Einmaliges Anmelden und Webex Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Verbandsprotokoll zur Sicherheitshinweise Markup Language (SARL 2,0) dient dazu, SSO Authentifizierung zwischen der Cisco Webex und Ihrem Identitätsanbieter (IDP) bereitzustellen.

Profile

Cisco Webex Teams unterstützt nur SSO Profil des Webbrowsers. Im Webbrowser SSO Profil Cisco Webex Teams die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SINL 2,0 unterstützt mehrere Namensformate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex Teams unterstützt die folgenden NameID Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den Metadaten, die Sie von Ihrem IDP laden, ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

SingleLogout

Cisco Webex Teams unterstützt das Einzelausmeldesprofil. In der Cisco Webex Teams kann sich ein Benutzer über die Anwendung abmelden, die das Protokoll SASL Single Logout verwendet, um die Sitzungen zu beenden und zu bestätigen, dass Sie sich mit Ihrem IDP abmelden. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren Cisco Webex Control Hub mit PingFederate für einmaliges Anmelden


Die Konfigurationleitfaden zeigen ein bestimmtes Beispiel für SSO Integration an, bieten aber keine erschöpfende Konfigurationen für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für NURIID-Format urn: Oasis: Namen: TC: SONL: 2.0: NameID-Format: Transient dokumentiert. Andere Formate wie urn : Oasis: Namen: TC: SONL: 1.1: NameID-Format: nicht spezifiziert oder urn: Oasis: names: TC: SONL: 1.1: NameID-Format: EmailAddress wird für die SSO Integration verwendet, ist jedoch nicht der Umfang unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex ein (einschließlich Cisco Webex Teams, Cisco Webex Meetings und anderer Dienste, die in Cisco Webex Control Hub verwaltet werden). Wenn Ihr Webex-Site in Cisco Webex Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise keinen Zugriff auf Cisco Webex Meetings haben und dieser nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration durchführen, um SSO für Cisco Webex Meetings zu aktivieren. (Siehe Konfigurieren Sie die Einmalanmeldung für Webex für weitere Informationen in SSO Integration in Site-Administration.)

Vorbereitungen

Für SSO und Cisco Webex Control Hub müssen die IdPs der SARL 2,0 entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
  • Setzen Sie das Attribut NameID Format auf urn: Oasis: names: TC: SONL: 2.0: NameID-Format:transient

  • Konfigurieren Sie einen Anspruch auf dem IDP so, dass er den Attributattribut enthält, der dem Attribut zugeordnet ist, das in Cisco Verzeichniskonnektor abgebildet ist, oder das Attribut des Benutzers, das mit dem übereinstimmt, das in der Cisco Webex Identitätsdienst ausgewählt ist. (Dieses Attribut kann z. B. E-Mail-Adressen oder Nutzername sein.) Weitere Informationen finden Sie in den benutzerdefinierten https://www.Cisco.com/go/Hybrid-Services-Directory .

  • Verwenden Sie einen unterstützten Browser: Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.

Laden Sie die Cisco Webex Metadaten auf Ihr lokales System herunter

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und blättern Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Dateiname der Cisco Webex Metadaten ist Idbmeta-<org-ID>SP. XML.

Konfigurieren einer neuen Dienstanbieter-Verbindung

1

Wechseln Sie zu Ihrem PingFederate-Verwaltungsportal (https://<FQDN of="" PingFederate="">:9999/pingfederate/app).

2

Wählen Sie unter SP-VERBINDUNGENNeu erstellen.

3

Wählen Sie die Radio-Schaltfläche Für diese Verbindung keine Vorlage verwenden und klicken Sie dann auf Weiter.

4

Wählen Sie Browser-SSO-Profile und klicken Sie dann auf Weiter.

5

Wählen Sie die Registerkarte Metadaten importieren.

6

Klicken Sie auf Datei auswählen, um die Cisco Webex Control Hub von Ihnen heruntergeladene Metadatei zu durchsuchen und zu importieren, und klicken Sie dann auf weiter.

7

Überprüfen Sie die Informationen auf der Registerkarte „Allgemeine Informationen“ und klicken Sie dann auf Fertig.

Konfigurieren der einmaligen Anmeldung über Browser

1

Wählen Sie im PingFederate-Verwaltungsportal Browser-SSO konfigurieren.

2

Aktivieren Sie das Kontrollkästchen SP-initiiertes SSO und klicken Sie auf Weiter.

3

Wählen Sie Assertionserstellung konfigurieren.

  1. Ändern Sie das NameID-Format in Vorübergehend und aktivieren Sie das Kontrollkästchen Zusätzlich zu dem vorübergehenden Bezeichner Attribute einschließen.

  2. Erweitern Sie die Vertragsattribute, indem Sie die Attribute mail und uid im Format urn:oasis:names:tc:SAML:2.0:attrname-format-basic, und klicken Sie dann auf Weiter.

