PingFederate で Cisco Spark シングルサインオンする

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

シングルサインオンおよび Cisco Spark の概要

シングルサインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Collaboration Cloud プラットフォームとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

 

SAML 2.0 はユーザー認証の安全なハンドリング、ユーザー属性の共有およびドメイン全体に渡るパートナー間のユーザー認証に向けた業界プロトコルです。

 

SSO 能力の詳細については、この記事を参照してください。

プロファイル

SAML 2 プロトコルは、Spark プラットフォームがウェブブラウザ SSO プロファイルのみをサポートする多くのプロファイルをサポートします。 ウェブ ブラウザ SSO プロファイルでは、Spark プラットフォームは以下の義務をサポートします。

 
  • SP 初期化済み POST -> POST 義務 


     

  • SP 初期化済み REDIRECT -> POST 義務

      


 
      

NameID 形式

SAML 2 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Collaboration Cloud プラットフォームは以下の NameID 形式をサポートします。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP から読み込んだメタデータにおいて、最初のエントリは Spark プラットフォーム内で設定されます。

SingleLogout

Cisco Collaboration Cloud は、シングルログアウトプロファイルをサポートします。 Cisco Spark または WebEx アプリにおいて、ユーザーはSAML シングルログアウトプロトコルを使用してセッションを終了し、IdP でのサインアウトを確認するアプリケーションのサインアウトができます。

シングルサインオン向け PingFederate で Cisco Spark を統合する

Cisco Spark サービスおよび PingFederate を ID プロバイダとして (IdP) 使用する展開の間のシングルサインオン (SSO) 統合を設定するこの記事のタスクに従ってください。

    

この統合は、メッセージのユーザー、ミーティング、および通話を網羅します。 Cisco WebEx 向け SSO を有効化するには、別々の統合が必要です。

はじめる前に 
シングルサインオンおよび Cisco Spark サービスについては、IdPs は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdPs は以下のように設定されている必要があります。
  • フォームベースの認証を使用するには、IdPを設定します。

     

  • NameID 形式属性を「;urn:oasis:names:tc:SAML:2.0:nameid-format:transient」に設定します。指定しない場合もサポートされます。

     

  • IdP 上の要求を設定して、SAML アサーションの以下の属性を含めます。

     

    • 「;uid」: ユーザーのメールアドレスにマッピングした値の属性名

       

     
     
  

Cisco Spark メタデータをお使いのローカルシステムにダウンロードする

        
1    完全な資格情報を使用して、Cisco Cloud Collaboration Management にサインインします。
2    設定を選択し、認証セクションから変更を選択します。
3    サードパーティの ID プロバイダを統合させるを選択します。 (高度) 次のスクリーンを開きます。
4    信頼するメタデータファイルをダウンロードし、お使いのローカルシステムの見つけやすい場所に保存します。  

Cisco Spark メタデータのファイル名は idb-meta-<org-ID>-SP.xmlです。

  
5    Cisco Cloud Collaboration Management セッションをブラウザタブで開いたままにします。後にそこに戻って IdP メタデータをアップデートするためです。

新規サービスプロバイダ接続を設定する

  
          
1    PingFederate 管理ポータル (https://<FQDN of PingFederate>:9999/pingfederate/app) を開きます。
2    SP CONNECTIONS新規作成を選択します。
3    この接続にテンプレートを使わないでくださいラジオボタンを選択し、 [次へ] を選択します。
4    ブラウザ SSO プロファイルを選択し、 [次へ] をクリックします。
5    メタデータをインポートするタブを選択します。
6    ファイルを選択するをクリックして Cisco Cloud Collaboration Management からダウンロードしたメタデータファイルを参照およびインポートし、 [次へ].をクリックします。
7    情報を一般情報タブで検討し、完了をクリックします。

