PingFederate로 Cisco Spark 싱글 사인온

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

싱글 사인온 및 Cisco Spark 개요

싱글 사인온(SSO)은 사용자가 자격 증명을 제공하여 한 개 이상의 응용프로그램에 액세스할 수 있도록 허용하는 세션 또는 사용자 인증 프로세스입니다. 해당 프로세스는 사용 권한이 있는 모든 응용프로그램에 대한 사용자를 인증합니다. 이는 특정 세션 중에 사용자가 응용프로그램을 전환할 때 추가 프롬프트를 제거합니다.

SAML 2.0(Security Assertion Markup Language) 페더레이션 프로토콜은 Cisco 협업 클라우드 플랫폼과 ID 제공자(IdP) 간의 SSO 인증을 제공하기 위해 사용됩니다.

 

SAML 2.0은 사용자 인증을 안전하게 처리하고, 사용자 속성 공유 및 모든 도메인에서 파트너 간의 사용자 인증을 위한 업계 프로토콜입니다.

 

SSO 기능에 대한 추가 정보는 이 문서를 참조하십시오.

프로필

SAML 2 프로토콜은 프로필의 수를 지원합니다. 이는 Spark 플랫폼에서 지원하는 웹 브라우저 SSO 프로필입니다. 웹 브라우저 SSO 프로필에서 Spark 플랫폼은 다음 바인딩을 지원합니다.

 
  • SP 시작한 POST->POST 바인딩 


     

  • SP 시작한 REDIRECT->POST 바인딩

      


 
      

NameID 형식

SAML 2 프로토콜은 특정 사용자에 대한 통신의 목적으로 NameID 형식의 번호를 지원합니다. Cisco 협업 클라우드 플랫폼은 다음 NameID 형식을 지원합니다.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP로부터 로드한 메타데이터에서 Spark 플랫폼에서 사용될 첫 번째 입력값이 구성됩니다.

싱글 로그아웃

Cisco 협업 클라우드는 싱글 로그아웃 프로필을 지원합니다. Cisco Spark 또는 WebEx 앱에서 사용자는 응용프로그램에서 로그아웃할 수 있으며, 이는 SAML 싱글 로그아웃 프로토콜을 사용하여 세션을 종료하고 IdP와 해당 로그아웃을 확인합니다.

싱글 사인온을 위해 Cisco Spark를 PingFederate와 통합

이 문서에 있는 작업을 따라 Cisco Spark 서비스와 PingFederate를 ID 제공자(IdP)로 사용하는 배포 간의 싱글 사인온(SSO) 통합을 구성합니다.

    

이 통합은 Cisco Spark 메시지, 미팅 및 통화의 사용자를 커버합니다. Cisco WebEx에 대한 SSO를 활성화하려면 개별 통합이 필요합니다.

시작하기 전에 
싱글 사인온 및 Cisco Spark 서비스에 대해 IdP는 SAML 2.0 사양을 따라야 합니다. 또한 IdP는 다음 방법으로 구성되어야 합니다.
  • IdP가 양식 기반 인증을 사용하도록 구성합니다.

     

  • NameID 형식 속성을 "urn:oasis:names:tc:SAML:2.0:nameid-format:transient"으로 설정합니다. 지정하지 않는 것도 지원합니다.

     

  • SAML 어설션에 다음 속성을 포함하도록 IdP에 클레임을 구성합니다.

     

    • "uid" 속성명 - 사용자의 이메일 주소로 매핑된 값.

       

     
     
  

Cisco Spark 메타데이터를 로컬 시스템으로 다운로드

        
1    전체 관리자 자격 증명을 사용하여 Cisco 클라우드 협업 관리에 로그인합니다.
2    설정을 선택한 후 인증 섹션에서 수정을 선택합니다.
3    제3자 ID 제공자 통합을 선택합니다. (고급) 그 후 다음 화면으로 이동합니다.
4    신뢰하는 메타데이터 파일을 다운로드하고 로컬 시스템에서 쉽게 찾을 수 있는 위치에 파일을 저장합니다.  

Cisco Spark 메타데이터 파일명은 idb-meta-<org-ID>-SP.xml입니다.

  
5    브라우저 탭에서 Cisco 클라우드 협업 관리 세션을 열어 둡니다. 나중에 다시 돌아가서 IdP 메타데이터를 업로드합니다.

새로운 서비스 공급자 연결 구성

  
          
1    PingFederate 관리 포털(https://<FQDN of PingFederate>:9999/pingfederate/app)로 이동합니다.
2    SP 연결 아래에서 새로 만들기를 선택합니다.
3    이 연결에 대해 템플릿 사용하지 않기 라디오 버튼을 선택한 후 다음을 선택합니다.
4    브라우저 SSO 프로필을 선택한 후 다음을 클릭합니다.
5    메타데이터 가져오기 탭을 선택합니다.
6    파일 선택을 클릭하여 Cisco 클라우드 협업 관리에서 다운로드한 메타데이터 파일을 찾아보고 가져온 후 다음을 클릭합니다.
7    일반 정보 탭에 있는 정보를 확인한 후 완료를 클릭합니다.

