de basisvereisten.
Opmerking: Raadpleeg de installatiehandleiding van Big IP voor installatie-informatie.
Configureren
- Navigeer naar resource provisioning en stel toegangsbeleid in, stel voorziening in op Nominaal
- Een nieuw VLAN maken onder Network -> VLAN’s
- Maakt een nieuw item voor het IP dat voor de IDP onder Netwerk -> Zelf-IP’s wordt gebruikt
- Een profiel maken onder Toegang -> Profile/Policy -> Access-profielen
- Een virtuele server maken
- Actieve map toevoegen (AD)-gegevens onder Toegang -> Verificatie -> Actieve map
- Een nieuwe IDP-service maken onder toegang-> Federatie -> SAML Identity Provider ->Local IDP Services
Opmerking: Als een Common Access Card (CAC) wordt gebruikt voor echtheidscontrole, moeten deze eigenschappen worden toegevoegd aan het configuratiescherm van SAML Eigenschappen:
Stap 1. Maak de uid-eigenschap.
Name: uid
Value: % {sessie.ldap.last.attr.sAMAcountName}
Stap 2. Maak de eigenschap user_main.
Name: user_main
Value: % {sessie.ldap.last.attr.userPrincipalName}
Opmerking: Nadat de IDP-service is gecreëerd, kan de metagegevens via een knop Exporteren worden gedownload onder Toegang -> Federatie -> SAML Identity Provider -> Local IDP Services
Creatie van SAML-technologieën (Security Association Markup Language)
SAML-bronnen
- Navigeren in op toegang -> Federatie -> SAML-bronnen en een eenvoudige bron maken om de IDP-service te associëren die eerder is gemaakt
Webplaten
- Een webtop maken onder Toegang -> Webtops
Virtuele beleidseditor
- Navigeren naar het eerder gemaakte beleid en klik op de link bewerken
- De virtuele beleidseditor wordt geopend
- Klik op de pictogram en voeg elementen toe zoals beschreven
Stap 1. Logon-pagina-element - Laat alle elementen standaard.
Stap 2. AD Auth -> Kies de eerder gemaakte ADFS-configuratie.
Stap 3. AD Query-element - De benodigde gegevens toewijzen.
Stap 4. Toewijzing van geavanceerde middelen - associeer de primaire bron en de webtop die eerder is gemaakt.
metagegevens over serviceproviders (SP)
- Voer het certificaat van de IDs handmatig in op Big IP via System -> certificaatbeheer -> verkeersbeheer
Opmerking: Zorg ervoor dat het certificaat bestaat uit BEGIN-CERTIFICAAT- en EINDCERTIFICAATtags.
- Een nieuw item maken vanuit sp.xml onder Access -> Federatie -> SAML Identity Provider -> Externe SP connectors
- Bind de SP-connector naar de IDP-service onder Toegang -> Federatie -> SAML Identity Provider -> Lokale ID-services
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
CAC-verificatie (Common Access Card)
Als de verificatie van SSO's voor CAC-gebruikers niet lukt, controleer dan de UCCX id.log om te controleren of de SAML-kenmerken correct zijn ingesteld.
Als er een configuratie probleem is, treedt een SAML-storing op. Bijvoorbeeld, in dit logfragment, wordt de user_main SAML eigenschap niet gevormd op IDP.
YYYY-MM-DD hh:mm:SS.sss GMT(-0000) [IDSEandPoint-SAML-59] FOUT com.cisco.cbu.ids IDSSAMLAsyncServlet.java:465 - Kan geen attributenkaart ophalen: user_main
YYYY-MM-DD hh:mm:SS.sss GMT(-0000) [IDSEandPoint-SAML-59] FOUT com.cisco.cbu.ids IDSSAMLAsyncServlet.java:298 - SAML-responsverwerking faalde met uitzondering van com.sun.Identity.saml.common.SAMLExeption: Kan user_main niet ophalen van saml respons
op com.cisco.cbu.ids.auth.api.idSSAMLAsyncServlet.getAttributesFromAttributesMap (IDSSAMLAsyncServlet.java:466)
op com.cisco.cbu.ids.auth.api.idSSAMLAsyncServlet.processSamlPostResponse (IDSSAMLAsyncServlet.java:263)
op com.cisco.cbu.ids.auth.api.idSSAMLAsyncServlet.procedureIDSEndPointrequest(IDSSAMLAsyncServlet.java:176)
op com.cisco.cbu.ids.auth.api.idSEandPoint$1.run (IDSEndPoint.java:269)
op java.util.tegelijkertijd.ThreadPoolExecteur.runWorker(ThreadPoolExec.java:1145)
op java.util.tegelijkertijd.ThreadPoolExec$Worker.run(ThreadPoolExec.java:615)
in java.lang.Thread.run(Thread.java:745)
Gerelateerde informatie