Einmaliges Anmelden in Cisco Spark mit PingFederate

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Überblick über einmaliges Anmelden (Single Sign-On) und Cisco Spark

Das einmalige Anmelden ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Collaboration Cloud-Plattform und Ihrem Identitätsanbieter (IdP) eingesetzt.

 

SAML 2.0 ist ein Industrie-Protokoll für die sichere Verarbeitung der Benutzerauthentifizierung, die Freigabe von Benutzerattributen und der domänenübergreifenden Benutzerauthentifizierung zwischen Partnern.

 

Weitere Informationen zu den SSO-Funktionen finden Sie in diesem Artikel.

Profile

Das SAML 2-Protokoll unterstützt einige Profile, von denen die Spark-Plattform nur das Web Browser SSO-Profil unterstützt. Im Web Browser SSO-Profil unterstützt die Spark-Plattform folgende Bindungen:

 
  • SP initiierte POST->POST-Bindung 


     

  • SP initiierte REDIRECT->POST-Bindung

      


 
      

Namens-ID-Format

Das SAML 2-Protokoll unterstützt unterschiedliche NameID-Formate zur Kommunikation über einen bestimmten Benutzer. Die Cisco Collaboration Cloud-Plattform unterstützt folgende NameID-Formate.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für den Einsatz der Spark-Plattform konfiguriert.

SingleLogout

Die Cisco Collaboration Cloud unterstützt das Einzelabmeldungsprofil. In Cisco Spark oder der WebEx-App kann sich ein Benutzer von der Anwendung abmelden, dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet.

Integration von Cisco Spark mit PingFederate für einmaliges Anmelden

Befolgen Sie die Arbeitsschritte in diesem Artikel, um die Single Sign-On (SSO)-Integration zwischen den Cisco Spark-Diensten und einer Bereitstellung zu konfigurieren, bei der PingFederate als Identitätsanbieter (IdP) eingesetzt wird.

    

Die Integration umfasst Benutzer von Cisco Spark Message, Meet und Call. Zur Aktivierung von SSO für Cisco WebEx ist eine separate Integration erforderlich.

Vorbereitungen 
Für das einmalige Anmelden und Cisco Spark-Dienste müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
  • Konfigurieren Sie den IdP so, dass er die formularbasierte Authentifizierung verwendet.

     

  • Legen Sie für das NameID-Formatattribut "urn:oasis:names:tc:SAML:2.0:nameid-format:transient“ fest; – wir unterstützen es auch, wenn es nicht angegeben ist.

     

  • Konfigurieren Sie einen Anspruch an den IdP, damit Sie das folgende Attribut in die SAML-Assertion:

     

    • Der Attributname "uid" mit einem der E-Mail-Adresse des Benutzers zugeordneten Wert.

       

     
     
  

Laden Sie sich die Cisco Spark-Metadaten auf Ihr lokales System herunter

        
1    Melden Sie sich mit Ihren vollständigen Administrator-Anmeldeinformationen bei Cisco Cloud Collaboration Management an.
2    Wählen Sie Einstellungen und anschließend im Bereich „Authentifizierung“ Ändern.
3    Wählen Sie Drittanbieter-Identitätsanbieter integrieren (Erweitert) und wechseln Sie anschließend zum nächsten Bildschirm.
4    Laden Sie die vertrauenswürdige Metadatendatei herunter und speichern Sie sie an einem leicht auffindbaren Speicherort auf Ihrem lokalen System.  

Der Cisco Spark-Metadatendateiname lautet idb-meta-<org-ID>-SP.xml.

  
5    Lassen Sie Ihre Cisco Cloud Collaboration Management-Sitzung in einem Browserfenster geöffnet; Sie werden später dorthin zurückkehren, um Ihre IdP-Metadaten hochzuladen.

Konfigurieren einer neuen Dienstanbieter-Verbindung

  
          
1    Wechseln Sie zu Ihrem PingFederate-Verwaltungsportal (https://<FQDN von PingFederate>:9999/pingfederate/app).
2    Wählen Sie unter SP-VERBINDUNGEN Neu erstellen.
3    Wählen Sie die Radio-Schaltfläche Für diese Verbindung keine Vorlage verwenden und klicken Sie dann auf Weiter.
4    Wählen Sie Browser-SSO-Profile und klicken Sie dann auf Weiter.
5    Wählen Sie die Registerkarte Metadaten importieren.
6    Klicken Sie auf Datei auswählen, um zu der Metadatendatei zu navigieren, die Sie aus Cisco Cloud Collaboration Management heruntergeladen haben und sie zu importieren, klicken Sie dann auf Weiter.
7    Überprüfen Sie die Informationen auf der Registerkarte „Allgemeine Informationen“ und klicken Sie dann auf Fertig.

