Einmaliges Anmelden und Webex Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Verbandsprotokoll zur Sicherheitshinweise Markup Language (SARL 2,0) dient dazu, SSO Authentifizierung zwischen der Cisco Webex und Ihrem Identitätsanbieter (IDP) bereitzustellen.

Profile

Cisco Webex Teams unterstützt nur SSO Profil des Webbrowsers. Im Webbrowser SSO Profil Cisco Webex Teams die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SINL 2,0 unterstützt mehrere Namensformate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex Teams unterstützt die folgenden NameID Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den Metadaten, die Sie von Ihrem IDP laden, ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

SingleLogout

Cisco Webex Teams unterstützt das Einzelausmeldesprofil. In der Cisco Webex Teams kann sich ein Benutzer über die Anwendung abmelden, die das Protokoll SASL Single Logout verwendet, um die Sitzungen zu beenden und zu bestätigen, dass Sie sich mit Ihrem IDP abmelden. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von F5 BIG IP mit Cisco Webex Control Hub für Einmalanmeldung


Die Konfigurationleitfaden zeigen ein bestimmtes Beispiel für SSO Integration an, bieten aber keine erschöpfende Konfigurationen für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für NURIID-Format urn: Oasis: Namen: TC: SONL: 2.0: NameID-Format: Transient dokumentiert. Andere Formate wie urn : Oasis: Namen: TC: SONL: 1.1: NameID-Format: nicht spezifiziert oder urn: Oasis: names: TC: SONL: 1.1: NameID-Format: EmailAddress wird für die SSO Integration verwendet, ist jedoch nicht der Umfang unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex ein (einschließlich Cisco Webex Teams, Cisco Webex Meetings und anderer Dienste, die in Cisco Webex Control Hub verwaltet werden). Wenn Ihr Webex-Site in Cisco Webex Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise keinen Zugriff auf Cisco Webex Meetings haben und dieser nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration durchführen, um SSO für Cisco Webex Meetings zu aktivieren. (Siehe Konfigurieren Sie die Einmalanmeldung für Webex für weitere Informationen in SSO Integration in Site-Administration.)

Vorbereitungen

Für SSO und Cisco Webex Control Hub müssen die IdPs der SARL 2,0 entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

Laden Sie die Cisco Webex Metadaten auf Ihr lokales System herunter

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und blättern Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Dateiname der Cisco Webex Metadaten ist Idbmeta-<org-ID>SP. XML.

Konfigurieren Sie den externen Dienstanbieter und Identitätsanbieter

1

Wechseln Sie auf der BIG-IP F5-Verwaltungsoberfläche zu Zugriffsrichtlinie > SAML > BIG-IP als IdP.

2

Wählen Sie unter Externe SP-Connectoren die Option Erstellen > Aus Metadaten aus.

3

Geben Sie einen aussagekräftigen Namen für den Dienstanbieternamen ein, z. B. .ciscowebex.com.<yourorganizationname>

4

Aktivieren Sie unter Sicherheitseinstellungen folgende Kontrollkästchen:

  • Antwort muss signiert sein
  • Assertion muss signiert sein
5

Kehren Sie zu Zugriffsrichtlinie > SAML > BIG-IP als IdP zurück und erstellen Sie einen neuen Identitätsanbieter-Dienst (IdP).

6

Geben Sie einen aussagekräftigen Namen für den IdP-Dienstnamen ein, z. B. CI.

7

Verwenden Sie für die IdP-Entitäts-ID den FQDN des Big-IP-Servers und stellen Sie etwas voran – z. B. https://bigip0a.uc8sevtlab13.com/CI.

8

Wählen Sie unter Assertionseinstellungen bei AssertionssubjekttypVorübergehender Bezeichner ein.

9

Geben Sie für Assertionssubjektwert den Wert der E-Mail des Benutzers zurück %{session.ad.last.attr.mail}.

10

Geben Sie die Attribute mail und uid mit dem Wert %{session.ad.last.attr.mail} zurück.

11

Wählen Sie unter Sicherheitseinstellungen ein Zertifikat für die Signierung der Assertion.

12

Speichern Sie Ihre Änderungen und erstellen Sie dann Bindungen mit dem von Ihnen erstellten Dienstanbieter und Identitätsanbieter.

