- はじめに
- Cisco Unity Connection で必要な IP 通信
- Cisco Unity Connection での不正通話の防止
- Cisco Unity Connection、Cisco Unified Communications Manager、および IP 電話の間の接続の保護
- Cisco Unity Connection での管理とサービス アカウントの保護
- Cisco Unity Connection での FIPS 準拠
- Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
- Cisco Unity Connection でのシングル サインオン
- Cisco Unity Connection セキュリティ パスワード
- SSL を使用した Cisco Unity Connection でのクライアント/サーバ接続の保護
- Cisco Unity Connection でのユーザ メッセージの保護
- 索引
Cisco Unity Connection セキュリティ ガイド リリース 10.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: Cisco Unity Connection でのシングル サインオン
Cisco Unity Connection でのシングル サインオン
Cisco Unity Connection 10.x は、エンド ユーザが一度ログインすると、再度サインインせずに次の Cisco Unity Connection アプリケーションを使用できるようになる シングル サインオン または OpenAM SSO 機能をサポートしています。
•
Cisco Personal Communications Assistant
• Cisco Unity Connection Serviceability
• Cisco Unity ConnectionREST API
(注) Cisco Unity Connection 10.x では、シングル サインオン機能で VmRest API をサポートしています。
シングル サインオン機能の詳細については、シスコのホワイト ペーパー『A complete guide for the installation, configuration and integration of Open Access Manager 9.0 with CUCM 8.5, 8.6 /CUC 8.6 and Active Directory for SSO』を参照してください。このガイドは、 https://supportforums.cisco.com/docs/DOC-14462 から入手可能です。
シングル サインオンの設定チェックリスト
この項では、ネットワーク内のシングル サインオン機能を設定するためのチェックリストを示します。
|
|
|
|
|---|---|---|
使用環境が「シングル サインオンのシステム要件」で説明されている要件を満たしていることを確認します。 |
||
Active Directory の OpenAM サーバをプロビジョニングし、keytab ファイルを生成します。 (注) 使用している Windows のバージョンに keytab ファイルを生成するための ktpass ツールが含まれていない場合は、別途入手する必要があります。 |
||
OpenAM のサーバ証明書を Cisco Unified Communications Manager tomcat 信頼ストアにインポートします。 |
||
シングル サインオンのシステム要件
Cisco Unity Connection のシングル サインオンのシステム要件を次に示します。
• クラスタ内の各サーバ上での Cisco Unity Connection リリース 10.x。
この機能は、シングル サインオン機能を設定するために次のサードパーティ製アプリケーションが必要です。
• Active Directory を導入するための Microsoft Windows Server 2003 SP1/SP2 または Microsoft Windows Server 2008 SP2。
• Microsoft Active Directory サーバ(任意のバージョン)。
• ForgeRock Open Access Manager(OpenAM)バージョン 9.0。
シングル サインオン機能は、Active Directory および OpenAM を同時に使用し、クライアント アプリケーションにシングル サインオン アクセスを提供します。
シングル サインオン機能に必要なサードパーティ製アプリケーションは、次の設定要件を満たしている必要があります。
• Active Directory は、LDAP サーバとしてではなく、Windows ドメインベースのネットワーク設定で導入される必要があります。
• OpenAM サーバは、ネットワーク上において Unity Connection サーバ、すべてのクライアント システム、および Active Directory サーバから名前でアクセスできなければなりません。
• OpenAM サーバは、Microsoft Windows 2003 サーバまたは RedHat Enterprise Linux(RHEL)サーバにイストールできます。
• Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、Cisco Unity Connection、および OpenAM は、同じドメイン内に存在する必要があります。
シングル サインオンの設定
シングル サインオンのための Unity Connection および OpenAM サーバの設定手順の詳細については、シスコのホワイト ペーパー『A complete guide for the installation, configuration and integration of Open Access Manager 9.0 with CUCM 8.5, 8.6 /CUC 8.6 and Active Directory for SSO』を参照してください。このガイドは、 https://supportforums.cisco.com/docs/DOC-14462 から入手可能です。
