Active Directory フェデレーションサービス 2.0 および 3.0 で Cisco Spark シングルサインオン

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

シングルサインオンおよび Cisco Spark の概要

シングルサインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Collaboration Cloud プラットフォームとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

 

SAML 2.0 はユーザー認証の安全なハンドリング、ユーザー属性の共有およびドメイン全体に渡るパートナー間のユーザー認証に向けた業界プロトコルです。

 

SSO 能力の詳細については、この記事を参照してください。

プロファイル

SAML 2 プロトコルは、Spark プラットフォームがウェブブラウザ SSO プロファイルのみをサポートする多くのプロファイルをサポートします。 ウェブ ブラウザ SSO プロファイルでは、Spark プラットフォームは以下の義務をサポートします。

 
  • SP 初期化済み POST -> POST 義務 


     

  • SP 初期化済み REDIRECT -> POST 義務

      


 
      

NameID 形式

SAML 2 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Collaboration Cloud プラットフォームは以下の NameID 形式をサポートします。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP から読み込んだメタデータにおいて、最初のエントリは Spark プラットフォーム内で設定されます。

SingleLogout

Cisco Collaboration Cloud は、シングルログアウトプロファイルをサポートします。 Cisco Spark または WebEx アプリにおいて、ユーザーはSAML シングルログアウトプロトコルを使用してセッションを終了し、IdP でのサインアウトを確認するアプリケーションのサインアウトができます。

Cisco Spark を Active Directory のフェデレーションサービスに統合する

Cisco Spark サービスおよび Active Directory フェデレーションサービス (AD FS) 2.x および 3.x を ID プロバイダとして (IdP) 使用する展開の間のシングルサインオン (SSO) 統合を設定するこの記事のタスクに従ってください。

    

この統合は、メッセージのユーザー、ミーティング、および通話を網羅します。 Cisco WebEx 向け SSO を有効化するには、別々の統合が必要です。

はじめる前に  
  •  
    シングルサインオンおよび Cisco Spark サービスについては、IdPs は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdPs は以下のように設定されている必要があります。
    • フォームベースの認証を使用するには、IdPを設定します。

       

    • NameID 形式属性を「;urn:oasis:names:tc:SAML:2.0:nameid-format:transient」に設定します。指定しない場合もサポートされます。

       

    • IdP 上の要求を設定して、SAML アサーションの以下の属性を含めます。

       

      • 「;uid」: ユーザーのメールアドレスにマッピングした値の属性名

         

       
       
      
  •  

    加えて、お使いの AD FS (2.x または 3.x) IdP がこれらの要件を満足していることを確認してください。

      

      
 

Cisco Spark メタデータをお使いのローカルシステムにダウンロードする

        
1    完全な資格情報を使用して、Cisco Cloud Collaboration Management にサインインします。
2    設定を選択し、認証セクションから変更を選択します。
3    サードパーティの ID プロバイダを統合させるを選択します。 (高度) 次のスクリーンを開きます。
4    信頼するメタデータファイルをダウンロードし、お使いのローカルシステムの見つけやすい場所に保存します。  

Cisco Spark メタデータのファイル名は idb-meta-<org-ID>-SP.xmlです。

  
5    Cisco Cloud Collaboration Management セッションをブラウザタブで開いたままにします。後にそこに戻って IdP メタデータをアップデートするためです。

Cisco Spark メタデータを Active Directory のフェデレーションサービスにインストールする

これらの手順は AD FS 2.x および 3 に適用します。

               
1    管理者権限で AD FS サーバーにサインインします。
2    AD FS 管理コンソールを開きます。
3    信頼関係 > Relying Party Trust を参照します。
4    Relying Party Trust を追加するを選択します。
5    Relying Party Trust ウィザードを追加するウィンドウ から開始を選択します。
6    データソースを選択する手順で、ファイルから relying party についてのデータをインポートするを選択し、自分が設定した Cisco Spark メタデータファイルを参照します。
7    [次へ] を選択します。
8    表示名を指定する手順で、この「Cisco Spark」のような relying party trust の表示名を作成します。
9    [次へ] を選択します。
10    発行認証ルールを選択する手順で、すべてのユーザーにこの relying party へのアクセスを許可するを選択します。
11    [次へ] を選択します。
12    Trust に追加する準備をする手順で [次へ]を選択し、relying trust にAD FS への追加を終了します。

クレームルールを作成して Cisco Spark から認証を許可する

                   
1    メイン AD FS ペインで、自分が作成した信頼関係を選択し、クレームルールの編集を選択します。
2    発行変換ルールタブで、追加ルールを選択します。
3    ルールの種類を選ぶ手順で、LDAP 属性をクレームとして送るを選択し、 [次へ]を選択します。
4    クレームルール名を入力します。
5    属性ストアとしてActive Directory を選択します。
6    メールアドレス LDAP 属性を uid 出力方向のクレームの種類にマッピングします。  

このルールにより、フィールドがユーザーを識別するため Cisco Spark にマッピングする AD FS が分かります。 出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  


  
7    変更を保存します。
8    再度、追加ルールを選択します。
9    Send Claims Using a Custom カスタムルールを使用してクレームを送信するを選択し、[次へ]を選択します。

このルールにより、Cisco Spark が提供しない「spname qualifier」属性を持つ AD FS を提供します。

10    クレームルール名を提供し、ここをクリックしてメタデータを設定します
11    ファイルを解凍し、お使いのテキストエディタに開きます。      

2 つの URL を (URL1 および URL2) をテキストに置き換えます。

  
  • URL1 は、 AD FS ウェブプロキシを展開中に作成した AD FS の URL にパブリックからアクセス可能です。 この URL は、ユーザーが Cisco Spark サービスに認証するあらゆる場所からアクセスが可能である必要があります。
  • URL2 は、あなたが既に設定した Cisco Spark メタデータファイルの最初の行にあります。 以下は、その例です。 Copy just the URL のみをコピーし、テキストファイルにペーストして URL2 を置き換えます。

