Týmy jednotného přihlašování a Cisco Webex

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Cisco Webex a poskytovatelem identity (IdP).

Profily

Cisco Webex Teams podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče podporuje Cisco Webex Teams následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NAMEID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Cisco Webex Teams podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití v cisco Webex.

SingleLogout

Cisco Webex Teams podporuje jediný profil odhlášení. V aplikaci Cisco Webex Teams se uživatel může odhlásit z aplikace, která používá protokol SAML pro jedno odhlášení k ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrujte Cisco Webex Control Hub s SimpleSAML pro jednotné přihlašování


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Cisco Webex (včetně Cisco Webex Teams , CiscoWebex Meetings a dalších služebspravovaných v Cisco Webex Control Hub). Pokud je web Webex integrován do centra Cisco Webex Control Hub , webWebex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Cisco Webex tímto způsobem a není spravován v centru Cisco Webex Control Hub, musíte provést samostatnou integraci, abyste povolili SSO pro schůzky Cisco Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Než začnete

Pro SSO a Cisco Webex Control Hubmusí idP odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:
  • Nastavte atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte deklaraci identity na idp tak, aby zahrnoval název atributu uid s hodnotou, která je mapována na atribut vybraný v konektoru Cisco Directory Connector nebo atribut uživatele, který odpovídá atributu vybranému ve službě Cisco Webex identity. (Tento atribut může být například E-mailové adresy nebo název hlavního uživatele.) Pokyny najdete v informacích o vlastních https://www.cisco.com/go/hybrid-services-directory atributech.

  • Použijte podporovaný prohlížeč: doporučujeme nejnovější verzi Mozilla Firefox nebo Google Chrome.

  • Zakažte všechny blokování vyskakovacích okna v prohlížeči.

Stáhněte si metadata Cisco Webex do místního systému

1

V zobrazení zákazníka v https://admin.webex.comaplikaci přejděte do Nastavení a přejděte na Ověřování.

2

Klikněte na Upravit, klikněte na Integrovat poskytovatele identity třetí strany. (Upřesnit)a potom klikněte na Další.

3

Stáhněte si soubor metadat.

Název souboru metadat Cisco Webex jeidb-meta-<org-ID>-SP.xml.

Převod metadat

1

Otevřete exportovaný soubor metadat Cisco Webex v textovém editoru.

2

V prohlížeči otevřete domovskou stránku simpleSAML a přihlaste se pomocí přihlašovacích údajů správce.

Umístění domovské stránky se liší, ale obvykle je podobné této ukázkové adrese URL: https://yourcompany.yourdomain.com/simplesaml.

3

Na hlavní stránce klikněte na Federace.

4

V části Nástroje provdáte převod XML na Jednoduchý SAML XML.

5

Zkopírujte metadata Cisco Webex z textového editoru a vložte je do pole převodu XML.

6

Klikněte na Analyzovat.

Zobrazí se převedená metadata. Tato data přidáte do vzdáleného textového souboru SP.

Vytvoření souboru metadat poskytovatele vzdálených služeb

Tyto kroky jsou určeny jako příklad. Adresář metadat a hostitel IdP se budou lišit v závislosti na nastavení klienta.

Než začnete

Uvědomte si atributy, které musíte předat a odpovídajícím způsobem upravit soubor metadat saml20-idp hostovaný.php souboru. (Například uid, pošta, e-mail atd.). Podívejte se na ukázková metadata:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

V konfiguraci SimpleSAML na hostiteli přejděte do adresáře metadat.

2

Pomocí textového editoru vložte analyzovaná data na konec saml20-sp-remote.php a uložte soubor.

3

Vraťte se na titulní stránku SimpleSAML, klikněte na Federacea pak zorazněte metadata pro poskytovatele identity.

4

Vložte data do nového textového souboru.

5

Uložte aktualizovaný soubor na plochu se smysluplným názvem, jako je simplesaml-metadata.xml.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Cisco Webex, konfiguraci idp a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Cisco Webex z Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku Cisco Webex Control Hub – Export adresářových metadat v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v https://admin.webex.comaplikaci , přejděte do Nastavení , přejděte na Ověřování , zvolte Integrovat poskytovatele identity třetí strany(Upřesnit)a potom klikněte na Další na stránce souboru důvěryhodných metadat (protože jste to již dříve udělali).
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud metadata nejsou podepsána, jsou podepsána certifikátem podepsaným svým držitelem nebo jsou podepsána privátní certifikační autoritou (CA), doporučujeme použít vyžadovat certifikát podepsaný certifikační autoritou v metadatech (bezpečnější). Pokud je certifikát podepsán svým držitelem, musíte zvolit méně bezpečnou možnost.

3

Vyberte Test připojení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba Webex Teams obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Tento test byl úspěšný. Povolte možnost Jednotné přihlášení a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Tento test byl neúspěšný. Zakažte možnost Jednotné přihlášení a klikněte na Další.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům Webex Teams ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.