CUC 15 — SAML SSO Jabber

CoDeC

Здравствуйте,
После обновления CUC с версии 12.5 до 15 и продления сертификатов, срок действия которых скоро истекает, а затем повторного выполнения процесса SSO, мы обнаружили, что у пользователей с голосовой почтой в Cisco Jabber возникают проблемы с аутентификацией в Cisco Unity (с CUCM все работает нормально). При открытии Cisco Jabber у них появляется всплывающее окно с запросом имени пользователя и пароля: ![CoDeC_0-1751379286658.png] Пользователи могут без проблем получить доступ к своему почтовому ящику (https://<server>/inbox) через SSO. Наш сценарий:
CUCM: 12.5.1.14900-63
CUC: 15.0.1.12900-43
Cisco Jabber для Windows: 14.3.1 и 15.1.0
CUCM и CUC включили SSO.
Пользователи CUC импортированы из LDAP. Аутентификация LDAP включена.
Профиль службы не изменился после обновления CUC. «Источник учетных данных для службы голосовой почты» установлен на «Не установлено», а в CUC не настроены серверы Authz. В журналах Jabber я нашел: 2025-07-01 14:09:57,875 DEBUG [0x00008f9c] [ailplugin\jabbervoicemailpanel.cpp(1750)]
[VoicemailPlugin] [JabberVoicemailPanel::OnVoicemailUnRegistered] - Voice mail unregistered, error code: EmptySSOAuthTokenProvided из этого
[разговора]
я нашел этот
документ
. Я открыл заявку в TAC, и инженер первого уровня сделал то же самое, что и до разговора, то есть создал сервер Authz и включил параметр Enterprise «OAuth с обязательным полем обновления потока входа». Но это изменение требует, чтобы конечные пользователи вводили свои учетные данные голосовой почты в настройках>учетная запись из Cisco Jabber. Итак, мой вопрос: может ли Cisco Unity Connection v15 работать как Cisco Unity Connection 12.5, без запроса у конечных пользователей ввода учетных данных голосовой почты. Cisco Jabber нормально работает с SSO для телефонных функций. Мы развернули Cisco Jabber с ServicesDomainSsoEmailPrompt: ON С уважением,</server>

Jonathan Schulenberg

Как в CUCM, так и в CUC (а также в Expressway при использовании MRA)
должен
быть
включен OAuth (AuthZ),
но для использования SAML SSO это не обязательно. Странно в описании проблемы то, что симптомы противоположны тому, что должно быть для описанной вами конфигурации. Jabber должен запрашивать учетные данные в Preferences > Accounts только тогда, когда OAuth и SSO отключены. Диалоговое окно с именем пользователя и паролем на вашем скриншоте — это CUCM AuthZ, которое отображается только тогда, когда SAML SSO отключен, а OAuth включен. Репликация кластерной базы данных на CUCM и CUC работает нормально? И что произойдет, если удалить
параметр
ServicesDomainSsoEmailPrompt
? Я никогда не использовал этот параметр, и в
руководстве
по развертыванию указано,
что для его работы требуется четыре параметра msiexec.

Roger Kallberg

Да, это работает так же. TAC сказал вам верно, вы должны установить эти настройки, и это не должно требовать от пользователя ввода каких-либо учетных данных в меню настроек. ![Response Signature]

CoDeC

Привет, Роджер, спасибо за ответ. С моей точки зрения, в версиях от CUC 12.5(1) до CUC 15.0(1)SU2 все работает по-разному. В версии CUC 12.5(1)SU5 пользователи Cisco Jabber должны были ввести свой адрес электронной почты, например
username@example.com
, только один раз в Jabber, после чего они могли войти в CUCM и CUC, не вводя учетные данные для Unity в разделе «Настройки» > «Учетные записи». После обновления CUC до версии 15.0(1)SU2 вход в Unity стал невозможен, и в журналах Jabber мы видим: 2025-07-01 14:09:57,875 DEBUG [0x00008f9c] [ailplugin\jabbervoicemailpanel.cpp(1750)] [VoicemailPlugin] [JabberVoicemailPanel::OnVoicemailUnRegistered] — Голосовая почта не зарегистрирована, код ошибки: EmptySSOAuthTokenProvided Cisco TAC запросил у нас следующее изменение в настройках: Unity:
Параметры предприятия >> включен OAuth с обновлением потока входа.
Серверы Authz >> добавлен сервер CUCM pub и синхронизированные ключи. CUCM:
Управление пользователями >> настройки пользователя >> профиль службы >> профиль голосовой почты >> служба голосовой почты, выберите «Unified CM - IM and Presence» в источнике учетных данных для службы голосовой почты. После этой модификации в Cisco Jabber настройки «Настройки>Учетная запись» изменились на: ![CoDeC_0-1751442105234.png] а раньше отображался только сервер: ![CoDeC_0-1751448183181.png] Теперь пользователи должны ввести свои учетные данные при первом входе. При выходе из системы или закрытии приложения вводить эти учетные данные больше не нужно. Я не уверен, что все написал правильно, но до обновления, похоже, вход в Jabber в Unity осуществлялся через SSO SAML. Спасибо за ваши комментарии. С уважением,

CoDeC

Да, CUCM и CUC имеют правильную репликацию базы данных. Мы используем следующий cli для установки Cisco Jabber для Windows: msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 SERVICES_DOMAIN=subdomain.domain.eu EXCLUDED_SERVICES=WEBEX UPN_DISCOVERY_ENABLED=true CLICK2X=DISABLE SSO_EMAIL_PROMPT=ON Что касается конфигурации сервера Authz, я ввел узел издателя, но когда я попытался ввести второй сервер того же кластера издателя, я получил следующее сообщение: ![CoDeC_0-1751450830502.png] «cucm-pub» — это отображаемое имя записи издателя. С уважением,

Roger Kallberg

Если SSO и Oath настроены и работают правильно, эти поля не должны быть заполнены. Я думаю, что вам нужно продолжить работу с TAC по этому вопросу, так как ваша настройка и пользовательский интерфейс не соответствуют ожиданиям. ![Response Signature]

CoDeC

Наконец, я нашел первопричину после проверки документации, которую вы мне предоставили. OAuth с обновлением потока входа
в CUCM был отключен. После включения в моем окне «Настройки» > «Учетная запись» отображается следующее: ![CoDeC_0-1751451517032.png] и синхронизация голосовой почты с Jabber работает нормально. Большое спасибо.