Die F5 Big-IP-Metadaten herunterladen

1

Wählen Sie IDP-Dienst exportieren.

2

Stellen Sie sicher, dass die Zeichen Metadaten Wert sind .

3

Laden Sie die Metadatendatei auf Ihren Desktop oder an einen leicht auffindbaren Speicherort herunter.

Hinzufügen einer Zugriffsrichtlinie

1

Wechseln Sie zu Zugriffsrichtlinie > Zugriffsprofile > SAML und erstellen Sie eine SAML-Ressource für den von Ihnen erstellten IdP.

2

Wechseln Sie zu Ihrem Zugriffsprofil und bearbeiten Sie die Zugriffsrichtlinie, die Sie für Webex Messenger CAS verwenden.

3

Fügen Sie auf der Registerkarte Anmeldung ein neues Element mit dem Namen Anmeldeseite und behalten Sie den Standardwert bei.

4

Fügen Sie auf der Registerkarte Authentifizierung einen neuen Wert mit dem Namen AD Auth hinzu und geben Sie als Server Active Directory an.

5

Fügen Sie bei der erfolgreichen Verzweigung AD Query von der Registerkarte Authentifizierung hinzu

6

Wechseln Sie zu den Verzweigungsregeln und ändern Sie in AD Query bestanden.

7

Fügen Sie bei der erfolgreichen Verzweigung von AD Query Erweiterte Ressourcenzuweisung von der Registerkarte Zuweisung hinzu.

8

Klicken Sie auf Hinzufügen/Löschen und fügen Sie beide Ressourcen SAML mit allen SAML-Ressourcen und dem Webtop hinzu, den Sie erstellt haben.

9

Wählen Sie bei Ende auswählenZulassen aus.

Die Zugriffsrichtlinie sollte wie in diesem Screenshot aussehen:

Verknüpfen des Zugriffsprofils mit dem virtuellen Server

Sie müssen das Zugriffsprofil mit dem von Ihnen erstellten virtuellen Server verknüpfen.

1

Wechseln Sie zu Lokaler Datenverkehr > Virtuelle Server.

2

Öffnen Sie die Zugriffsprofile, um sicherzustellen, dass kein virtueller Server mit dem Profil verknüpft ist.

3

Wählen Sie Erweiterte Ressourcenzuweisung aus.

4

Wählen Sie Hinzufügen/löschen, um die neue SAML-Ressource hinzuzufügen.

5

Schließen Sie die Zugriffsrichtlinien-Entwurfsfenster und wenden Sie die neue Zugriffsrichtlinie an.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex Metadaten exportiert haben, konfigurieren Sie Ihren IDP und laden Sie die IDP Metadaten auf Ihr lokales System herunter. Sie sind bereit, Sie über den Control Hub in Ihre Cisco Webex zu importieren.

Vorbereitungen

Testen Sie SSO Integration nicht über die Schnittstelle zum Identitätsanbieter (IDP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie zur Seite Cisco Webex Control Hub – in Ihrem Browser zurück, und klicken Sie dann auf weiter.
  • Wenn Control Hub nicht mehr in der Registerkarte Browser geöffnet ist, gehen Sie aus der Kundenperspektive in https://admin.webex.comzu Einstellungen, Blättern Sie zu Authentifizierung, wählen Sie integrieren eines Identitätsanbieters von Drittanbietern (erweitert) aus, und klicken Sie dann auf "auf vertrauenswürdige Metadatendatei" auf "weiter".
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Wenn die Metadaten nicht signiert sind, mit einem selbstsignierten Zertifikat signiert sind oder mit einer privaten Unternehmenszertifikatsbehörde (ca) signiert sind, empfehlen wir, dass Sie ein Zertifikat benötigen, das von einer Zertifizierungsstelle in Metadaten signiert wurde (sicherer). Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO-Verbindung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster, indem Sie sich beim IdP anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex Teams Fehler bedeutet normalerweise ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut durch die Schritte, insbesondere die Schritte, die Sie kopieren, und geben Sie die Cisco Control Hub Metadaten in das IDP Setup ein.

4

Kehren Sie zur Registerkarte Control Hub zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Maßnahme

Sie können die Vorgehensweise beim unterdrücken automatisierter E-Mails befolgen, um E-Mails zu deaktivieren, die an neue Webex Teams in Ihrer-Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.