この項では、Unity Connection 固有の設定に従う必要がある重要なステップや手順について説明します。しかし、シングル サインオンの設定を初めて行う場合は、シスコのホワイト ペーパーに記載されている詳細な手順に従うことを強く推奨します。
OpenAM サーバの設定
OpenAM サーバを設定するには、次の手順を実行する必要があります。
OpenAM サーバ上のポリシーを設定するには、OpenAM にログインして [アクセス コントロール(Access Control)] タブを選択する必要があります。[トップ レベル レルム(Top Level Realm)] オプションをクリックし、[ポリシー(Policies)] タブを選択して新しいポリシーを作成します。新しいポリシーを作成するには、シスコ ホワイト ペーパー( https://supportforums.cisco.com/docs/DOC-14462 )に記載されている手順に従います。また、ホワイト ペーパーの手順に従うと同時に、次のような Unity Connection 固有の情報を持つポリシーを作成してください。
• ポリシーにルールを追加するときは、次の点を確認してください。
– 各ルールは、URL ポリシー エージェント サービスのタイプである必要があります。
– 各ルールの GET および POST チェックボックスをオンにします。
– 次の各リソースに対してルールを作成します。「fqdn」は Unity Connection サーバの完全修飾ドメイン名を示します。
• ポリシーにサブジェクトを追加するときは、次の点を確認してください。
– [サブジェクトのタイプ(Subject Type)] フィールドが Authenticated Users であることを確認してください。
– [排他的(Exclusive)] チェックボックスはオンにしないでください。
• ポリシーに条件を追加するときは、次の点を確認してください。
– [条件(Condition)] のタイプを Active Session Time とします
– アクティブ セッション タイムアウトを 120 分に設定し、[セッション終了(Terminate Session)] オプションで [いいえ(No)] を選択します。
ステップ 2:Windows Desktop SSO ログイン モジュール インスタンスの設定
シスコ ホワイト ペーパー( https://supportforums.cisco.com/docs/DOC-14462)の指示に従って、Windows デスクトップを設定します。
ステップ 3:Policy Agent 3.0 の J2EE Agent Profile の設定
シスコ ホワイト ペーパー( https://supportforums.cisco.com/docs/DOC-14462 )の指示に従って、続く部分に示す Unity Connection 固有の設定で新しい J2EE エージェントを作成します。
• エージェントのプロファイル名として示される名前は、Unity Connection サーバ上で SSO がイネーブルである場合や、「ポリシーエージェントに設定されているプロファイルの名前を入力(Enter the name of the profile configured for this policy agent)」というメッセージが表示された場合に入力する必要があります。
• ここで入力されるエージェント パスワードは、Unity Connection サーバ上で「プロファイル名のパスワードを入力(Enter the password of the profile name)」というメッセージが表示された場合にも入力する必要があります。
• [アプリケーション(Application)] タブ上の [ログイン フォーム URI(Login Form URI)] セクションに次の URI を追加します。
– /cuadmin/WEB-INF/pages/logon.jsp
– /cuservice/WEB-INF/pages/logon.jsp
– /ciscopca/WEB-INF/pages/logon.jsp
– /inbox/WEB-INF/pages/logon.jsp
– /ccmservice/WEB-INF/pages/logon.jsp
– /vmrest/WEB-INF/pages/logon.jsp
• [アプリケーション(Application)] タブの下の [URI 処理を強制しない(Not Enforced URI Processing)] セクションに、次の URI を追加します。
– /inbox/gadgets/msg/msg-gadget.xml
上記の Unity Connection 固有の設定の他に、次の点を確認してください。
• LDAP から Unity Connection にユーザをインポートします。ユーザが Cisco Unity Connection Administration、または Cisco Unity Connection Serviceability にログインするには、適切な役割を設定されている必要があります。
• シスコ ホワイト ペーパー( https://supportforums.cisco.com/docs/DOC-14462 )の 8.6 項「Configuring SSO on Cisco Unified Communications Manager」に従って、OpenAM 証明書を Unity Connection にアップロードします。
シングル サインオンの CLI コマンドの実行
次の各項では、シングル サインオンを設定する CLI コマンドについて説明します。
詳細については、シスコのホワイト ペーパー( https://supportforums.cisco.com/docs/DOC-14462 )を参照してください。
このコマンドを実行すると、このコマンドを使って SSO をイネーブルにすることはできないという情報メッセージが返されます。
enable:SSO-based 認証をイネーブルにします。このコマンドにより、シングル サインオン設定ウィザードが開始されます。
このコマンドは、SSO-based 認証をディセーブルにします。また、SSO がイネーブルになっている Web アプリケーションをリスト表示します。指定されたアプリケーションのシングル サインオンをディセーブルにするよう求められた場合は、「Yes」と入力します。クラスタ内のすべてのノード上でこのコマンドを実行する必要があります。
フィードバック