使用 Microsoft Azure 的 Cisco Spark 单点登录

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

单点登录和 Cisco Spark 概述

单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。 此流程能够为用户已获得授权的所有应用程序验证用户。 这样用户在特定会话期间切换应用程序时,不会再看到额外提示。

安全断言标记语言 (SAML 2.0) 联合协议用于提供 Cisco Collaboration Cloud 平台与您的身份提供程序 (IdP) 之间的 SSO 验证。

 

SAML 2.0 是一个用于在跨域合作伙伴之间安全地处理用户验证、共享用户属性及用户授权的行业协议。

 

有关 SSO 功能的更多信息,请参阅本文。

档案

SAML 2.0 协议支持多种档案,Spark 平台只支持 Web 浏览器 SSO 档案。 在 Web 浏览器 SSO 档案中,Spark 平台支持下列绑定:

 
  • SP 发起的 POST->POST 绑定 


     

  • SP 发起的 REDIRECT->POST 绑定

      


 
      

NameID 格式

为了传达特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。 Cisco Collaboration Cloud 平台支持下列 NameID 格式。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

在您从 IdP 加载的元数据中,第一个条目是为 Spark 平台应用而配置的。

单点注销

Cisco Collaboration Cloud 支持单点注销档案。 当用户在 Cisco Spark 或 WebEx 应用程序中注销时,系统会使用 SAML 单点注销协议来结束会话并与您的 IdP 确认该注销操作。

集成 Cisco Spark 与 Microsoft Azure

 

执行本文中的任务,以配置 Cisco Spark 服务与使用 Microsoft Azure 作为身份提供程序 (IdP) 的部署之间的单点登录 (SSO) 集成。

    

此集成涵盖了 Cisco Spark 的消息、会议和电话服务的用户。 要启用 Cisco WebEx 的 SSO,则需要进行单独集成。

  
准备工作 
对于单点登录和 Cisco Spark 服务,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:
  • 将 IdP 配置为使用“基于表单”的验证。

     

  • 将“NameID 格式”属性设为“urn:oasis:names:tc:SAML:2.0:nameid-format:transient”,我们也支持“unspecified”。

     

  • 配置 IdP 声明,以在 SAML 断言中包含以下属性:

     

    • 值映射到用户电子邮件地址的“uid”属性名称。

       

     
     
  

将 Cisco Spark 元数据下载到本地系统

        
1    使用完整的管理员凭证登录 Cisco Cloud Collaboration Management
2    选择“设置”,然后选择“验证”部分中的“修改”。
3    选择“集成第三方身份提供程序”。 (高级)并转到下一屏幕。
4    下载可信的元数据文件并将其保存到本地系统上易于查找的位置。  

Cisco Spark 元数据文件名为 idb-meta-<org-ID>-SP.xml

  
5    使 Cisco Cloud Collaboration Management 会话在浏览器标签页中保持打开状态;稍后您需要返回到此会话并上传您的 IdP 元数据。

在 Azure“应用程序设置”中配置单点登录

准备工作 
  •  

    要激活 Azure 中的 IdP 功能,请获取“Azure Active Directory 高级许可证”。

      

  •  

    配置 Azure Active Directory。

      

  •  

    创建本地用户,或对内建的 Active Directory 系统进行同步。

      

  •  

    打开从 Cisco Cloud Collaboration Management 下载的 Cisco Spark 元数据文件。

      

  
            
1    登录“Azure AD 访问面板”。
2    选择组织的 Azure Active Directory。
3    转到“应用程序”,然后单击“添加”。
4    单击“从库中添加应用程序”。
5    在搜索框中输入 Cisco Spark
6    在结果面板中选择 Cisco Spark,然后单击“完成”以添加该应用程序。
7    配置单点登录:
  1. 创建应用程序协议后,转到“配置”标签页,然后单击“配置单点登录”。
  2. 选择“Microsoft Azure AD 单点登录”,然后单击箭头按钮。
  3. 勾选高级选项复选框。
  4. 输入 Cisco Spark 元数据文件中以下各项的值,然后单击箭头按钮:  
     
    •  

      登录 URL

        

    •  

      标识号

        

    •  

      回复 URL

        

      
      
    注        
    •  

      标识号采用 EntityDescriptor 标记中 entityID 属性的值。

        

    •  

      登录与回复 URL 采用 AssertionConsumerService 标记中 Location 属性的值。

        

      
      
  5. 下载 XML 格式的 Azure 元数据文件,然后单击箭头按钮。
  6. 在确认页面上输入电子邮件地址,以接收 Microsoft Azure 配置变更通知。
  7. 单击复选标记按钮。
8    修改属性:
  1. 在 Cisco Spark 应用程序页面的“Azure 访问面板”中,单击“属性”。
  2. 保留 nameidentifier,删除所有其他条目。
  3. 添加一个名为 uid 的新用户属性,并为其设置值 user.mail
9    分配用户:
  1. 转至“用户和组”,然后从下拉列表中选择“显示所有用户”。
  2. 单击“分配”,然后选择您要赋予 Cisco Spark 访问权限的用户。

导入 IdP 元数据并在测试后启用单点登录

 

导出 Cisco Spark 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您便准备就绪,可以将该元数据导入到 Cisco Spark 组织中。

  
        
1    返回到您登录到 Cloud Collaboration Management 的“导出目录元数据”页面的浏览器或标签页,然后单击“下一步”。
2    在“导入 IdP 元数据”页面中,将 IdP 元数据文件拖放到该页面,或使用文件浏览器选项来找到和上传该元数据文件。

对于使用公开签署的受信任证书的服务商,我们建议您勾选“要求在元数据中提供由认证中心签署的证书(更安全)”。

3    单击“下一步”。
4    选择“测试 SSO 连接”,当打开新的浏览器标签页时,登录并使用 IdP 进行验证。

验证出错的一个常见原因是凭证有问题。 请检查用户名和密码,然后重试。

Cisco Spark 或 Webex 出错往往是因为 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Cisco Spark 元数据复制粘贴到 IdP 设置中的步骤。

5    返回到 Cisco Cloud Collaboration Management 浏览器标签页。
  • 如果测试成功,选择“测试成功”。 启用“单点登录”选项并单击“下一步”。
  • 如果测试失败,选择“测试失败”。 禁用“单点登录”选项并单击“下一步”。
 

Attachments

    Outcomes