Einmaliges Anmelden (Single Sign-On Cisco Webex Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Cisco Webex unterstützt nur den Webbrowser und SSO Profil. Im Webbrowser-profil SSO unterstützt Cisco Webex folgende Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex unterstützt die folgenden NameID Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

Integration Cisco Webex Control Hub in Microsoft Azure


Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex-Organisation ein (einschließlich Cisco Webex, Cisco Webex Meetings und anderen in Cisco Webex Control Hub ). Wenn Ihre Webex-Site in den Cisco Webex Control Hub integriert ist, übernimmt die Webex-Site die Benutzerverwaltung. Wenn Sie so nicht auf Cisco Webex Meetings zugreifen können und es nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Cisco Webex Meetings zu aktivieren. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Vorbereitungen

Für SSO und Cisco Webex Control Hub müssendie IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:


In Azure Active Directory wird die Bereitstellung nur im manuellen Modus unterstützt. In diesem Dokument wird nur die Integration der einmaligen Anmeldung Single-Sign-On (SSO) behandelt.

Herunterladen der Cisco Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und scrollen Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Name der Cisco Webex-Metadatendatei lautet idb-meta-<org-ID>-SP.xml.

Konfigurieren der einmaligen Anmeldung – Anwendungseinstellungen in Azure

Vorbereitungen

1

Melden Sie sich im Azure-Portal unter https://portal.azure.com mit Ihren Administrator-Anmeldeinformationen an.

2

Wechseln Sie zu Azure Active Directory Für Ihre Organisation.

3

Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen.

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld die Cisco Webex.

6

Wählen Sie im Ergebnisbereich die Option Cisco Webex aus, und klicken Sie dann auf Hinzufügen, um die Anwendung hinzuzufügen.

In einer Meldung wird angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

7

Konfigurieren der einmaligen Anmeldung:

  1. Nachdem Sie die Anwendungsvereinbarung erstellt haben, wechseln Sie zur Registerkarte Single Sign-On und wählen Sie dann unter Eine Single-Sign-On-Methode auswählendie Option SAMLaus.

  2. Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten auf das Symbol Bearbeiten, um grundlegende SAML-Konfiguration zuöffnen.

  3. Klicken Sie auf Metadatendatei hochladen und wählen Sie dann die Metadatendatei aus, die Sie aus ihrem Cisco Webex Control Hub.

    Einige Felder werden automatisch für Sie ausgefüllt.

  4. Kopieren Sie den Wert Antwort-URL und fügen Sie ihn in Anmelde-URL einund speichern Sie dann Ihre Änderungen.

8

Wechseln Sie zu Verwalten > Benutzer und Gruppen und wählen Sie anschließend die zutreffenden Benutzer und Gruppen aus, denen Sie Zugriff auf Cisco Webex.

9

Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten im Abschnitt SAML Signierzertifikat auf Download, um die Federation Metadata XML herunterzuladen und sie auf Ihrem Computer zu speichern.

10

Stellen Sie auf der Seite Eigenschaften sicher, dass Für Benutzer sichtbar? auf Nein gesetztist.

Wir unterstützen nicht, die Webex-App für Benutzer sichtbar zu machen.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Nun können sie in Ihre Cisco Webex-Organisation aus dem Control Hub importiert werden.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Wechseln Sie zurück zur Seite Cisco Webex Control Hub – Verzeichnis-Metadaten in Ihrem Browser exportieren und klicken Sie dann auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie in https://admin.webex.com zur Kundenansicht. Gehen Sie zu Einstellungen, scrollen Sie zu Authentifizierung, wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced) aus und klicken Sie dann auf Weiter auf der Seite mit der vertrauenswürdigen Metadatendatei (da Sie dies bereits zuvor getan haben).
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Sicherere Option verwenden, wenn Sie können ( Durch Zertifizierungsstelle in Metadatensigniertes Zertifikat erforderlich)können. Dies ist nur möglich, wenn Ihr IdP seine Metadaten mithilfe einer öffentlichen Zertifizierungsstelle signieren kann.

In allen anderen Fällen müssen Sie die weniger sichere Option verwenden (Selbstsigniertes Zertifikat in Metadaten erlauben). Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

3

Wählen Sie SSO-Verbindung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster, indem Sie sich beim IdP anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex-Fehler bedeutet in der Regel ein Problem mit der SSO Setup. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Schritte

Sie können das Verfahren in Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Problembehandlung bei der Integration von Azure Active Directory

Stellen Sie beim SAML-Test sicher, dass Sie Mozilla Firefox verwenden und den SAML-Tracer installieren https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Überprüfen Sie die Assertion, die von Azure stammt, um sicherzustellen, dass sie das korrekte nameID-Format auf hat und über ein uid-Attribut verfügt, das mit einem Benutzer in Cisco Webex.