  3. Wählen Sie Neue Adapterinstanz zuordnen, um einen Authentifizierungsmechanismus auszuwählen. Wählen Sie aus dem Dropdown-Menü ADAPTERINSTANZ einen der zuvor konfigurierten Authentifizierungsmechanismen und klicken Sie dann auf Weiter.

  4. Wählen Sie die Radio-Schaltfläche Zusätzliche Attribute mithilfe einer Zuordnung aus mehreren Datenspeichern abrufen, klicken Sie dann auf Weiter.

  5. Wählen Sie Attributquelle hinzufügen, um den Active Directory-Domänencontroller für die Domäne hinzuzufügen und klicken Sie dann auf Weiter.

  6. Geben Sie die Basis-DN an und wählen Sie die Stammobjektklasse <Show All="" Attributes=""> aus. Geben Sie in das Filtertextfeld den LDAP-Filter ein und klicken Sie dann auf Weiter.

    Der Eintrag muss das Attribut enthalten, das erwartungsgemäß vom Benutzer angegeben wird. Er muss außerdem den Wert enthalten, durch den die Zuordnung mit den LDAP-Quellen erfolgt. Wenn Ihr Active Directory beispielsweise zur Filterung des Windows-Anmeldeattribut eingestellt ist, geben Sie sAMAccountName=${Username} ein.

  7. Wählen Sie die Quelle und den Wert für die Zuordnung der Assertionsattribute zu den vom AD-Datenspeicher bereitgestellten Attribute. (Geben Sie bei den Ausstellungskriterien nichts an.)

  8. Stellen Sie sicher, dass bei der Assertion Configuration die Identitätsauszeichnung auf vergängliche festgelegt ist, Attributvertrag aufUID gesetztund Adapter auf 1


     

    Das Attribut "UID" sollte auf die E-Mail-Adresse des Nutzers abbilden.

4

Wählen Sie Protokolleinstellungen konfigurieren.

  1. Aktivieren Sie bei den zulässigen SAML-Bindungen nur die Kontrollkästchen POST und Umleiten.

  2. Wählen Sie für die Signaturrichtlinie Die SAML-Assertion immer signieren.

    Die Protokolleinstellungen sollten folgendermaßen aussehen.

  3. Wählen Sie „Anmeldeinformationen konfigurieren“, um das Zertifikat für die Assertion zu konfigurieren.

  4. Wählen Sie das Zertifikat, das bereits für SAML-Assertionen erstellt wurde.

5

Setzen Sie auf dem Aktivierungs- und Übersichtsbildschirm den Verbindungsstatus auf „Aktiv“.

Exportieren der PingFederate-Metadaten

1

Klicken Sie auf dem Hauptbildschirm auf Alle SP verwalten.

2

Suchen Sie nach der gerade erstellten Verbindung und klicken Sie auf Metadaten exportieren.

3

Wählen Sie das für die Signierung der exportierten Datei zu verwendende Zertifikat aus dem Dropdown-Menü aus.

4

Klicken Sie auf Exportieren.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex Metadaten exportiert haben, konfigurieren Sie Ihren IDP und laden Sie die IDP Metadaten auf Ihr lokales System herunter. Sie sind bereit, Sie über den Control Hub in Ihre Cisco Webex zu importieren.

Vorbereitungen

Testen Sie SSO Integration nicht über die Schnittstelle zum Identitätsanbieter (IDP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie zur Seite Cisco Webex Control Hub – in Ihrem Browser zurück, und klicken Sie dann auf weiter.
  • Wenn Control Hub nicht mehr in der Registerkarte Browser geöffnet ist, gehen Sie aus der Kundenperspektive in https://admin.webex.comzu Einstellungen, Blättern Sie zu Authentifizierung, wählen Sie integrieren eines Identitätsanbieters von Drittanbietern (erweitert) aus, und klicken Sie dann auf "auf vertrauenswürdige Metadatendatei" auf "weiter".
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Nächster.

Wenn die Metadaten nicht signiert sind, mit einem selbstsignierten Zertifikat signiert sind oder mit einer privaten Unternehmenszertifikatsbehörde (ca) signiert sind, empfehlen wir, dass Sie ein Zertifikat benötigen, das von einer Zertifizierungsstelle in Metadaten signiert wurde (sicherer). Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO Verbindung testen, und wenn sich eine neue BrowserRegisterkarte öffnet, authentifizieren Sie sich mit dem IDP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex Teams Fehler bedeutet normalerweise ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut durch die Schritte, insbesondere die Schritte, die Sie kopieren, und geben Sie die Cisco Control Hub Metadaten in das IDP Setup ein.

4

Kehren Sie zur Registerkarte Control Hub zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Maßnahme

Sie können die Vorgehensweise beim unterdrücken automatisierter E-Mails befolgen, um E-Mails zu deaktivieren, die an neue Webex Teams in Ihrer-Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.