F5 Big-IP で Cisco Spark シングルサインオンする

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

シングルサインオンおよび Cisco Spark の概要

シングルサインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Collaboration Cloud プラットフォームとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

 

SAML 2.0 はユーザー認証の安全なハンドリング、ユーザー属性の共有およびドメイン全体に渡るパートナー間のユーザー認証に向けた業界プロトコルです。

 

SSO 能力の詳細については、この記事を参照してください。

プロファイル

SAML 2 プロトコルは、Spark プラットフォームがウェブブラウザ SSO プロファイルのみをサポートする多くのプロファイルをサポートします。 ウェブ ブラウザ SSO プロファイルでは、Spark プラットフォームは以下の義務をサポートします。

 
  • SP 初期化済み POST -> POST 義務 


     

  • SP 初期化済み REDIRECT -> POST 義務

      


 
      

NameID 形式

SAML 2 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Collaboration Cloud プラットフォームは以下の NameID 形式をサポートします。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP から読み込んだメタデータにおいて、最初のエントリは Spark プラットフォーム内で設定されます。

SingleLogout

Cisco Collaboration Cloud は、シングルログアウトプロファイルをサポートします。 Cisco Spark または WebEx アプリにおいて、ユーザーはSAML シングルログアウトプロトコルを使用してセッションを終了し、IdP でのサインアウトを確認するアプリケーションのサインアウトができます。

シングルサインオンのために、F5 Big IP をCisco Spark に統合する

 

Cisco Spark サービスおよび F5 Big-IP を ID プロバイダとして (IdP) 使用する展開の間のシングルサインオン (SSO) 統合を設定するこの記事のタスクに従ってください。

    

この統合は、メッセージのユーザー、ミーティング、および通話を網羅します。 Cisco WebEx 向け SSO を有効化するには、別々の統合が必要です。

  

Cisco Spark メタデータをお使いのローカルシステムにダウンロードする

        
1    完全な資格情報を使用して、Cisco Cloud Collaboration Management にサインインします。
2    以下のいずれかの手順を行ってください:
  • 初回セットアップウィザードのエンタープライズ設定を選択し、シングルサインオンページに到達するまでプロンプトをクリックします。
  • 設定を選択してから変更を選択します。
3    サードパーティの ID プロバイダを統合させるを選択します。 (高度) 次のスクリーンを開きます。
4    信頼するメタデータファイルをダウンロードし、お使いのローカルシステムの見つけやすい場所に保存します。

Cisco Spark メタデータのファイル名は idb-meta-<org-ID>-SP.xmlです。

5    Cisco Cloud Collaboration Management セッションをブラウザタブで開いたままにします。後にそこに戻って IdP メタデータをアップデートするためです。

外部サービス プロバイダおよびID プロバイダを設定する

               
1    BIG-IP F5 管理インターフェースから、アクセスポリシー > SAML > IdP としての BIG-IP を開きます。
2    外部 SP コネクタから 作成 > メタデータからを選択します。
3    サービスプロバイダ名に、<yourorganizationname>.ciscospark.com などの意味のある名称を入力してください。
4    セキュリティ設定で、以下のチェックボックスにチェックを入れてください。
  • 応答は署名されている必要があります。
  • アサーションは署名されている必要があります。
5    アクセスポリシー > SAML > IdP としての BIG-IPに戻り、新しいID プロバイダ (IdP) サービスを作成します。
6    IdP サービス名に、CI などの意味のある名称を入力してください。
7    For the IdP Entity ID, use the FQDN of the Big-IP server with something in front—for example, https://bigip0a.uc8sevtlab13.com/CI.
8    アサーション設定で、アサーションサブジェクト種類一時的な標識を選択します。
9    アサーションサブジェクト値で、ユーザーのメールの値 %{session.ad.last.attr.mail}に戻ります。
10    %{session.ad.last.attr.mail}の値の属性メールおよび uid に戻ります。
11    セキュリティ設定で、アサーションに署名する証明書を選択します。
12    変更を保存し、サービスプロバイダと作成したID プロバイダを結合させます。

F5 Big-IP メタデータをダウンロードする

      
1    IDP サービスをエクスポートするを選択します。
2    メタデータに署名するの値がいいえになっていることを確認します。
3    メタデータファイルをデスクトップまたは見つけやすい場所にダウンロードします。

アクセスポリシーを追加する

            
1    アクセスポリシー > アクセス プロファイル > SAML を開き、作成した IdP の SAML リソースを作成します。
2    アクセス プロファイルを開き、 WebEx Messenger CAS で使用するアクセスポリシーを編集します。
3    ログオンタブの新規アイテムをログオンページ名に追加し、デフォルトの値はそのままにします。
4    認証タブの新規アイテムを AD Auth の名称で追加し、サーバーとしての Active Directory を指定します。
5    成功したブランチで、認証タブから AD クエリーを追加します。
6    ブランチルールを開き、AD クエリーは渡されましたに変更します。
7    AD クエリーの成功したブランチで、指定タブから高度なリソースアサインを追加します。
8    追加/削除をクリックし、すべての SAML リソースを持つ SAML および作成したウェブトップの 2 つのリソースを追加します。
9    終了を選択するため、許可を選択します。

アクセスポリシーは以下のスクリーンショットのように表示されます。

アクセスプロファイルをバーチャルサーバーに関連付ける

 

作成したバーチャルサーバを持つアクセスプロファイルを関連付ける必要があります。

  
        
1    ローカルトラフィック > バーチャルサーバーを開きます。
2    アクセスプロファイルを開き、バーチャルサーバーがプロファイルに関連付けられていないことを確認します。
3    高度なリソース指定を選択します。
4    追加/削除を選択し、新しい SAML リソースを追加します。
5    アクセスポリシーデザインウィンドウを閉じ、新しいアクセスポリシーを適用します。

IdP メタデータをインポートし、テスト後シングルサインオンを有効化する

 

Cisco Spark メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカルシステムにダウンロードします。これでお使いの Cisco Spark 組織にインポートする準備ができました。

  
        
1    Cloud Collaboration Management – エクスポートディレクトリメタデータページにサインインしたブラウザまたはタブに戻り、 [次へ] をクリックします。
2    インポート Idp メタデータページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。

パブリック署名および信頼された証明書を使用するサービスプロバイダには、メタデータの証明機関が署名した証明書を必須とする (より安全) を使用することを推奨します。

3    [次へ] をクリックします。
4    SSO 接続をテストするを選択し、新しいブラウザタブが開いたとき、IdP でサインインすることで認証します。

認証エラーが発生する一般的な理由は、証明書の問題です。 ユーザー名とパスワードを確認して再度試してください。

Cisco Spark または Webex エラーは通常、 SSO セットアップのことを意味します。 この場合は、この手順、特に Cisco Spark メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

5    Cisco Cloud Collaboration Management のブラウザタブに戻ります。
  • テストが成功した場合、このテストは成功しましたを選択してください。 シングルサインオンオプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 シングルサインオンオプションを無効化し、[次へ] をクリックする。
 

Attachments

    Outcomes