Sie können die einmaliges Anmelden (SSO)-Integration zwischen Control Hub und einer Bereitstellung konfigurieren, bei der SimpleSAML als Identitätsanbieter (IdP) verwendet wird.
Einmalige Anmeldung und Control Hub
Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.
Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.
Profile
Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser-SSO unterstützt Webex App die folgenden Bindungen:
SP initiierte POST -> POST-Bindung
SP initiierte REDIRECT -> POST-Bindung
NameID Format
Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webexkonfiguriert.
SingleLogout
Die Webex-App unterstützt das Einzel-Abmeldeprofil. In der Webex-App kann sich ein Benutzer von der Anwendung abmelden, die zum Beenden der Sitzung und zum Bestätigen der Abmeldedatei bei Ihrem IdP das SAML-Einzel-Abmeldeprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.
Integrieren von Control Hub in SimpleSAML
Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten. |
Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich Webex App , Webex Meetings und andere im Control Hubverwaltete Dienste). Wenn Ihre Webex-Site in Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hub verwaltet wird, müssen Sie eine separate Integration verwenden, um SSO für Webex Meetings. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)
Vorbereitungen
Für SSO und Control Hubmüssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
Herunterladen der Webex-Metadaten auf Ihr lokales System
1 | Wechseln Sie aus der Kundenansicht in zu Management > Organisationseinstellungen und blättern Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Einrichtungsassistenten https://admin.webex.com starten. |
||
2 | Wählen Sie den Zertifikattyp für Ihre Organisation aus:
|
||
3 | Laden Sie die Metadatendatei herunter. Der Name der Webex-Metadatendatei ist idb-meta-<org-ID>-SP.xml. |
Metadaten konvertieren
1 | Öffnen Sie die exportierte Webex-Metadatendatei in einem Texteditor. |
2 | Öffnen Sie die simpleSAML-Startseite in Ihrem Browser und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. Die Adresse der Startseite variiert, ähnelt jedoch in der Regel dieser Beispiel-URL: https://yourcompany.yourdomain.com/simplesamldefiniert. |
3 | Klicken Sie auf der Hauptseite auf Verbund. |
4 | Machen Sie unter „Extras“ eine Konvertierung von XML in Simple SAML-XML. |
5 | Kopieren Sie die Webex-Metadaten aus Ihrem Text-Editor und fügen Sie sie dann in das Feld XML-Konvertierung ein. |
6 | Klicken Sie auf Parsen. Daraufhin werden die konvertierten Metadaten angezeigt. Diese Daten fügen Sie zur Remote-SP-Textdatei hinzu. |
Erstellen einer Remote-Dienstanbieter-Metadatendatei
Diese Schritte dienen als Beispiel. Das Metadatenverzeichnis und der IdP-Host unterscheiden sich je nach Client-Einrichtung.
Vorbereitungen
Beachten Sie die Attribute, die Sie entsprechend übergeben und mappen müssen, indem Sie die Metadatendatei saml20-idp-hosted.phpbearbeiten. (Beispiel: uid, mail, email, email, so weiter). Siehe Beispiel-Metadaten:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | Navigieren Sie in der SimpleSAML-Konfiguration auf dem Host zum Metadaten-Verzeichnis. |
2 | Fügen Sie die analysierten Daten mit einem Text-Editor am Ende der saml20-sp-remote.php ein und speichern Sie die Datei. |
3 | Kehren Sie zur SimpleSAML-Titelseite zurück, klicken Sie auf Federation und anschließend auf „Metadaten für Identitätsanbieter anzeigen“. |
4 | Fügen Sie die Daten in einer neuen Textdatei ein. |
5 | Speichern Sie die aktualisierte Datei unter einem aussagekräftigen Namen wie beispielsweise simplesaml-metadata.xml auf Ihrem Desktop ab. |
Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test
Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisationimportieren.
Vorbereitungen
Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.
1 | Wählen Sie eine Option:
|
||||
2 | Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter. Sie sollten die Option "Sicherer" verwenden, wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat. In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind. |
||||
3 | Wählen Sie test SSO-Einrichtung aus und authentifizieren Sie sich beimIdP, wenn sich eine neue Browser-Registerkarte öffnet.
|
||||
4 | Kehren Sie zur Registerkarte Control Hub im Browser zurück.
|
Nächste Schritte
Sie können das Verfahren in Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.