安装并且配置F5身份供应商(IdP) Cisco身份服务的(ID)对enable (event) SSO

Introduction

本文描述在F5 BIG-IP身份供应商(IdP)的配置对enable (event)单个符号(SSO)。

Cisco IDS部署模型

产品	配置
UCCX	coresident
PCCE	与CUIC (Cisco Unified智力中心)和LD (实际数据)的共同驻留
UCCE	与CUIC和LD的共同驻留2k配置的。 独立为4k和12k配置。

Prerequisites

Requirements

Cisco 建议您了解以下主题：

• Cisco Unified Contact Center Express (UCCX)版本11.6或Cisco Unified Contact Center Enterprise Release 11.6或者被包的联系中心企业(PCCE)版本11.6如可适用。

Note:本文参考配置关于Cisco Identitify服务(ID)和身份供应商(IdP)。 本文参考UCCX屏幕画面和示例，然而配置是类似的关于Cisco Identitify服务(UCCX/UCCE/PCCE)和IdP。

Components Used

This document is not restricted to specific software and hardware versions.

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络实际，请保证您了解所有命令的潜在影响。

安装

大IP是有多个功能的一个包的解决方案。与身份供应商服务CO涉及的访问策略管理器(APM)。

大IP作为APM ：

从大IP事先装配的网站下载虚拟版本镜像并且配置卵创建虚拟机。获得许可证并且安装与基本需求。

Note:安装信息，请参见大IP安装指南。

Configure

• 连接对资源提供，并且enable (event)访问策略，设置设置为名义上

• 创建新的VLAN在Network-> VLAN下

• 创建使用在Network->自已IP下的IdP的IP的一个新的条目

• 创建一个配置文件在访问下- >配置文件/策略- >Access配置文件

• 创建一个虚拟服务器

• 添加激活目录(AD)详细资料在访问下- >认证- >激活目录

• 创建一项新的IdP服务在访问下- >联邦- > SAML身份供应商- >本地IdP服务

Note:如果一个普通的访问卡(CAC)使用认证，这些属性需要被添加在SAML归因于配置部分：

步骤1.创建uid属性。

名字：uid
值：% {session.ldap.last.attr.sAMAccountName}


步骤2.创建user_principal属性。

名字：user_principal
值：% {session.ldap.last.attr.userPrincipalName}

Note:一旦IdP服务被创建，有下载与Export按钮元数据的元数据的选项在访问下- >联邦- > SAML身份供应商- >本地IdP服务

安全主张标记语言(SAML)创建

SAML资源

• 连接访问- >联邦- > SAML资源和创建saml资源与被创建前的IdP服务产生关联

Webtops

• 创建一webtop在访问下- > Webtops

虚拟策略编辑器

• 连接对及早被创建的策略并且点击编辑链路

• 虚拟策略编辑器打开

• 点击图标并且添加元素如所描述

步骤1.登录页元素-留下所有元素默认。

步骤2. AD Auth - >请选择被创建的ADFS配置前。

步骤3. AD查询元素-分配必要的详细资料。

步骤4.预先的资源分配-关联被创建的saml资源和webtop前。

服务提供商(SP)元数据Exchange

• 请手工导入ID的认证大IP通过系统- > Certificate Management - > Traffic Management

Note:保证认证包括开始认证和END认证标记。

• 创建从sp.xml的一个新的条目在Access-> Federation-> SAMLIDENTITY供应商下- > ExternalSP连接器
• 捆绑SP连接器对IdP服务在访问下- >联邦- > SAML身份供应商- >本地IdP服务

Verify

当前没有可用于此配置的验证过程。

Troubleshoot

普通的访问卡(CAC)认证失败

如果SSO认证为CAC用户失效，请检查UCCX ids.log验证适当地设置SAML属性。

如果有配置问题， SAML故障发生。例如，在此日志片断， user_principal SAML属性在IdP没有被配置。

YYYY-MM-DD hh ：mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59]错误com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:465 -不可能retrievefrom属性映射：user_principal

YYYY-MM-DD hh ：mm:SS.sss GMT(-0000) [IdSEndPoints-SAML-59]错误com.cisco.ccbu.ids IdSSAMLAsyncServlet.java:298 - SAML responseprocessingfailed有例外com.sun.identity.saml.common.SAMLException ：不能从saml回应检索user_principal

在com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.getAttributeFromAttributesMap(IdSSAMLAsyncServlet.java:466)

在com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processSamlPostResponse(IdSSAMLAsyncServlet.java:263)

在com.cisco.ccbu.ids.auth.api.IdSSAMLAsyncServlet.processIdSEndPointRequest(IdSSAMLAsyncServlet.java:176)

在com.cisco.ccbu.ids.auth.api.IdSEndPoint$1.run(IdSEndPoint.java:269)

在java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

在java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

在java.lang.Thread.run(Thread.java:745)

Related Information

• Technical Support & Documentation - Cisco Systems