CUCM と AD FS 2.0 を使用したシングル サインオンの設定（Windows Server 2008 R2） 目次

はじめに前提条件要件使用するコンポーネントWindows Server 上での AD FS 2.0 のダウンロードとインストールWindows Server 上での AD FS 2.0 の設定CUCM への Idp メタデータのインポート/CUCM メタデータのダウンロードAD FS 2.0 サーバへの CUCM メタデータのインポートと要求ルールの作成CUCM 上での SSO の有効化の終了と SSO テストの実行トラブルシューティングデバッグする SSO ログの設定フェデレーション サービス名の検索フェデレーション サービス名を指定する場合のドットなし証明書CUCM サーバと IDP サーバ間で時刻が同期しない

概要

このドキュメントでは、Cisco Unified Communication Manage（CUCM）と Active Directory フェデレーション サービス（AD FS）2.0（Windows Server 2008 R2）を使用してシングル サインオンを設定する方法について説明します。  これらのステップも AD FS 3.0 と Windows サーバ2016 で使用され、同様にそこにはたらきます。

著者：Cisco TAC エンジニア Scott Kiewert

前提条件

要件

次の項目に関する知識が推奨されます。

Cisco Unified Communication Manager●

AD FS の基本的な知識●

ラボ環境で SSO を有効にするには、次の構成が必要です

インストールされる AD FS の Windows サーバ●

LDAP 同期化が設定されている CUCM●

選択される標準 CCM スーパ ユーザ ロールのエンドユーザ●

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

AD FS 2.0 がインストール済みの Windows Server●

CUCM 10.5.2●

Windows Server 上での AD FS 2.0 のダウンロードとインストール

ステップ 1：https://www.microsoft.com/en-us/download/details.aspx?id=10909 に移動して、[Continue] をクリックします。

呼び出します。  ポップアップ ウィンドウで、Windows Server に基づいて適切なダウンロードが選択されていることを確認します。

ステップ 3：ダウンロードしたファイルを Windows Server に移動します。

ステップ 4：インストールに進みます。

ステップ 5 プロンプトが表示されたら、[Federation Server] を選択します。

ステップ 6  一部の依存関係が自動的にインストールされる場合があります。[Finish] をクリックするように要求されます。

これで AD FS 2.0 がサーバにインストールされました。一部の設定を追加する必要があります。

Windows Server 上での AD FS 2.0 の設定

ステップ 1： インストール後に AD FS 2.0 ウィンドウが開くはずです。あるいは [Start] をクリックして [AD FS 2.0 Management] を見つけることもできます。

ステップ 2： AD FS ウィンドウが開いたら、[AD FS 2.0 Federation Server ConfigurationWizard] を選択します。

ステップ 3  次に、[Create a new Federation Service] をクリックします。

ステップ 4 ラボ環境では、スタンドアロン フェデレーション サーバで十分です。

ステップ 5 次に、サーバで使用される証明書を選択するように要求されます。  サーバ上に証明書が存在している限り、それが自動入力されるはずです。

ステップ 6 サーバ上に AD FS データベースが存在している場合は、それを削除してから続行する必要があります。

ステップ 7 最後に、サマリー画面で、[Next] をクリックします。

  

CUCM への Idp メタデータのインポート/CUCM メタデータのダウンロード

ステップ 1：次の URL に移動することにより、AD FS サーバからメタデータをダウンロードします。  https://hostname/federationmetadata/2007-06/federationmetadata.xml

ステップ 2：[Cisco Unified CM Administration] > [System] >  [SAML Single Sign-On] に移動します。

ステップ 3：[Enable SAML SSO] をクリックします。

ステップ 4 リセットする必要のある Web サーバ接続に関する警告が表示された場合には、単に [Continue] をクリックします。

ステップ 5 次に、IdP からメタデータ ファイルをダウンロードするように CUCM から要求されます。  このシナリオでは、AD FS サーバが IdP であり、上記のステップ 1 でメタデータをダウンロードしたため、[Next] をクリックします。

ステップ 6 ファイルをインポートするように要求されます。

ステップ 7：[Browse] > [Select the .xml from Step 1] > [Click Import IdP Metadata] をクリックします。

ステップ 8 インポートが成功したことを伝えるメッセージが表示されます。

ステップ 9：[Next] をクリックします。

ステップ 10：これで IdP メタデータが CUCM にインポートされました。CUCM のメタデータを IdP にインポートする必要があります。

ステップ 11：[Download Trust Metadata File] をクリックします。

ステップ 12： [Next] をクリックします。

ステップ 13： ステップ 12 でダウンロードした .zip ファイルを Windows Server に移動して、その中身を 1 つのフォルダに解凍します。

AD FS 2.0 サーバへの CUCM メタデータのインポートと要求ルールの作成

ステップ 1：この時点で、AD FS サーバに戻り、[Start] をクリックして [AD FS 2.0Management] を検索することにより、AD FS 2.0 Management ウィンドウを開きます。

ステップ 2：[Required: Add a trusted relying party] をクリックします。（注： これが表示されない場合は、ウィンドウを閉じて、もう一度開く必要があります。  フェデレーション サ

ーバ ウィザードが終了した後にウィンドウが開いたままの場合は、このオプションが表示されません。）

ステップ 3 [Add Relying Party Trust Wizard] ウィザードが開いたら、[Start] をクリックします。

ステップ 4 ここで、ステップ 13 で解凍した .xml ファイルをインポートする必要があるため、[Import data about the relying party from a file] を選択し、ファイルを含むフォルダを参照して、パブリッシャの .xml ファイルを選択します。

