Einmaliges Anmelden in Cisco Spark mit Google Apps

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Überblick über einmaliges Anmelden (Single Sign-On) und Cisco Spark

Das einmalige Anmelden ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Collaboration Cloud-Plattform und Ihrem Identitätsanbieter (IdP) eingesetzt.

 

SAML 2.0 ist ein Industrie-Protokoll für die sichere Verarbeitung der Benutzerauthentifizierung, die Freigabe von Benutzerattributen und der domänenübergreifenden Benutzerauthentifizierung zwischen Partnern.

 

Weitere Informationen zu den SSO-Funktionen finden Sie in diesem Artikel.

Profile

Das SAML 2-Protokoll unterstützt einige Profile, von denen die Spark-Plattform nur das Web Browser SSO-Profil unterstützt. Im Web Browser SSO-Profil unterstützt die Spark-Plattform folgende Bindungen:

 
  • SP initiierte POST->POST-Bindung 


     

  • SP initiierte REDIRECT->POST-Bindung

      


 
      

Namens-ID-Format

Das SAML 2-Protokoll unterstützt unterschiedliche NameID-Formate zur Kommunikation über einen bestimmten Benutzer. Die Cisco Collaboration Cloud-Plattform unterstützt folgende NameID-Formate.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für den Einsatz der Spark-Plattform konfiguriert.

SingleLogout

Die Cisco Collaboration Cloud unterstützt das Einzelabmeldungsprofil. In Cisco Spark oder der WebEx-App kann sich ein Benutzer von der Anwendung abmelden, dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet.

Integration von Cisco Spark mit Google Apps für einmaliges Anmelden

Befolgen Sie die Arbeitsschritte in diesem Artikel, um die Single Sign-On (SSO)-Integration zwischen den Cisco Spark-Diensten und einer Bereitstellung zu konfigurieren, bei der Google Apps als Identitätsanbieter (IdP) eingesetzt wird.

    

Die Integration umfasst Benutzer von Cisco Spark Message, Meet und Call. Zur Aktivierung von SSO für Cisco WebEx ist eine separate Integration erforderlich.

Vorbereitungen 
Für das einmalige Anmelden und Cisco Spark-Dienste müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
  • Konfigurieren Sie den IdP so, dass er die formularbasierte Authentifizierung verwendet.

     

  • Legen Sie für das NameID-Formatattribut "urn:oasis:names:tc:SAML:2.0:nameid-format:transient“ fest; – wir unterstützen es auch, wenn es nicht angegeben ist.

     

  • Konfigurieren Sie einen Anspruch an den IdP, damit Sie das folgende Attribut in die SAML-Assertion:

     

    • Der Attributname "uid" mit einem der E-Mail-Adresse des Benutzers zugeordneten Wert.

       

     
     
  

Laden Sie sich die Cisco Spark-Metadaten auf Ihr lokales System herunter

        
1    Melden Sie sich mit Ihren vollständigen Administrator-Anmeldeinformationen bei Cisco Cloud Collaboration Management an.
2    Wählen Sie Einstellungen und anschließend im Bereich „Authentifizierung“ Ändern.
3    Wählen Sie Drittanbieter-Identitätsanbieter integrieren (Erweitert) und wechseln Sie anschließend zum nächsten Bildschirm.
4    Laden Sie die vertrauenswürdige Metadatendatei herunter und speichern Sie sie an einem leicht auffindbaren Speicherort auf Ihrem lokalen System.  

Der Cisco Spark-Metadatendateiname lautet idb-meta-<org-ID>-SP.xml.

  
5    Lassen Sie Ihre Cisco Cloud Collaboration Management-Sitzung in einem Browserfenster geöffnet; Sie werden später dorthin zurückkehren, um Ihre IdP-Metadaten hochzuladen.

