Jednotné přihlašování a Control Hub

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Webex a poskytovatelem identity (IdP).

Profily

Webex App podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče webex app podporuje následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NameID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Webex App podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

SingleLogout

Webex App podporuje jediný profil odhlášení. V aplikaci Webexse uživatel může odhlásit z aplikace, která používá protokol SAML pro ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Control Hubu se Shibbolethem


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikace Webex , schůzekWebex a dalších služebspravovaných v Centru řízení ). Pokud je web Webex integrován do centra Control Hub , web Webex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Webex tímto způsobem a nejsou spravovány v ovládacím centru , musíte provéstsamostatnou integraci, abyste povolili SSO pro schůzky Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Kroky integrace se týkají Shibboleth 2.4.5 v CentOS 7 s Tomcat 7 jako webový server.

Než začnete

Pro SSO a Control Hubmusí idp odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comčásti Přejděte do > Nastavení organizace pro správu a potom přejděte na Ověřování a potom přepněte nastavení Jednotné přihlašování a spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Společnost Cisco podepsalasmlouvu sama – tuto volbu doporučujeme. Podepište certifikát, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale budete muset často aktualizovat metadata (pokud dodavatel IdP nepodporuje kotvy důvěryhodnosti).

 

Kotvy důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci k idp.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex jeidb-meta-<org-ID>-SP.xml.

Konfigurace autorizace v souborech Shibboleth

Po instalaci Shibboleth, máte k dispozici konfigurační soubory s příklady.

1

Přejděte do adresáře /opt/shibboleth-idp/conf a získejte přístup k ukázkovým souborům.

2

Rozhodněte se, kterou autorizační metodu použít – například vazbu LDAP na službu Active Directory.

3

Upravte obslužnou rutinu.xml soubor takto:

Odkracování

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Komentář

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Vyplňte podrobnosti služby Active Directory, abyste umožnili ověřování. Zadejte konfiguraci souboru login.config.

Příklad:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurace komponent poskytovatele služeb Shibboleth pro tvrzení SAML

1

Přidejte soubor stažený z webex SP do adresáře /opt/shibboleth-idp/metadata.

2

Upravte soubor.xml na spoléhající straně; za značku DefaultRelyingParty přidejte podrobnosti o kontrolním výrazu SAML pro Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Pro id je nutné použít hodnotu EntityID ze souboru metadat Webex. Nahraďte ID příkladu entityidem vaší organizace.

3

Uvnitř značky metadata:MetadataProvider přidejte umístění souboru:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Metadata SP pocházejí ze souboru v systému souborů Shibboleth v místě, kde jste nahráli metadata pro vaši organizaci Webex.

Konfigurace atributů kontrolního výrazu

1

V části Datový konektor určete, kde chcete načíst atributy o uživatelích.

Příklad:

Služba Active Directory s id myLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

V části Definice atributu zachovejte to, co je již v konfiguraci pro transientID.

3

Přidejte další atribut, který sp očekává, a definujte, na co se mapuje ve zdroji atributů.

Příklad:

Namapujte e-mail atributu (atribut e-mailové adresy ve službě Active Directory) na identifikátor uid (UserID in Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definujte, který atribut má být každému dohodě SP v souboru .xml atributů.

Zadejte atribut uid společnosti Webex, který se mapuje na e-mailovou adresu uživatele.

Příklad:

Uvolněte atribut uid k dohodě SP se službou Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravidlo, které jste vytvořili v atribut-resolver.xml by mělo mít zásadu pro uvolnění atributu mail-attr entityID, který odpovídá Webexu .

5

Stáhněte si soubor metadat ze serveru Shibboleth v /opt/shibboleth-idp/metadata. Název souboru je idp-metadata.xml.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idpu a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Centra řízení .

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku s výběrem certifikátu v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v aplikaci https://admin.webex.comSpráva > Nastavení organizace , přejděte na Ověřování a zvolte Akce > Importmetadat.
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné pouze v případě, že váš IdP použil veřejnou certifikační autoritu k podepsání metadat.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To zahrnuje, pokud metadata nejsou podepsána, podepsána nebo podepsána soukromou certifikační autoritou.

3

Vyberte Otestovat nastavení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. Tento krok zastaví falešně pozitivní výsledky z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Úspěšný test. Zapněte SSO a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Neúspěšný test. Vypněte SSO a klikněte na Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.