Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser- und SSO unterstützt Webex App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

SingleLogout

Die Webex-App unterstützt das Einzel-Abmeldeprofil. In der Webex-Appkann sich ein Benutzer von der Anwendung abmelden, die zum Beenden der Sitzung und zum Bestätigen der Abmeldedatei bei Ihrem IdP das SAML-Einzel-Abmeldeprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von Control Hub in PingFederate

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich webex App, Webex Meetingsund andere Dienste, die im Control Hub verwaltet werden). Wenn Ihre Webex-Site in Control Hubintegriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hubverwaltet wird, müssen Sie eine separate Integration tun, um SSO-Benutzer Webex Meetings . (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Vorbereitungen

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen, scrollen Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Einrichtungsassistenten zu starten.

2

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco – Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Anchors für Vertrauensstellung).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

3

Laden Sie die Metadatendatei herunter.

Der Name der Webex-Metadatendatei lautet idb-meta--SP.xml.

Konfigurieren einer neuen Dienstanbieterverbindung

1

Rufen Sie Ihr PingFederate-Verwaltungsportal auf (https://:9999/pingfederate/app).

2

Wählen Sie unter SP-VERBINDUNGEN Neu erstellen.

3

Wählen Sie die Radio-Schaltfläche Für diese Verbindung keine Vorlage verwenden und klicken Sie dann auf Weiter.

4

Wählen Sie Browser-SSO-Profile und klicken Sie dann auf Weiter.

5

Wählen Sie die Registerkarte Metadaten importieren.

6

Klicken Sie auf Datei auswählen , um zu der Metadatendatei zu navigieren, die Sie aus Control Hub heruntergeladen haben, und zu importieren. Klicken Sie dann auf Weiter.

7

Überprüfen Sie die Informationen auf der Registerkarte „Allgemeine Informationen“ und klicken Sie dann auf Fertig.

Konfigurieren der einmaligen Anmeldung über Browser

1

Wählen Sie im PingFederate-Verwaltungsportal Browser-SSO konfigurieren.

2

Aktivieren Sie das Kontrollkästchen SP-initiiertes SSO und klicken Sie auf Weiter.

3

Wählen Sie Assertionserstellung konfigurieren.

  1. Ändern Sie das NameID-Format in Vorübergehend und aktivieren Sie das Kontrollkästchen Zusätzlich zu dem vorübergehenden Bezeichner Attribute einschließen.

  2. Erweitern Sie die Vertragsattribute, indem Sie die Attribute mail und uid im Format urn:oasis:names:tc:SAML:2.0:attrname-format-basic, und klicken Sie dann auf Weiter.

  3. Wählen Sie Neue Adapterinstanz zuordnen, um einen Authentifizierungsmechanismus auszuwählen. Wählen Sie aus dem Dropdown-Menü ADAPTERINSTANZ einen der zuvor konfigurierten Authentifizierungsmechanismen und klicken Sie dann auf Weiter.

  4. Wählen Sie die Radio-Schaltfläche Zusätzliche Attribute mithilfe einer Zuordnung aus mehreren Datenspeichern abrufen, klicken Sie dann auf Weiter.

  5. Wählen Sie Attributquelle hinzufügen, um den Active Directory-Domänencontroller für die Domäne hinzuzufügen und klicken Sie dann auf Weiter.

  6. Geben Sie die Basis-DN an und wählen Sie die Stammobjektklasse <Alle Attribute anzeigen>. Geben Sie in das Filtertextfeld den LDAP-Filter ein und klicken Sie dann auf Weiter.

    Der Eintrag muss das Attribut enthalten, das erwartungsgemäß vom Benutzer angegeben wird. Er muss außerdem den Wert enthalten, durch den die Zuordnung mit den LDAP-Quellen erfolgt. Wenn Ihr Active Directory beispielsweise zur Filterung des Windows-Anmeldeattribut eingestellt ist, geben Sie sAMAccountName=${Username} ein.

  7. Wählen Sie die Quelle und den Wert für die Zuordnung der Assertionsattribute zu den vom AD-Datenspeicher bereitgestellten Attribute. (Geben Sie bei den Ausstellungskriterien nichts an.)

  8. Vergewissern Sie sich, dass bei der Assertionskonfiguration die Identitätszuordnung auf Vorübergehend, der Attributvertrag auf uid und die Adapterinstanzen auf 1 festgelegtsind.

    Das uid-Attribut sollte der E-Mail-Adresse des Benutzers zuordnen.

4

Wählen Sie Protokolleinstellungen konfigurieren.

  1. Aktivieren Sie bei den zulässigen SAML-Bindungen nur die Kontrollkästchen POST und Umleiten.

  2. Wählen Sie für die Signaturrichtlinie Die SAML-Assertion immer signieren.

    Die Protokolleinstellungen sollten folgendermaßen aussehen.

  3. Wählen Sie „Anmeldeinformationen konfigurieren“, um das Zertifikat für die Assertion zu konfigurieren.

  4. Wählen Sie das Zertifikat, das bereits für SAML-Assertionen erstellt wurde.

5

Setzen Sie auf dem Aktivierungs- und Übersichtsbildschirm den Verbindungsstatus auf „Aktiv“.

Exportieren von Metadaten aus PingFederate

1

Klicken Sie auf dem Hauptbildschirm auf Alle SP verwalten.

2

Suchen Sie nach der gerade erstellten Verbindung und klicken Sie auf Metadaten exportieren.

3

Wählen Sie das für die Signierung der exportierten Datei zu verwendende Zertifikat aus dem Dropdown-Menü aus.

4

Klicken Sie auf Exportieren.

Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie zur Control Hub – Zertifikatsauswahlseite in Ihrem Browser zurück und klicken Sie auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Authentifizierung und wählen Sie Aktionen > Metadaten importieren aus.
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Option "Sicherer" verwenden , wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

Okta signieren die Metadaten nicht. Sie müssen daher für eine Okta-Integration Weniger sicher SSO auswählen.

3

Wählen Sie SSO-Einrichtung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster durch Anmeldung beim IdP.

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO , und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Deaktivieren Sie SSO , und klicken Sie auf Weiter.

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Nächste Schritte

Verwenden Sie die Verfahren zum Synchronisieren von Okta-Benutzern in Cisco Webex Control Hub, wenn Sie die Benutzerbereitstellung über Okta in der Webex-Cloud tun möchten.

Verwenden Sie die Verfahren zum Synchronisieren von Azure Active Directory-Benutzern in Cisco Webex Control Hub , wenn Sie die Benutzerbereitstellung von Azure AD in der Webex-Cloud tun möchten.

Anhand des Verfahrens unter Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Benutzer der Webex-App in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.