Einmalige Anmeldung (SSO) und Cisco Webex Teams

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Cisco Webex Teams unterstützt nur das SSO-Profil des Webbrowsers. Im SSO-Profil des Webbrowsers unterstützt Cisco Webex Teams die folgende Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SAML 2,0-Protokoll unterstützt verschiedene Named-Formate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex Teams unterstützt die folgenden Namensformate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

SingleLogout

Cisco Webex Teams unterstützt das Einzelabmeldungsprofil. In der Cisco Webex Teams App kann sich ein Benutzer von der Anwendung abmelden, wobei das SAML-Einzel Abmelde Protokoll verwendet wird, um die Sitzung zu beenden und die Abmeldung bei Ihrem IDP zu bestätigen. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von Cisco Webex Control Hub mit Shibboleth für Single Sign-On


Die Konfigurationshandbücher zeigen ein spezielles Beispiel für die SSO-Integration, bieten jedoch keine vollständige Konfiguration für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für das Namensformat urn: Oasis: names: TC: SAML: 2.0: namens-Format: Transienten dokumentiert. Andere Formate wie z. b. urn: Oasis: names : TC: SAML: 1.1: names-Format: nicht spezifiziert oder urn: Oasis: Namen: TC: SAML: 1.1: namens-Format: Email-Adressen werden für die SSO-Integration funktionieren, sind aber nicht im Rahmen unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex Organisation ein (einschließlich Cisco Webex Teams, Cisco Webex Meetingsund andere Services, die in verwaltet werden Cisco Webex Control Hub). Wenn Ihre WebEx-Seite in Cisco Webex Control Hub integriert ist, übernimmt die Seite WebEx die Benutzerverwaltung. Wenn Sie nicht auf diese Weise auf Cisco Webex Meetings zugreifen können und dies nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Cisco Webex Meetings zu aktivieren. (Siehe Konfigurieren Sie Single Sign-on für WebEx für weitere Informationen zur SSO-Integration in Site-Administration.)

Die Integrationsschritte beziehen sich auf Shibboleth 2.4.5 in CentOS 7 mit Tomcat 7 als Webserver.

Vorbereitungen

Für SSO und Cisco Webex Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
  • Legen Sie das Name-Format-Attribut auf urn: Oasis: names: TC: SAML: 2.0: Name-Format: Transient fest.

  • Konfigurieren Sie einen Anspruch auf dem IdP, um den UID- Attributnamen mit einem Wert einzuschließen, der dem in Cisco Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das mit dem in der Cisco Webex-Identitätsdienst ausgewählten Attributs übereinstimmt. (Dieses Attribut kann z. b. E-Mail-Adressen oder Benutzerprinzipal Name sein.) Weitere Informationen finden Sie in den benutzerdefinierten Attributen in https://www.Cisco.com/go/Hybrid-Services-Directory .

  • Verwenden Sie einen unterstützten Browser: Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.

Herunterladen der Cisco Webex-Metadaten auf das lokale System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und blättern Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Name der Cisco Webex-Metadatendatei lautet idb-meta-<org-ID>-SP.xml.

Konfiguration der Autorisierung in Shibboleth-Dateien

Nach der Installation von Shibboleth erhalten Sie die Konfigurationsdateien mit Beispielen.

1

Navigieren Sie zu dem Verzeichnis /opt/shibboleth-idp/conf, um auf die Beispieldateien zuzugreifen.

2

Entscheiden Sie sich für eine Autorisierungsmethode – beispielsweise LDAP-Bindung mit Active Directory.

3

Ändern Sie die handler.xml-Datei wie folgt:

Kommentierung aufheben

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

Tragen Sie die Details zu Ihrem Active Directory für die Authentifizierung ein. Geben Sie die Konfiguration in der Datei login.config an.

Beispiel:

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net" bindCredential="ThePassword"; };

Konfiguration von Shibboleth-Dienstanbieterkomponenten für die SAML-Assertion

1

Fügen Sie die aus CI heruntergeladene Datei im Verzeichnis hinzu /opt/shibboleth-idp/metadata.

2

Datei Relying-Party. XML bearbeiten Datei Fügen Sie die Details der SAML-Assertion nach dem DefaultRelyingParty-Tag hinzu Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Für „id“ müssen Sie den EntityID-Wert aus der Cisco Webex-Metadatendatei verwenden. Ersetzen Sie die ID des Beispiels durch die EntityID Ihrer Organisation.

3

Fügen Sie innerhalb des metadata:MetadataProvider-Tag den Speicherort der Datei hinzu:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

Die SP-Metadaten stammen aus einer Datei im Shibboleth-Dateisystem, aus dem Verzeichnis, aus dem Sie die Metadaten für Ihre Cisco Webex-Organisation hochgeladen haben.

Konfiguration der Assertionsattribute

1

Geben Sie im Data Connector-Bereich an, wo die Attribute über Ihre Benutzer abgerufen werden sollen.

Beispiel:

Active Directory, mit der id MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

Behalten Sie im Bereich Attributdefinition den bereits in der Konfiguration vorhandenen Wert für transientID bei.

3

Fügen Sie das zusätzliche Attribut hinzu, das der SP erwartet und definieren Sie die Zuordnung in der Attributquelle.

Beispiel:

Ordnen Sie das Attribut „mail“ (E-Mail-Adressen-Attribut in Active Directory) der „uid“ (UserID in Cisco Webex) zu.
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Definieren Sie das Attribut, das bei den einzelnen SP-Vereinbarungen in der attribute-filter.xml-Datei angegeben werden soll.

Geben Sie in Cisco Webex das uid-Attribut an, das der E-Mail-Adresse des Benutzers zugeordnet ist.

Beispiel:

Geben Sie das uid-Attribut mit Cisco Webex in der SP-Vereinbarung frei.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

Die in attribute-resolver.xml erstellte Regel sollte eine Richtlinie aufweisen, damit das mail-attr-Attribut in der EntityID freigegeben wird, das mit Cisco Webex übereinstimmt.

5

Laden Sie die Metadatendatei vom Shibboleth-Server in /opt/shibboleth-idp/metadata herunter. Der Dateiname lautet idp-metadata.xml.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Nun können Sie sie in Ihre Cisco Webex-Organisation von Control Hub importieren.

1

Wählen Sie eine Option:

  • Gehen Sie zurück zur Seite „Cisco Webex Control Hub – Verzeichnis-Metadaten exportieren“ in Ihrem Browser und klicken Sie auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie in https://admin.webex.com zur Kundenansicht. Gehen Sie zu Einstellungen, scrollen Sie zu Authentifizierung, wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced)und klicken Sie dann auf Nächster auf der Seite mit der vertrauenswürdigen Metadatendatei (da Sie dies bereits zuvor getan haben).
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Wenn die Metadaten nicht signiert sind, mit einem selbstsignierten Zertifikat signiert oder mit einer privaten Unternehmens-Zertifizierungsstelle (Certification Authority, CA) signiert sind, empfehlen wir, dass Sie ein von einer Zertifizierungsstelle signiertes Zertifikat in Metadaten verwenden (sicherer). Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO-Verbindung testen aus., und wenn eine neue Browser-Registerkarte geöffnet wird, authentifizieren Sie sich mit dem IdP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex Teams-Fehler weist in der Regel auf einen Fehler mit der SSO-Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Control Hub-Metadaten kopieren und in das IdP-Setup einfügen.

4

Kehren Sie zur -Browserregisterkarte zurück.Control Hub

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Maßnahme

Anhand des Verfahrens in Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Webex Teams Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.