브라우저 싱글 사인온 구성

        
1    PingFederate 관리 포털에서 브라우저 SSO 구성을 선택합니다.
2    SP-시작한 SSO 체크 박스를 체크한 후 다음을 클릭합니다.
3    어설션 만들기 구성을 선택합니다.
  1. NameID-형식을 일시로 변경하고 일시 식별자에 속성 포함 체크 박스를 체크합니다.
  2. urn:oasis:names:tc:SAML:2.0:attrname-format-basicmailuid 속성을 추가하여 계약 속성을 확장한 후 다음을 클릭합니다.
  3. 새 어댑터 인스턴스 맵을 선택하여 인증 메카니즘을 선택합니다.
  4. ADAPTER INSTANCE 드롭다운에서 이전에 구성한 인증 메카니즘 중 한 개를 선택한 후 다음을 클릭합니다.
  5. 한 개의 매핑을 사용하여 다수의 데이터 스토어에서 추가 속성 검색 라디오 버튼을 선택한 후 다음을 클릭합니다.
  6. 속성 리소스 추가를 선택하여 도메인에 대해 Active Directory 도메인 컨트롤러를 추가한 후 다음을 클릭합니다.
  7. 기본 DN을 지정하고 루트 객체 클래스 <모든 속성 표시>를 선택합니다.
  8. 필터 텍스트 상자에 LDAP 필터를 입력한 후 다음을 클릭합니다.  

    입력값에는 사용자가 제공하도록 할 속성을 포함해야 합니다. 또한 LDAP 리소스에서 매핑한 값을 포함해야 합니다. 예를 들어, Windows 로그인 속성에 Active Directory가 필터로 설정된 경우, sAMAccountName=${Username}을 입력합니다.

      
  9. AD 데이터스토어에서 제공하는 속성으로 어설션 속성을 매핑할 소스 및 값을 선택합니다. (발급 기준에 대해서는 아무 것도 입력하지 마십시오.)
  10. 어설션 구성에 아이덴티티 매핑일시로 설정되었는지, 속성 계약mail, uid로 설정되었는지, 어댑터 인스턴스1로 설정되었는지 확인합니다.
4    프로토콜 설정 구성을 선택합니다.
  1. 허용할 수 있는 SAML 바인딩에 대해 POSTRedirect 체크 박스만 체크합니다.
  2. 서명 정책에 대해 항상 SAML 어설션 서명을 선택합니다.

    프로토콜 설정은 다음과 같아야 합니다.

  3. 어설션에 대한 인증서를 구성하려면 구성 자격 증명을 선택합니다.
  4. SAML 어설션에 대해 이미 작성된 인증서를 선택합니다.
5    활성화 및 요약 화면에서 연결 상태를 활동 중으로 설정합니다.

PingFederate 메타데이터 내보내기

       
1    기본 페이지에서 모든 SP 관리를 클릭합니다.
2    방금 만든 연결을 찾고 메타데이터 내보내기를 클릭합니다.
3    드롭다운에서 내보내기한 파일에 서명하기 위해 사용할 인증서를 선택합니다.
4    내보내기를 클릭합니다.

IdP 메타데이터 가져오기 및 테스트 후에 싱글 사인온 활성화

 

Cisco Spark 메타데이터를 내보내기한 후 IdP를 구성하고 해당 IdP 메타데이터를 로컬 시스템으로 다운로드하면 Cisco Spark 조직으로 가져오기할 준비가 됩니다.

  
        
1    클라우드 협업 관리 – 디렉토리 메타데이터 내보내기에 로그인된 페이지에서 브라우저 또는 탭으로 돌아간 후 다음을 클릭합니다.
2    IdP 메타데이터 가져오기 페이지에서 IdP 메타데이터 파일을 페이지로 드래그하고 드롭하거나 파일 찾아보기 옵션을 사용하여 메타데이터 파일을 찾고 업로드합니다.

공개적으로 서명되고 신뢰할 수 있는 인증서를 사용하는 서비스 공급자에 대해 메타데이터에서 인증 기관이 서명한 인증서 필요 (보다 안전)를 사용할 것을 권장합니다.

3    다음을 클릭합니다.
4    SSO 연결 테스트를 선택하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.

인증 오류의 일반적인 원인은 자격 증명과 관련된 문제입니다. 사용자이름 및 비밀번호를 확인한 후 다시 시도하십시오.

Cisco Spark 또는 WebEx 오류는 일반적으로 SSO 설정과 관련된 문제를 의미합니다. 이러한 경우, 해당 단계를 다시 실행합니다. 특히 Cisco Spark 메타데이터를 IdP 설정에 복사하고 붙여넣는 단계를 주의하십시오.

5    Cisco 클라우드 협업 관리 브라우저 탭으로 돌아갑니다.
  • 테스트가 성공적이면 이 테스트에 성공했습니다를 선택합니다. 싱글 사인온 옵션을 활성화하고 다음을 클릭합니다.
  • 테스트에 실패하면 이 테스트에 실패했습니다를 선택합니다. 싱글 사인온 옵션을 비활성화하고 다음을 클릭합니다.
 

Attachments

    Outcomes