ブラウザのシングルサインオンを設定する

        
1    PingFederate 管理ポータルサイトからブラウザ SSO 設定するを選択します。
2    SP-Initiated SSO チェックボックスをチェックし、[次へ] をクリックします。
3    アサーション作成を設定するを選択します。
  1. NameID 形式を一時的 に変更し、一時的な標識に加えて属性を含める チェックボックスをチェックします。
  2. メールurn:oasis:names:tc:SAML:2.0:attrname-format-basic 形式のuid 属性を追加して契約属性を延長し、[次へ] をクリックします。
  3. 新しいアダプター インスタンスをマッピングするを選択して、認証メカニズムを選択します。
  4. ADAPTER INSTANCE ドロップダウンから、設定済み認メカニズムの いずれかを選択し、[次へ] をクリックします。
  5. マッピングを 1つ使用して複数のデータストアから追加の属性を検索するラジオボタンを選択し、 [次へ] をクリックします。
  6. 属性ソースを追加するを選択して Active Directory ドメインコントローラーをそのドメインに追加し、 [次へ] をクリックします。
  7. ベース DN を指定し、ルートオブジェクトクラス <すべての属性を表示する>を選択します。
  8. フィルタテキストボックスで LDAP フィルタを入力し、 [次へ] をクリックします。  

    この入力は、ユーザーが提供することが見込まれる属性を含んでいる必要があります。 また、 LDAP ソースにマッピングする値も含む必要があります。 例えば、 active directory が Windows のログイン属性上のフィルタに設定されている場合、sAMAccountName=${ユーザーname} を入力します。

      
  9. ソースと値を選択して AD データストアが提供した属性を持つアサーション属性にマッピングします。 (発行基準には何も入力しないでください。)
  10. 一時的に設定されているID マッピングメール、 uid に設定されている属性契約、 および1 に設定されているアダプター インスタンスがアサーション構成にあることを検証します。
4    プロトコル設定を設定するを選択します。
  1. 許可される SAML 義務については、 POST およびリダイレクト チェックボックスのみをチェックします。
  2. 署名ポリシーについては、常時 SAML アサーションで署名するを選択します。

    プロトコル設定は以下のように表示されます。

  3. 資格を設定するを選択し、アサーションの証明書を設定します。
  4. SAML アサーション用に作成済みの証明書を選択します。
5    アクティベーションおよび概要スクリーン上で、接続ステータスをアクティブに設定します。

PingFederate メタデータのエクスポート

       
1    メインスクリーンで、すべての SP を管理するをクリックします。
2    作成した接続を見つけ、 メタデータをエクスポートするをクリックします。
3    証明書を選択して、ドロップダウンからエクスポートされたファイルに署名するために使用します。
4    エクスポートをクリックします。

IdP メタデータをインポートし、テスト後シングルサインオンを有効化する

 

Cisco Spark メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカルシステムにダウンロードします。これでお使いの Cisco Spark 組織にインポートする準備ができました。

  
        
1    Cloud Collaboration Management – エクスポートディレクトリメタデータページにサインインしたブラウザまたはタブに戻り、 [次へ] をクリックします。
2    インポート Idp メタデータページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。

パブリック署名および信頼された証明書を使用するサービスプロバイダには、メタデータの証明機関が署名した証明書を必須とする (より安全) を使用することを推奨します。

3    [次へ] をクリックします。
4    SSO 接続をテストするを選択し、新しいブラウザタブが開いたとき、IdP でサインインすることで認証します。

認証エラーが発生する一般的な理由は、証明書の問題です。 ユーザー名とパスワードを確認して再度試してください。

Cisco Spark または Webex エラーは通常、 SSO セットアップのことを意味します。 この場合は、この手順、特に Cisco Spark メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

5    Cisco Cloud Collaboration Management のブラウザタブに戻ります。
  • テストが成功した場合、このテストは成功しましたを選択してください。 シングルサインオンオプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 シングルサインオンオプションを無効化し、[次へ] をクリックする。
 

Attachments

    Outcomes