De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u de Security Association Markup Language (SAML) single aanmelding (SSO) kunt configureren en controleren voor Cisco Unity Connection (UCXN).
Om te kunnen SAML SSO's kunnen werken, moet u de juiste NTP-instellingen installeren en ervoor zorgen dat het tijdsverschil tussen de Identity Provider (IDP) en de Unified Communications-toepassingen niet meer dan drie seconden bedraagt. Zie het gedeelte NTP-instellingen in de Cisco Unified Communications Operating System Management Guide voor informatie over het synchroniseren van klokken.
Unified Communications-toepassingen kunnen DNS gebruiken om FQDN-namen (Full Qualified Domain Names) (FQDN’s) op IP-adressen op te lossen. De serviceproviders en de IDP kunnen door de browser worden opgelost.
Active Directory Federation Service (AD FS) versie 2.0 moet worden geïnstalleerd en geconfigureerd om SAML-verzoeken te kunnen behandelen.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
SAML is een XML-gebaseerd, open-standaard gegevensformaat voor gegevensuitwisseling. Het is een authenticatieprotocol dat door serviceproviders wordt gebruikt om een gebruiker te authenticeren. De informatie over de veiligheidscontrole wordt tussen een IDP en de serviceprovider doorgegeven.
SAML is een open standaard die klanten in staat stelt om tegen elke SAML-enabled samenwerking (of Unified Communications)-service ongeacht het clientplatform te authenticeren.
Alle Cisco Unified Communications web interfaces, zoals Cisco Unified Communications Manager (CUCM) of UCXN, gebruiken het protocol van SAML versie 2.0 in de SAML SSO-functie. Om de Lichtgewicht Directory Access Protocol (LDAP) gebruiker echt te maken, delegeert UCXN een verificatieaanvraag aan de IDP. Dit door de UCXN gegenereerde verificatieverzoek is een SAML-aanvraag. De IDP authentiek en keert een SAML aanname terug. De SAML-test toont ja (geauthentiseerd) of nee (authenticatie mislukt).
Met SAML SSO kan een LDAP-gebruiker inloggen op clienttoepassingen met een gebruikersnaam en wachtwoord dat op de IDP voor authentiek is. Een inloggen van een gebruiker op een van de ondersteunde webtoepassingen voor Unified Communications-producten, nadat u de SAML SSO-functie hebt ingeschakeld, krijgt u ook toegang tot deze webtoepassingen op UCXN (behalve CUCM en CUCM IM and Presence):
Unity Connection-gebruikers |
Webtoepassingen |
---|---|
LDAP-gebruikers met rechten voor beheerders |
|
LDAP-gebruikers zonder rechten voor beheerders |
|
Tip: Als u LDAP via SSL instelt, uploadt u het LDAP folder certificaat naar CUCM. Raadpleeg de LDAP-directory-inhoud in de Cisco Unified Communications Manager SRND voor informatie over het accountsynchronisatiemechanisme voor specifieke LBP-producten en algemene beste praktijken voor de synchronisatie van LDAP.
Opmerking: Zorg ervoor dat Cisco DirSync service is ingeschakeld in de webpagina voor serviceproviders voordat u op Opslaan klikt.
Voorzichtig: Als u een beheerdersjabloon specificeert, hebben de gebruikers geen postvakjes.
Opmerking: Dit configuratievoorbeeld is gebaseerd op zelfondertekende UCXN- en AD FS-certificaten. Indien u certificaten van de certificaatautoriteit (CA) gebruikt, moeten de juiste certificaten op zowel AD FS als UCXN worden geïnstalleerd. Raadpleeg certificaatbeheer en -validatie voor meer informatie.
Verplicht. Opmerking: Start de SSO-test voor UCXN Subscriber als dit een cluster is, om SAML SSO in te schakelen. AD FS moet worden geconfigureerd voor alle knooppunten van UCXN in een cluster.
Tip: Als u de XML-bestanden van alle knooppunten op IDP configureren en de SSO-bewerking op één knooppunt start, dan is SAML SSO automatisch ingeschakeld op alle knooppunten in de cluster.
Open een webbrowser en voer de FQDN van UCXN in en u ziet een nieuwe optie onder Geïnstalleerde toepassingen met de naam Terugwinning URL om Single aanmelding (SSO) te omzeilen. Zodra u op de link Cisco Unity Connection klikt, wordt u gevraagd om aanmeldingsgegevens in het ADSL-bestand. Nadat u de aanmeldingsgegevens van SSO's van gebruikers hebt ingevoerd, wordt u aangemeld bij Unity Management-pagina, Unified Serviceability-pagina.
Opmerking: SAML SSO biedt geen toegang tot deze pagina's:
- Licentiebeheer voor Prime
- OS-beheer
- Noodherstelsysteem
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Raadpleeg SAML SSP voor probleemoplossing voor Collaboration Products 10.x voor meer informatie.