Konfigurieren einer benutzerdefinierten App in Google Admin

           
1    Melden Sie sich auf einer neuen Browser-Registerkarte über ein Konto mit Administratorberechtigungen an der Google Apps-Verwaltungskonsole (https://admin.google.com) und klicken Sie dann auf Apps.
2    Klicken Sie auf der Apps-Ansicht auf SAML-Apps.
3    Klicken Sie auf der Seite SAML-Apps auf die Schaltfläche (+) und dann auf die Popup-Seite, wählen Sie anschließend EIGENE BENUTZERDEFINIERTE APP EINRICHTEN.
4    Klicken Sie auf der Google Idp-Informationsseite unter dem Bereich Option 2 auf DOWNLOAD und speichern Sie die Datei an einem leicht auffindbaren Speicherort auf Ihrem lokalen System.

Die Google-Metadatendatei wird heruntergeladen. Das Format für den Dateinamen lautet GoogleIDPMetadata-<domain name>.xml.

5    Klicken Sie auf WEITER.
6    Geben Sie auf der Seite Grundlegende Informationen für Ihre benutzerdefinierte App den Anwendungsnamen Cisco Spark ein und klicken Sie auf WEITER.
7    Öffnen Sie zum Vervollständigen der Seite Dienstanbieterdetails die Cisco Spark-Metadatendatei in einem Text-Editor, die Sie zuvor heruntergeladen haben.
  1. Durchsuchen Sie die Spark-Metadatendatei nach "AssertionConsumerService" und kopieren Sie die URL, die auf das Standort-Suchwort folgt und fügen Sie es in das ACS-URL-Feld auf der Dienstanbieterdetails-Seite ein.

    Beispiel:https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. Durchsuchen Sie die Spark-Metadatendatei nach "entityID" und kopieren Sie die darauffolgende URL in das Feld Entitäts-ID auf der Dienstanbieterdetails-Seite.

    Beispiel:https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. "Name ID" sollte auf grundlegende Informationen und primäre E-Mail-Adresse festgelegt werden
  4. "Name ID Format" sollte auf NICHT ANGEGEBEN festgelegt werden
  5. Es sind keine Attributzuordnungen erforderlich, klicken Sie deshalb auf der Seite Attributzuordnung auf FERTIG STELLEN
 

Nachdem die Cisco Spark SAML-App erstellt ist, müssen Sie sie für Benutzer aktivieren.

8    Klicken Sie auf der rechten Seite der Cisco Spark SAML-App auf die vertikalen Punkte und wählen Sie Für jeden aktivieren oder Für einige Organisationen aktivieren (anschließend die Organisationen auswählen).

Importieren Sie die IdP-Metadaten und aktivieren Sie das einmalige Anmelden nach einem Test

 

Nachdem Sie die Cisco Spark-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie in Ihre Cisco Spark-Organisation importieren.

  
        
1    Wechseln Sie zurück zu dem Browser oder zur Registerkarte, wo Sie sich auf der Seite Cloud Collaboration Management – Verzeichnis-Metadaten exportieren angemeldet haben und klicken Sie dann auf Weiter.
2    Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen.

Wir empfehlen Ihnen, die Option In Metadaten durch Zertifizierungsstelle signiertes Zertifikat anfordern (sicherer) für Dienstanbieter zu verwenden, die öffentlich signierter oder vertrauenswürdige Zertifikate einsetzen.

3    Klicken Sie auf Weiter.
4    Wählen Sie SSO-Verbindung testen und authentifizieren Sie sich in dem sich öffnenden Browserfenster durch eine Anmeldung beim IdP.

Eine häufige Ursache für einen Authentifizierungsfehler ist ein Problem mit den Anmeldeinformationen. Überprüfen Sie den Benutzernamen und das Passwort und versuchen Sie es erneut.

Die Ursache für einen Fehler mit Cisco Spark oder WebEx ist in der Regel ein Problem mit dem SSO-Setup. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Spark-Metadaten kopieren und in das IdP-Setup einfügen.

5    Kehren Sie zur Browser-Registerkarte „Cisco Cloud Collaboration Management“ zurück.
  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
 

Attachments

    Outcomes