Konfiguration der einmaligen Browser-Anmeldung

        
1    Wählen Sie im PingFederate-Verwaltungsportal Browser-SSO konfigurieren.
2    Aktivieren Sie das Kontrollkästchen SP-initiiertes SSO und klicken Sie auf Weiter.
3    Wählen Sie Assertionserstellung konfigurieren.
  1. Ändern Sie das NameID-Format in Vorübergehend und aktivieren Sie das Kontrollkästchen Zusätzlich zu dem vorübergehenden Bezeichner Attribute einschließen.
  2. Erweitern Sie die Vertragsattribute, indem Sie die Attribute mail und uid im Format urn:oasis:names:tc:SAML:2.0:attrname-format-basic, klicken Sie dann auf Weiter.
  3. Wählen Sie Neue Adapterinstanz zuordnen, um einen Authentifizierungsmechanismus auszuwählen.
  4. Wählen Sie aus dem Dropdownmenü ADAPTERINSTANZ einen der zuvor konfigurierten Authentifizierungsmechanismen, klicken Sie dann auf Weiter.
  5. Wählen Sie die Radio-Schaltfläche Zusätzliche Attribute mithilfe einer Zuordnung aus mehreren Datenspeichern abrufen, klicken Sie dann auf Weiter.
  6. Wählen Sie Attributquelle hinzufügen, um den Active Directory-Domänencontroller für die Domäne hinzuzufügen und klicken Sie dann auf Weiter.
  7. Geben Sie die Basis-DN an und wählen Sie die Stammobjektklasse <Alle Attribute anzeigen>.
  8. Geben Sie in das Filtertextfeld den LDAP-Filter ein und klicken Sie dann auf Weiter.  

    Der Eintrag muss das Attribut enthalten, das erwartungsgemäß vom Benutzer angegeben wird. Er muss außerdem den Wert enthalten, durch den die Zuordnung mit den LDAP-Quellen erfolgt. Wenn Ihr Active Directory beispielsweise zur Filterung des Windows-Anmeldeattribut eingestellt ist, geben Sie sAMAccountName=${Username} ein.

      
  9. Wählen Sie die Quelle und den Wert für die Zuordnung der Assertionsattribute zu den vom AD-Datenspeicher bereitgestellten Attribute. (Geben Sie bei den Ausstellungskriterien nichts an.)
  10. Stellen Sie sicher, dass bei der Assertionskonfiguration die Identitätszuordnung auf Vorübergehend, der Attributvertrag auf mail, uid und Adapterinstanzen auf 1 festgelegt sind.
4    Wählen Sie Protokolleinstellungen konfigurieren.
  1. Aktivieren Sie bei den zulässigen SAML-Bindungen nur die Kontrollkästchen POST und Umleiten.
  2. Wählen Sie für die Signaturrichtlinie Die SAML-Assertion immer signieren.

    Die Protokolleinstellungen sollten folgendermaßen aussehen.

  3. Wählen Sie „Anmeldeinformationen konfigurieren“, um das Zertifikat für die Assertion zu konfigurieren.
  4. Wählen Sie das Zertifikat, das bereits für SAML-Assertionen erstellt wurde.
5    Setzen Sie auf dem Aktivierungs- und Übersichtsbildschirm den Verbindungsstatus auf Aktiv.

Exportieren der PingFederate-Metadaten

       
1    Klicken Sie auf dem Hauptbildschirm auf Alle SP verwalten.
2    Suchen Sie nach der gerade erstellten Verbindung und klicken Sie auf Metadaten exportieren.
3    Wählen Sie das für die Signierung der exportierten Datei zu verwendende Zertifikat aus dem Dropdownmenü aus.
4    Klicken Sie auf Export.

Importieren Sie die IdP-Metadaten und aktivieren Sie das einmalige Anmelden nach einem Test

 

Nachdem Sie die Cisco Spark-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie in Ihre Cisco Spark-Organisation importieren.

  
        
1    Wechseln Sie zurück zu dem Browser oder zur Registerkarte, wo Sie sich auf der Seite Cloud Collaboration Management – Verzeichnis-Metadaten exportieren angemeldet haben und klicken Sie dann auf Weiter.
2    Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen.

Wir empfehlen Ihnen, die Option In Metadaten durch Zertifizierungsstelle signiertes Zertifikat anfordern (sicherer) für Dienstanbieter zu verwenden, die öffentlich signierter oder vertrauenswürdige Zertifikate einsetzen.

3    Klicken Sie auf Weiter.
4    Wählen Sie SSO-Verbindung testen und authentifizieren Sie sich in dem sich öffnenden Browserfenster durch eine Anmeldung beim IdP.

Eine häufige Ursache für einen Authentifizierungsfehler ist ein Problem mit den Anmeldeinformationen. Überprüfen Sie den Benutzernamen und das Passwort und versuchen Sie es erneut.

Die Ursache für einen Fehler mit Cisco Spark oder WebEx ist in der Regel ein Problem mit dem SSO-Setup. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Spark-Metadaten kopieren und in das IdP-Setup einfügen.

5    Kehren Sie zur Browser-Registerkarte „Cisco Cloud Collaboration Management“ zurück.
  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
 

Attachments

    Outcomes