Единични отбори за подписване и Cisco Webex

Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.

Протоколът за коректура за установяване на сигурността (SAML 2.0) Се използва за предоставяне на SSO удостоверяване между облака Cisco Webex и вашия доставчик на самоличност (IdP).

Профили

Cisco Webex Teams поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Cisco Webex Teams поддържа следните свързвания:

  • SP инициира POST -> POST свързване

  • SP инициира ПРЕНАСОЧВАНЕ -> POST свързване

Формат на NameID

Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Cisco Webex Teams поддържа следните формати nameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Cisco Webex.

Единично излизане

Cisco Webex Teams поддържа единния профил за излизане. В приложението Cisco Webex Teams потребителят може да излезе от приложението, което използва протокола saml единично излизане, за да прекрати сесията и да потвърди този изход с вашия IdP. Гарантирайте, че вашият IdP е конфигуриран за SingleLogout.

Интегриране на Cisco Webex контролен хъб с SimpleSAML за еднократна идентификация


Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребителите във вашата организация Cisco Webex (включително Cisco Webex Teams, Cisco Webex Meetingsи други услуги, администрирани в Cisco Webex Control Hub). Ако вашият Webex сайт е интегриран в Cisco Webex Control Hub, webex сайтът наследява управлението на потребителите. Ако нямате достъп до Срещите на Cisco Webex по този начин и той не се управлява в Cisco Webex Control Hub, трябва да направите отделна интеграция, за да разрешите SSO за Cisco Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в интегрирането на SSO в администрирането на сайта.)

Преди да започнете

За SSO и Cisco Webex контролен хъб, IDPs трябва да съответстват на спецификацията SAML 2.0. Освен това IDPs трябва да бъдат конфигурирани по следния начин:
  • Задайте атрибута NameID Формат на урната:oasis:names:tc:SAML:2.0:nameid-формат:преходен

  • Конфигурирайте претенция на IdP да включва името на атрибута uid със стойност, която е съпоставена с атрибута, който е избран в Cisco Directory Connector или потребителския атрибут, който съответства на този, който е избран в услугата за самоличност cisco Webex. (Този атрибут може да бъде Имейл адреси или User-Principal-Name, например.) Вижте информацията за персонализирания атрибут в https://www.cisco.com/go/hybrid-services-directory за насоки.

  • Използване на поддържан браузър: препоръчваме най-новата версия на Mozilla Firefox или Google Chrome.

  • Деактивирайте всички изскачащи блокери във вашия браузър.

Изтеглете метаданните на Cisco Webex във вашата локална система

1

От изгледа на клиента в , отидете на https://admin.webex.comНастройки , след коетопревъртете до Удостоверяване.

2

Щракнете върху Промяна , щракнете върху Интегриране на доставчик на самоличност от 3-та страна. (Разширени)и след това щракнете върху Напред.

3

Изтеглете файла с метаданни.

Метаданните на Cisco Webex filename са idb-meta-<org-ID>-SP.xml.

Конвертиране на метаданни

1

Отворете експортирания файл с метаданни cisco Webex в текстов редактор.

2

В браузъра си отворете началната страница simpleSAML и влезте с вашите администраторски идентификационни данни.

Местоположението на началната страница варира, но обикновено е подобно на този URL адрес на примера: https://yourcompany.yourdomain.com/simplesaml.

3

От главната страница щракнете върху Федерация.

4

Под инструменти направете XML към Simple SAML XML конвертиране.

5

Копирайте метаданните на Cisco Webex от текстовия си редактор и след това го поставете в полето XML конвертиране.

6

Щракнете върху Анализиране.

Появява се преобразуваните метаданни. Ще добавите тези данни към отдалечения SP текстов файл.

Създаване на файл с метаданни на отдалечен доставчик на услуги

Тези стъпки са предназначени за пример. Директорията с метаданни и IdP хостът ще се различават в зависимост от настройката на клиента ви.

Преди да започнете

Бъдете наясно с атрибутите, които трябва да премине и mapp съответно чрез редактиране на файла метаданни saml20-idp хоствани.php файл. (Например uid, поща, имейл и така нататък). Вижте примерните метаданни:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

В конфигурацията simpleSAML на хоста отидете на метаданни директория.

2

С помощта на текстов редактор поставете анализираните данни в края на saml20-sp-remote.php и запишете файла.

3

Върнете се на първа страница simpleSAML, щракнете върху Федерация , след което покажете метаданни задоставчика на самоличност.

4

Поставете данните в нов текстов файл.

5

Запишете актуализирания файл на вашия работен плот със смислено име като simplesaml-метаданни.xml.

Импортиране на метаданните на IDP и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Cisco Webex, конфигурирате вашия IdP и изтеглите метаданните на IdP във вашата локална система, сте готови да го импортирате във вашата cisco Webex организация от Control Hub.

1

Изберете един:

  • Върнете се в страницата Cisco Webex Контролен център – Метаданни на директорията за експортиране във вашия браузър и след това щракнете върху напред.
  • Ако Control Hub вече не е отворен в раздела на браузъра, от изгледа на клиента в , отидете на Настройки , превъртете до Удостоверяване , изберете Интегриране на доставчик на самоличност на трета страна https://admin.webex.com(Advanced), след което щракнете върху Напред на страница с надеждни метаданни файл (защото вече сте го направили преди).
2

На страницата Импортиране на IdP метаданни или плъзнете и пуснете файла с метаданни на IdP на страницата или използвайте опцията за браузър на файлове, за да локализирате и качите файла с метаданни. Щракнете върху Напред.

Ако метаданните не са подписани, подписано е със самоподписан сертификат или е подписано с частен орган за корпоративни сертификати (CA), препоръчваме ви да използвате изисква сертификат, подписан от сертификатен орган в Метаданни (по-сигурен). Ако сертификатът е самоподписан, трябва да изберете по-малко сигурната опция.

3

Изберете Тест sSO връзка и когато се отвори нов раздел набраузъра, удостоверете с IdP, като влезете.


 

Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex Teams обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP.

4

Върнете се в раздела браузър на контролния център.

  • Ако тестът е бил успешен, изберете Този тест е бил успешен. Активирайте опцията еднократна идентификация и щракнете върху Напред.
  • Ако тестът е бил неуспешен, изберете Този тест е бил неуспешен. Деактивирайте опцията еднократна идентификация и щракнете върху Напред .

Какво да направите след това

Можете да следвате процедурата в Потискане на автоматизирани имейли, за да забраните имейли, които се изпращат на нови потребители на Webex Teams във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.