Single sign-on og Control Hub

Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.

Security Assertion Markup Language (SAML 2.0) Federation-protokollen bruges til at levere SSO-bekræftelse mellem Webex Cloud og din identitetsudbyder (IdP).

Profiler

Webex-appen understøtter kun webbrowserens SSO profil. I webbrowseren til SSO, understøtter Webex-appen følgende bindinger:

  • SP-initieret POST -> POST-binding

  • SP-initieret OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Webex-appen understøtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadata, som du indlæser fra din IdP, konfigureres den første post til brug i Webex.

SingleLogout

Webex-appen understøtter den enkelte log ud-profil. I Webex-appen kan en bruger logge ud af applikationen, som bruger SAML-enkeltlogoutprotokollen til at afslutte sessionen og bekræfte, at der logges ud meddin IdP. Sørg for, at din IdP er konfigureret til SingleLogout.

Integrer Control Hub med Shibboleth


Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel dokumenteres integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andre formater, som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress kan bruges til SSO-integration, men ligger uden for omfanget af vores dokumentation.

Opsæt denne integration for brugere i din Webex-organisation (herunder Webex-app,Webex Meetings og andre tjenester, der administreres i Control Hub). Hvis dit Webex-websted er integreret i ControlHub, så overtager Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Webex Meetings på denne måde, og det ikke administreres i Control Hub , skal du udføre en separat integration for at SSO for Webex Meetings . (Se Configure Single Sign-On for Webex (konfigurer single sign-on til Webex) for at få flere oplysninger om SSO-integration i webstedsadministration.)

Integrationstrinnene henviser til Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som webserveren.

Før du begynder

For SSO og Control Hubskal IdPs overholde SAML 2.0-specifikationen. Desuden skal identitetsudbydere konfigureres på følgende måde:

Download Webex-metadata til dit lokale system

1

I kundevisningen i skal du gå til Administration > Organisationsindstillinger og derefter rulle ned til Godkendelse og derefter aktivere enkelt login-indstillingen for at starte https://admin.webex.com opsætningsguiden.

2

Vælg certifikattypen for din organisation:

  • Selv underskrevet af Cisco- Vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Underskrevet af en offentlig certifikatmyndighed - Mere sikker, men du skal ofte opdateremetadataene (medmindre din IdP-leverandør understøtter tillidsankre).

 

Tillidsankre er offentlige nøgler, der fungerer som en myndighed til at bekræfte en digital underskrifts certifikat. Få yderligere oplysninger i din IdP-dokumentation.

3

Download metadatafilen.

Webex metadata filnavnet er idb-meta-<org-ID>-SP.xml.

Konfigurer godkendelse i Shibboleth-filer

Efter du installerer Shibboleth, får du konfigurationsfiler med eksempler.

1

Gå til mappen /opt/shibboleth-idp/conf for at få adgang til eksempelfilerne.

2

Beslut, hvilken godkendelsesmetode du vil bruge , for eksempel LDAP, der skal bindes Active Directory.

3

Rediger handler.xml filen som følger:

Afkommentere

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Udfyld oplysningerne om dine -Active Directory at tillade bekræftelsen. Angiv konfigurationen til filen login.config.

Eksempel:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurer Shibboleth serviceudbyderkomponenter til SAML-påstand

1

Tilføj filen, du downloadede fra Webex SP, i mappen /opt/shibboleth-idp/metadata.

2

Rediger filen relying-party.xml; efter Tagget DefaultRelyingParty skal du tilføje oplysninger om SAML-påstanden for Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

For id skal du bruge Værdien af EntityID fra Webex metadata-filen. Erstat -id'et for eksemplet med din organisations EntityID.

3

I metadata:MetadataProvider-tagget skal du tilføje filens placering:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP-metadata kommer fra en fil i Shibboleth-filsystemet på den placering, hvor du overførte metadataene for din Webex-organisation.

Konfigurer sikkerhedsattributterne

1

I afsnittet Datakonnektor skal du angive, hvor attributter for dine brugere skal hentes.

Eksempel:

Active Directory, med et id på MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

I afsnittet Attributdefinition skal du beholde det, der allerede er i konfigurationen for transientID.

3

Tilføj den ekstra attribut, som SP'en forventer, og definer, hvad den kortlægger i attributkilden.

Eksempel:

Tilknyt attribut-mail (e-mailadresseattribut Active Directory) til uid (Bruger-id i Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definer, hvilken attribut der skal angives for hver SP-aftale i attribut-filter.xml-filen.

Angiv uid-attributten til Webex, som kortlægger brugerens e-mailadresse.

Eksempel:

Slip attributten uid til SP-aftalen med Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Den regel, som du oprettede i attribute-resolver.xml, bør have en politik for at frigive mail-attr-attributten til EntityID, der matcher Webex.

5

Download metadata-filen fra Shibboleth-serveren i /opt/shibboleth-idp/metadata. Filnavnet er idp-metadata.xml.

Importer IdP-metadata, og single sign-on efter en test

Når du har eksporteret Webex-metadata, konfigureret din IdP og downloade IdP-metadata til dit lokale system, er du klar til at importere dem i din Webex-organisation fra Control Hub .

Før du begynder

Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun flows, der er initieret af tjenesteudbydere (SP-initierede), så du skal bruge Control Hub SSO-testen til denne integration.

1

Vælg én:

  • Vend tilbage til siden Control Hub – certifikatvalg i din browser, og klik derefter på Næste.
  • Hvis Control Hub ikke længere er åben i fanen Browser, skal du i kundevisningen i gå til Administration > https://admin.webex.comorganisationsindstillinger,rulle ned til Godkendelse og derefter vælge Handlinger > Importer metadata .
2

På siden Import IdP Metadata (importer IdP-metadata) skal du enten trække og slippe IdP-metadatafilen ind på siden eller bruge filbrowseren til at finde og overføre metadatafilen. Klik på Næste.

Du bør bruge valgmuligheden Mere sikker, hvis du kan. Dette er kun muligt, hvis din IdP brugte en offentlig CA til at underskrive dens metadata.

I alle andre tilfælde skal du bruge valgmuligheden Mindre sikker. Dette omfatter, hvis metadataene ikke er signeret, selv underskrevet eller underskrevet af en privat CA.

3

Vælg Test SSOopsætning, og når en ny browserfane åbnes, skal du godkende med IdP ved at logge ind.


 

Hvis du får en godkendelsesfejl, kan der være et problem med legitimationsoplysningerne. Kontrollér brugernavnet og adgangskoden, og prøv igen.

En Webex App-fejl betyder som regel et problem med SSO opsætning. I dette tilfælde skal du gennemgå trinnene igen, særligt de trin, hvor du kopierer og indsætter Control Hub-metadataene i IdP-opsætningen.


 

Du kan få SSO ved at logge ind direkte ved at klikke på Kopiér URL-adresse til udklipsholderen fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gå igennem og logge ind med SSO. Dette trin stopper falske positiver, som følge af et adgangstoken, som kan være i en eksisterende session, hvor du er logget ind.

4

Vend tilbage til Control Hub-browserfanen.

  • Hvis testen blev udført, skal du vælge Vellykket test. Tænd for SSO , og klik på Næste.
  • Hvis testen mislykkedes, skal du vælge Mislykket test. Sluk SSO, og klik på Næste.

 

Konfigurationen SSO ikke i din organisation, medmindre du først vælger valgknap og SSO.

Hvad er næste trin?

Du kan følge proceduren i Undertryk automatiserede e-mails for at deaktivere e-mails, der sendes til nye brugere af Webex-appen i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.