Единичен център за влизане и управление

Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.

Протоколът за маркиране на защитата assertion (SAML 2.0) Федерация протокол се използва за предоставяне на SSO удостоверяване между Облака на Webex и вашия доставчик на самоличност (IdP).

Профили

Webex App поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Webex App поддържа следните свързвания:

  • SP инициира POST -> POST свързване

  • SP инициира ПРЕНАСОЧВАНЕ -> POST свързване

Формат nameID

Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Webex App поддържа следните формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Webex.

Единично излизане

Webex App поддържа единния профил за излизане. В Webex Appпотребителят може да излезе от приложението, което използва протокола SAML за единично излизане, за да прекрати сесията и да потвърди този изход с вашия IdP. Гарантирайте, че вашият IdP е конфигуриран за SingleLogout.

Интегриране на контролен хъб с Shibboleth

Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребители във вашата уебекс организация (включително Webex App, Webex Срещии други услуги, администрирани в контролния център). Ако вашият Webex сайт е интегриран в контролния център, Webex сайтът наследява управлението на потребителя. Ако нямате достъп до Webex Срещи по този начин и той не се управлява в контролния център, трябва да направите отделна интеграция, за да разрешите SSO за Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в интегрирането на SSO в администрирането на сайта.)

Стъпките за интеграция препращат към Shibboleth 2.4.5 в CentOS 7 с Tomcat 7 като уеб сървър.

Преди да започнете

За SSO и control HubИД Трябва да съответстват на спецификацията SAML 2.0. Освен това IDPs трябва да бъдат конфигурирани по следния начин:

Изтеглете метаданните на Webex във вашата локална система

1

От изгледа на клиента в https://admin.webex.com, отидете на Настройки за управление > организацияислед това превъртете до удостоверяванеи след това превключвайте на настройката за еднократна идентификация , за да стартирате съветника за настройка.
2

Изберете типа сертификат за вашата организация:

  • Самоподписан от Cisco— Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.
  • Подписан от органза публичен сертификат—По-сигурен, но ще трябва често да актуализирате метаданните (освен ако доставчикът ви на IdP поддържа котви за доверие).

 

Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.
3

Изтеглете файла с метаданни.

Уебекс метаданните filename е idb-мета-SP<org-ID>.xml.

Конфигуриране на упълномощаване във файлове на Shibboleth

След като инсталирате Shibboleth, ви се предоставят конфигурационни файлове с примери.

1

Отидете в директорията /opt/shibboleth-idp/conf за достъп до примерните файлове.
2

Решете кой метод за упълномощаване да използвате —например LDAP се свързва с Active Directory.
3

Редактиране на манипулатора .xml файл, както следва:

Разкоммент

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Коментар

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Попълнете детайлите на вашата Active Directory, за да позволите удостоверяването. Предоставете конфигурацията на файла login.config.

Пример:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Конфигуриране на компоненти на доставчика на услуги на Shibboleth за SAML твърдение

1

Добавете файла, който сте изтеглили от Webex SP в директорията /opt/shibboleth-idp/metadata.
2

Редактирайте файла "Разчитаща страна.xml "; след маркера DefaultRelyingParty добавете подробностите за SAML твърдението за Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

За ид трябва да използвате стойността на EntityID от файла с метаданни на Webex . Заменете ИД на примера с EntityID на вашата организация.
3

Вътре в метаданните:Маркер на MetadataProvider добавете местоположението на файла:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Sp метаданни идва от файл във файловата система Shibboleth, в местоположението, където сте качили метаданните за вашата Webex организация.

Конфигуриране на атрибутите на assertion

1

В секцията Конектор за данни задайте къде да извличате атрибути за вашите потребители.

Пример:

Active Directory, с идентификатор на MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

В раздела атрибут дефиниция запази това, което вече е в конфигурацията за transientID.
3

Добавете допълнителния атрибут, който SP очаква, и дефинирайте с какво се съпоставя в източника на атрибута.

Пример:

Нанесете атрибута поща (атрибут на имейл адрес в Active Directory) uid (UserID в Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Дефинирайте кой атрибут да предоставите на всяко СПОРАЗУМЕНИЕ SP във файла атрибут-филтър.xml .

Предоставете атрибута uid на Webex , който карти на имейл адреса на потребителя.

Пример:

Освободете атрибута uid на споразумението SP с Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Правилото, което сте създали в атрибут-резолвер.xml трябва да има правила за освобождаване на атрибута mail-attr на EntityID, който съответства на Webex.
5

Изтеглете файла с метаданни от сървъра на Shibboleth в /opt/shibboleth-idp/metadata. Филенамето е идп-метаданни.xml.

Импортиране на IdP метаданните и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Webex , конфигурирате вашия IdP и изтеглите метаданните на IdP във вашата локална система, сте готови да го импортирате във вашата Webex организация от Контролния център.

Преди да започнете

Не тествайте SSO интеграция от интерфейса на доставчика на самоличност (IdP). Ние поддържаме само потоци, инициирани от Доставчик на услуги (инициирани от SP), така че трябва да използвате sSO теста на контролния център за тази интеграция.

1

Изберете един:

  • Върнете се в контролния център – страницата за избор на сертификат във вашия браузър и след това щракнете върху напред.
  • Ако контролният център вече не е отворен в раздела на браузъра, от изгледа на клиента в, отидете https://admin.webex.com на Управление > настройкина организацията, превъртете до Удостоверяванеи след това изберете Действия > Импортиране наметаданни.
2

На страницата Импортиране на IdP метаданни или плъзнете и пуснете файла с метаданни на IdP на страницата или използвайте опцията за браузър на файлове, за да локализирате и качите файла с метаданни. Щракнете върху Напред.

Трябва да използвате опцията По-сигурна , ако можете. Това е възможно само ако вашият IdP е използвал публичен CA, за да подпише метаданните си.

Във всички останали случаи трябва да използвате опцията По-малко защитена . Това включва, ако метаданните не са подписани, самоподписани или подписани от частен CA.
3

Изберете Тест sSO настройкаи когато се отвори нов раздел на браузъра, удостоверете с IdP, като влезете.


 

Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex App обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP.

 

За да видите директно опита за влизане в SSO, можете също да щракнете върху Копиране на URL адрес в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да минете през влизане със SSO. Тази стъпка спира фалшивите положителни резултати поради маркер за достъп, който може да е в съществуваща сесия от вас, в който сте влезли.
4

Върнете се в раздела браузър на контролния център .

  • Ако тестът е бил успешен, изберете Успешен тест. Включете SSO и щракнете върху напред.
  • Ако тестът е бил неуспешен, изберете Неуспешен тест. Изключете SSO и щракнете върху напред.

 

Конфигурацията на SSO не влиза в сила във вашата организация, освен ако не изберете първия радио бутон и активирате SSO.

Какво да направите след това

Можете да следвате процедурата в Потискане на автоматизирани имейли, за да забраните имейли, които се изпращат на нови потребители на Webex App във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.