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    アップデートした URL でテキストエディタ (「;c:」で開始) からルールをコピーし、AD FS サーバー上のカスタムルールボックス にペーストします。
完了したルールは以下のようになります。


 
13    完了を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。
14    メインウィンドウのRelying Party Trustを選択し、右のペインのプロパティを選択します。
15    プロパティウィンドウが表示されたら、アドバンストタブを参照してSHA-1 を選択します。
16    [OK] をクリックして変更を保存します。

Active Directory フェデレーションサービス メタデータを設定および変更する

       
1    内部 AD FS サーバー上の以下の URL を参照する: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

このページで右クリックおよびページソースを見て、 XML ファイルにフォーマットされたプロパテォを入手する必要があることがあります。

2    Modify the AD FS メタデータファイルを変更してサポートしていない属性を XML から削除します。
  • 以下のAD FS メタデータファイルのエントリのみを残します。
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    他のすべてのエントリは削除できます。
  • 最初の ds:Signature タグから SPSSODescriptorまで、およびこれを含むすべてのメタデータを削除します。
    ハイライト表示されたメタデータは折りたたまれ、例として表示されています。


3    IDPSSODescriptor タグの後は何も変更しないでください。
4    変更を保存します。
次にやること

 

AD FS メタデータを管理ポータルサイトから Cisco Spark にインポートし直す準備ができました。

  

IdP メタデータをインポートし、テスト後シングルサインオンを有効化する

 

Cisco Spark メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカルシステムにダウンロードします。これでお使いの Cisco Spark 組織にインポートする準備ができました。

  
        
1    Cloud Collaboration Management – エクスポートディレクトリメタデータページにサインインしたブラウザまたはタブに戻り、 [次へ] をクリックします。
2    インポート Idp メタデータページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。

パブリック署名および信頼された証明書を使用するサービスプロバイダには、メタデータの証明機関が署名した証明書を必須とする (より安全) を使用することを推奨します。

3    [次へ] をクリックします。
4    SSO 接続をテストするを選択し、新しいブラウザタブが開いたとき、IdP でサインインすることで認証します。

認証エラーが発生する一般的な理由は、証明書の問題です。 ユーザー名とパスワードを確認して再度試してください。

Cisco Spark または Webex エラーは通常、 SSO セットアップのことを意味します。 この場合は、この手順、特に Cisco Spark メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

5    Cisco Cloud Collaboration Management のブラウザタブに戻ります。
  • テストが成功した場合、このテストは成功しましたを選択してください。 シングルサインオンオプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 シングルサインオンオプションを無効化し、[次へ] をクリックする。

Active Directory フェデレーションサービス トラブルシューティング

Windows ログの AD FS エラー

   

Windows ログで、AD FS イベントログエラーコード 364 が表示されることがあります。 イベントの詳細によって無効な証明書を識別します。 この場合、 AD FS ホストはポート 80 のファイヤーウォールを通じて証明書を有効化することを許可されていません。

  

認証ポリシー

   
認証の件は以下のシナリオで実行できます。
  •  

    お使いのリバースプロキシは、イントラネット上のクライアントを識別します。

      

  •  

    モバイルデバイスには、WIA 認証ポップアップ NTLM ダイアログボックスが付属します。

      

  
  

このフォームは埋め込みブラウザに渡されていません。 結果として、サインインできない白いスクリーンとなります。

  

モバイルクライアントについては、エクストラネットは認証できるように設定されている必要があります。 モバイルデバイス上のCisco Spark アプリには、埋め込みブラウザを使用したリダイレクトが必要です。 フォームは埋め込みブラウザが必要とするものです。

  
ユーザーがサインインする際、モバイルデバイスに白いスクリーンが表示される場合は、デバイスは認証ページが必要とする HTML フォームを受信していません。 この件を解決するには:
  •  

    デバイスを Wi-Fi 以外のキャリアのデータプラン使用時に認証するよう設定してください。

      

  •  

    エクストラネット向け ADFS 認証ポリシーの認証方法をフォームの認証に設定してください。

      

  

デバイスに白いスクリーンが表示され続ける場合は、ADFS ホストが正しく設定されたリバースプロキシを持っていない場合があります。 すべてのデバイスは、イントラネット上にあるように見えます。 リバースプロキシの設定ができない場合は、このポストの手順に従い混合環境での ADFS フォーム認証を実行するようにグループポリシーを設定してください。

  

フェデレーション ID

フェデレーション IDでは、大文字と小文字が区別されます。 これが組織のメールアドレスである場合は、AD FS が送信したものと全く同じものを入力してください。そうでないと、Cisco Spark が合致するユーザーを見つけられません。

 

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

 

お使いの環境にセットアップしたADFS サーバー からご自分のメタデータをインポートします。

 

必要であれば、サービス > エンドポイント > メタデータ > 種類: フェデレーション メタデータの順に選択して ADFS 管理で URL を確認します。

  

時間同期

   

AD FS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。 以下の PowerShell コマンドを使用して時計を Cisco Spark Relying Party Trust 関係のみにスキューします。

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

16 進数の値はあなたの環境固有のものです。 Cisco Spark メタデータ ファイルの SP EntityDescriptor ID の値からこの値を置き換えてください。 例:

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes