Jednotné přihlašování a Centrum řízení

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli zadat přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Federační protokol SAML 2,0 (Security Assertion Markup Language) se používá k zajištění ověřování jednotného přihlašování mezi cloudem Webex a vaším zprostředkovatelem identity (IdP).

Profily

Aplikace Webex podporuje pouze profil jednotného přihlašování webového prohlížeče. V profilu jednotného přihlašování webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP inicioval vazbu POST -> POST

  • SP inicioval vazbu REDIRECT -> POST

Formát NameID

Protokol SAML 2,0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idP, je první položka nakonfigurována pro použití ve Webexu.

SingleLogout

Aplikace Webex podporuje jeden profil odhlášení. V aplikaciWebex se uživatel může odhlásit z aplikace, která používá protokol jednotného odhlášení SAML k ukončení relace a potvrzení, že se odhlásí pomocí svého IdP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Control Hub se Shibboleth

Průvodci konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou fungovat pro integraci jednotného přihlašování , ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikaceWebex, schůzekWebex a dalších služeb spravovaných v Centruřízení). Pokud je váš web Webex integrován do Centrařízení, web Webex zdědí správu uživatelů. Pokud nemůžete přistupovat ke schůzkám Webex tímto způsobem a není spravováno v Centruřízení, musíte provést samostatnou integraci, abyste povolili jednotné přihlašování pro schůzkyWebex. (Viz Konfigurace jednotného přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve Správě webu.)

Integrační kroky odkazují na Shibboleth 2.4.5 v CentOS 7 s Tomcat 7 jako webový server.

Než začnete

Pro jednotné přihlašování a centrumřízení musí zprostředkovatelé identity odpovídat specifikaci SAML 2,0. Kromě toho musí být zprostředkovatelé identity nakonfigurováni následujícím způsobem:

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.com, přejděte na Správa > Nastaveníorganizace a pak přejděte na Ověřovánía pak přepněte na nastavení jednotného přihlašování a spusťte průvodce instalací.
2

Zvolte typ certifikátu pro vaši organizaci:

  • Podepsáno vlastním držitelem společností Cisco– Doporučujeme tuto volbu. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel zprostředkovatele identity nepodporuje kotvy důvěryhodnosti).

 

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.
3

Stáhněte soubor metadat.

Název souboru metadat Webex je idb-meta-<org-ID>-SP.xml.

Konfigurace autorizace v souborech Shibboleth

Po instalaci Shibboleth jsou k dispozici konfigurační soubory s příklady.

1

Přejděte do adresáře /opt/shibboleth-idp/conf pro přístup k ukázkovým souborům.
2

Rozhodněte se, kterou metodu autorizace chcete použít – například vazbu LDAP ke službě Active Directory.
3

Upravte soubor obslužné rutiny.xml následujícím způsobem:

Odkomentovat

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Komentář

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Vyplňte podrobnosti o službě Active Directory, abyste umožnili ověření. Zadejte konfiguraci souboru login.config.

Příklad:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurace komponent poskytovatele služeb Shibboleth pro kontrolní výraz SAML

1

Přidejte soubor, který jste stáhli z Webex SP do adresáře /opt/shibboleth-idp/metadata.
2

Upravte soubor předávající strany.xml ; za značku DefaultRelyingParty přidejte podrobnosti o kontrolním výrazu SAML pro Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Pro id musíte použít hodnotu EntityID ze souboru metadat Webexu . Nahraďte ID příkladu Identifikátorem EntityID vaší organizace.
3

Uvnitř tagu metadata:MetadataProvider přidejte umístění souboru:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Metadata SP pocházejí ze souboru v systému souborů Shibboleth v umístění, kam jste nahráli metadata pro vaši organizaci Webex .

Konfigurace atributů kontrolního výrazu

1

V části Datový konektor určete, kam se mají načíst atributy o uživatelích.

Příklad:

Služba Active Directory s ID MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

V části Definice atributu ponechte to, co je již v konfiguraci pro transientID.
3

Přidejte další atribut, který SP očekává, a definujte, na co se mapuje ve zdroji atributů.

Příklad:

Namapujte atribut mail (atribut e-mailové adresy ve službě Active Directory) na uid (USERID ve Webexu).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definujte, který atribut chcete poskytnout každé dohodě SP v souboru attribute-filter.xml .

Zadejte atribut uid pro Webex , který se mapuje na e-mailovou adresu uživatele.

Příklad:

Uvolněte atribut uid smlouvy SP s Webexem .

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravidlo, které jste vytvořili v attribute-resolver.xml by mělo mít zásadu pro uvolnění atributu mail-attr do EntityID, který odpovídá Webexu.
5

Stáhněte soubor metadat ze serveru Shibboleth v adresáři /opt/shibboleth-idp/metadata. Název souboru je idp-metadata.xml.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu , konfiguraci IdP a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Control Hub.

Než začnete

Netestujte integraci jednotného přihlašování z rozhraní zprostředkovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test jednotného přihlašování Centra Control Hub .

1

Vyberte si jednu:

  • Vraťte se na stránku Control Hub – výběr certifikátu v prohlížeči a klikněte na tlačítko Další.
  • Pokud Centrum řízení již není na kartě prohlížeče otevřené, přejděte v zobrazení zákazníka v https://admin.webex.comčásti Nastavení organizacena > Správu , přejděte na Ověřovánía pak zvolte Akce > Importovat metadata.
2

Na stránce Importovat metadata IdP přetáhněte soubor metadat IdP na stránku nebo pomocí možnosti prohlížeče souborů vyhledejte a nahrajte soubor metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější . To je možné jenom v případě, že váš zprostředkovatel identity použil k podepsání svých metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít možnost Méně zabezpečené . To platí i v případě, že metadata nejsou podepsána, podepsána svým držitelem nebo podepsána soukromou certifikační autoritou.
3

Vyberte Testovat nastavení jednotného přihlašovánía když se otevře nová karta prohlížeče, ověřte se u zprostředkovatele identity přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

 

Pokud chcete zobrazit prostředí pro přihlašování pomocí jednotného přihlašování přímo, můžete na této obrazovce také kliknout na Kopírovat adresu URL do schránky a vložit ji do okna privátního prohlížeče. Odtud můžete projít přihlášením pomocí jednotného přihlašování. Tento krok zastaví falešné poplachy z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.
4

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte jednotné přihlašování a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vypněte jednotné přihlašování a klikněte na Další.

 

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Můžete postupovat podle postupu v části Potlačit automatizované e-maily a zakázat e-maily, které jsou odesílány novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.