注: SSO を使用するすべてのユニファイド コラボレーション サーバに対して、上記と同じ手順を実行してください。

ステップ 5：[Next] をクリックします。

ステップ 6：[Display Name] を適切に編集してから、[Next] をクリックします。

ステップ 7：[Permit all users to access this relying party] を選択して、[Next] をクリックします。

ステップ 8：もう一度、[Next] をクリックします。

ステップ 9： この画面で、[Open the Edit Claim Rules dialog for this relying party trust whenthe wizard closes] がオンになっていることを確認して、[Close] をクリックします。

ステップ 10： これで、次のようなウィンドウが表示されます。

ステップ 11： このウィンドウで、[Add Rule] をクリックします。

ステップ 12： [Claim rule template]（要求ルール テンプレート）で [Send LDAP Attributesas Claims] を選択して、[Next] をクリックします。

ステップ 13： 次のページで、[Claim rule name] の [NameID] を入力します。

ステップ 14： [Attribute store] の [Active Directory] を選択します。

ステップ 15： [LDAP Attribute] には [SAM-Account-Name] を選択します。

ステップ 16： [Outgoing Claim Type] の [uid] を入力します。

注: [uid] は、自動入力されたりドロップダウン リストに表示されたりするオプションではありません

ステップ 17： [Finish] をクリックします。

ステップ 18： これで、ルールが表示されるはずです。別のルールを追加する必要があるため、もう一度、[Add Rule] をクリックします。

ステップ 19： [Send Claims Using a Custom Rule] を選択します。

ステップ 20： [Claim rule name] を入力します（任意の名前を入力できます）。

ステップ 21： [Custom rule] フィールドに、次のテキストを貼り付けます。

c: [[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

 => = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" = c.IssuerOriginalIssuer = c.OriginalIssuer = c.ValueValueType

= c.ValueTypeProperties [http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] ="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"Properties [

http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = http:// <AD_FS_SERVICE_NAME>

/adfs/com/adfs/service/trustProperties [http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = <CUCM_ENTITY_ID>;

ステップ 22： 2 つの青色のテキスト ブロックを適切な値に必ず変更してください。

注: [AD FS Service Name] がよく分からない場合は、このドキュメントのコメントに移動して、[AD FS Service Name] の特定方法を参照してください。

注: CUCM エンティティ ID は CUCM メタデータ ファイルの最初行から引っ張ることがで

きます。  そのようなことが表示されます: entityID= " cucm1251.sckiewer.lab" そう上記のクレーム ルールの適切なセクションにちょうど下線を引かれた値を入力します。

ステップ 23： [Finish] をクリックします。

ステップ 24： [OK] をクリックします。

注: 要求ルールは、SSO を使用するすべてのユニファイド コラボレーション サーバに必要です。

CUCM 上での SSO の有効化の終了と SSO テストの実行

ステップ 1：これで AD FS サーバの設定が完了し、CUCM に戻ることができます。

呼び出します。 次のようなページが表示されるはずです。

ステップ 3：先に進んで、[Standard CCM Super Users] ロールが選択されているエンド ユーザを選択し、[Run SSO Test...] をクリックします。

ステップ 4 読み込みに約 30 秒かかる場合がありますが、ログインを求めるポップアップ ウィンドウがやがて表示されます。

ステップ 5：選択したユーザ用に LDAP サーバで設定したパスワードを入力すると、次の画面が表示されます。

ステップ 6：ポップアップ ウィンドウで [Close] をクリックしてから、[Finish] をクリックします。

これで、SSO がラボ内で設定されました。

トラブルシューティング

デバッグする SSO ログの設定

デバッグする SSO ログを設定するには、CUCM の CLI で次のコマンドを実行する必要があります。 set samltrace level debug

SSO ログは RTMT からダウンロードできます。 設定されたログの名前は、Cisco SSO です。

フェデレーション サービス名の検索

フェデレーション サーバ名を確認するには、[Start] をクリックし、[AD FS 2.0 Management] を見つけて開きます。

• [Edit Federation Service Properties…] をクリックします。• [General] タブで、[Federation Service name] を探します。

フェデレーション サービス名を指定する場合のドットなし証明書

AD FS 設定ウィザードの実行中に次のエラー メッセージが表示された場合は、新しい証明書を作成する必要があります。

"「The selected certificate cannot be used to determine the Federation Service name becuase theselected certificate has a dotless (short-named) Subject name (for example, fabrikam). Selectanother certificate without a dotless (short-named) Subject name (for example, fs.fabrikam.com),and then try again.」

[Start] をクリックして iis を検索し、インターネット インフォメーション サービス（IIS）マネージャを開きます。

サーバの名前をクリックします。

[Server Certificates] をクリックします。

[Create Self-Signed Certificate] をクリックします

証明書のエイリアスとして名前を入力します

CUCM サーバと IDP サーバ間で時刻が同期しない

CUCM から SSO テストを実行しようとして以下のエラーが表示された場合は、CUCM と同じNTP サーバを使用するように Windows Server を設定する必要があります。 これを実行するプロセスは次のコメントに記載されています。

"「Invalid SAML response. This may be caused when time is out of sync between the CiscoUnified Communications Manager and IDP servers. Please verify the NTP configuration on bothservers. Run "utils ntp status" from the CLI to check this status on Cisco Unified CommunicationsManager.」

Windows Server で NTP サーバが指定済みの場合は、Idp からメタデータを再び取得して、それを CUCM にアップロードする必要があります。 その後で、SSO テストに直接移動して、同じエラーが表示されるかどうかを確認します。