SimpleSAML で Cisco Spark シングルサインオンする

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

シングルサインオンおよび Cisco Spark の概要

シングルサインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Collaboration Cloud プラットフォームとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

 

SAML 2.0 はユーザー認証の安全なハンドリング、ユーザー属性の共有およびドメイン全体に渡るパートナー間のユーザー認証に向けた業界プロトコルです。

 

SSO 能力の詳細については、この記事を参照してください。

プロファイル

SAML 2 プロトコルは、Spark プラットフォームがウェブブラウザ SSO プロファイルのみをサポートする多くのプロファイルをサポートします。 ウェブ ブラウザ SSO プロファイルでは、Spark プラットフォームは以下の義務をサポートします。

 
  • SP 初期化済み POST -> POST 義務 


     

  • SP 初期化済み REDIRECT -> POST 義務

      


 
      

NameID 形式

SAML 2 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Collaboration Cloud プラットフォームは以下の NameID 形式をサポートします。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP から読み込んだメタデータにおいて、最初のエントリは Spark プラットフォーム内で設定されます。

SingleLogout

Cisco Collaboration Cloud は、シングルログアウトプロファイルをサポートします。 Cisco Spark または WebEx アプリにおいて、ユーザーはSAML シングルログアウトプロトコルを使用してセッションを終了し、IdP でのサインアウトを確認するアプリケーションのサインアウトができます。

シングルサインオン向け SimpleSAML で Cisco Spark を統合する

 

Cisco Spark サービスおよび SimpleSAML を ID プロバイダとして (IdP) 使用する展開の間のシングルサインオン (SSO) 統合を設定するこの記事のタスクに従ってください。

    

この統合は、メッセージのユーザー、ミーティング、および通話を網羅します。 Cisco WebEx 向け SSO を有効化するには、別々の統合が必要です。

  

Cisco Spark メタデータをお使いのローカルシステムにダウンロードする

        
1    完全な資格情報を使用して、Cisco Cloud Collaboration Management にサインインします。
2    以下のいずれかの手順を行ってください:
  • 初回セットアップウィザードのエンタープライズ設定を選択し、シングルサインオンページに到達するまでプロンプトをクリックします。
  • 設定を選択してから変更を選択します。
3    サードパーティの ID プロバイダを統合させるを選択します。 (高度) 次のスクリーンを開きます。
4    信頼するメタデータファイルをダウンロードし、お使いのローカルシステムの見つけやすい場所に保存します。

Cisco Spark メタデータのファイル名は idb-meta-<org-ID>-SP.xmlです。

5    Cisco Cloud Collaboration Management セッションをブラウザタブで開いたままにします。後にそこに戻って IdP メタデータをアップデートするためです。

メタデータを変換する

         
1    テキストエディタにエクスポートした Cisco Spark メタデータファイルを開きます。
2    お使いのブラウザで simpleSAML のホームページを開き、資格情報を使用してサインインします。  

ホームページの場所はさまざまですが、概ねこのサンプル URL 同様となります。 https://yourcompany.yourdomain.com/simplesaml

  
3    メインページからフェデレーションをクリックします。
4    ツールで、 XML を Simple SAML XML に変換します。
5    お使いのテキストデータから Cisco Spark メタデータをコピーし、XML の変換フィールドにペーストします。
6    一時停止をクリックします。  

変換したメタデータが表示されます。 このデータをリモート SP テキストファイルに追加することになります。

  

リモート サービス プロバイダ メタデータ ファイルを作成する

 

以上の手順は例として紹介されたものです。 メタデータディレクトリおよび IdP ホストはクライアントのセットアップにより異なります。

  
はじめる前に 

メタデータファイル saml20-idp-hosted.php file (例えば、 uid、メール、Eメールなど) の編集によって付与またはマッピングしなければならない属性に注意してください。 サンプル メタデータを参照してください。

   
  
 

'authproc' => array(

  

// Convert LDAP names to oids.

  

3 => array(

  

'class' => 'saml:AttributeNameID',

  

'attribute' => 'mail',

  

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  

 

  

),

  

50 => array(

  

'class' => 'core:AttributeMap',

  

'attribute' => 'mail',

  

'mail' => array('uid', 'email', 'mail'),

  

'sn' => 'lastname',

  

'givenName' => 'firstname',

  

 

  

),

  

),

  
  
        
1    ホストの SimpleSAML 構成でメタデータディレクトリを開きます。
2    テキストエディタを使用して saml20-sp-remote.php の後に一時停止したデータをペーストし、ファイルを保存します。
3    SimpleSAML のフロントページに戻り、フェデレーションをクリックして ID プロバイダのメタデータを表示します。
4    このデータを新しいテキストファイルにペーストします。
5    アップデートしたファイルに simplesaml-metadata.xml.のような意味のある名前を付けてデスクトップに保存します。

IdP メタデータをインポートし、テスト後シングルサインオンを有効化する

 

Cisco Spark メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカルシステムにダウンロードします。これでお使いの Cisco Spark 組織にインポートする準備ができました。

  
        
1    Cloud Collaboration Management – エクスポートディレクトリメタデータページにサインインしたブラウザまたはタブに戻り、 [次へ] をクリックします。
2    インポート Idp メタデータページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。

パブリック署名および信頼された証明書を使用するサービスプロバイダには、メタデータの証明機関が署名した証明書を必須とする (より安全) を使用することを推奨します。

3    [次へ] をクリックします。
4    SSO 接続をテストするを選択し、新しいブラウザタブが開いたとき、IdP でサインインすることで認証します。

認証エラーが発生する一般的な理由は、証明書の問題です。 ユーザー名とパスワードを確認して再度試してください。

Cisco Spark または Webex エラーは通常、 SSO セットアップのことを意味します。 この場合は、この手順、特に Cisco Spark メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

5    Cisco Cloud Collaboration Management のブラウザタブに戻ります。
  • テストが成功した場合、このテストは成功しましたを選択してください。 シングルサインオンオプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 シングルサインオンオプションを無効化し、[次へ] をクリックする。
 

Attachments

    Outcomes