Cisco Spark 單一登入與 Google Apps

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

單一登入及 Cisco Spark 概觀

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

使用「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」在 Cisco Collaboration Cloud 平台和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

 

SAML 2.0 是行業通訊協定,可以安全處理使用者驗證、共用使用者屬性以及在跨網域的合作夥伴之間進行使用者授權。

 

如需 SSO 功能的進一步資訊,請參閱此文章。

設定檔

「SAML 2 通訊協定」支援一些設定檔,其中「Spark 平台」僅支援「Web 瀏覽器 SSO 設定檔」。 在「Web 瀏覽器 SSO 設定檔」中,「Spark 平台」支援下列連結:

 
  • SP 起始的 POST->POST 連結 


     

  • SP 起始的 REDIRECT->POST 連結

      


 
      

NameID 格式

「SAML 2 通訊協定」支援特定使用者採用一些 NameID 格式進行通訊。 Cisco Collaboration Cloud 平台支援下列 NameID 格式。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

在您從 IdP 載入的中繼資料中,第一個項目是設定用於「Spark 平台」。

SingleLogout

Cisco Collaboration Cloud 支援單一登出設定檔。 在 Cisco Spark 或 WebEx 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業並向您的 IdP 確認該登出。

將 Cisco Spark 與 Google Apps 整合以用於單一登入

遵循本文章中的任務,於 Cisco Spark 服務和使用 Google Apps 來作為身分識別提供者 (IdP) 的部署之間設定「單一登入 (SSO)」整合。

    

此整合涵蓋 Cisco Spark 訊息、會議及通話的使用者。 需要單獨整合才能為 Cisco WebEx 啟用 SSO。

在開始之前 
對於「單一登入」及 Cisco Spark 服務,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:
  • 將 IdP 設定成使用表單型驗證。

     

  • 將 NameID 格式屬性設定成「urn:oasis:names:tc:SAML:2.0:nameid-format:transient」— 我們也支援未指定。

     

  • 在 IdP 上設定宣告以將下列屬性包括在「SAML 聲明」中:

     

    • 「uid」屬性名稱,其值對映至使用者的電子郵件地址。

       

     
     
  

將 Cisco Spark 中繼資料下載至本端系統

        
1    使用您的完整管理員認證來登入 Cisco Cloud Collaboration Management
2    選取設定,然後從「驗證」區段中選取修改
3    選取整合協力廠商身分識別提供者。 (進階)並移至下一個螢幕。
4    下載信任的中繼資料檔,並將檔案儲存在本端系統上可以輕鬆找到的位置中。  

Cisco Spark 中繼資料檔名為 idb-meta-<org-ID>-SP.xml

  
5    讓您的 Cisco Cloud Collaboration Management 階段作業在瀏覽器標籤中保持開啟;稍後您將返回,以上傳您的 IdP 中繼資料。

在 Google Admin 中設定自訂應用程式

           
1    在新的瀏覽器標籤中,使用具有管理權限的帳戶來登入 Google Apps 管理主控台 (https://admin.google.com),然後按一下應用程式
2    從應用程式視圖中,按一下 SAML 應用程式
3    在「SAML 應用程式」頁面上,按一下加號按鈕 (+),然後在蹦現頁面上,選取設定我自己的自訂應用程式
4    選項 2 區段下的「Google Idp 資訊」頁面上,按下載,並將檔案儲存在本端系統上可以輕鬆找到的位置中。

即會下載 Google 中繼資料檔。 檔名格式為 GoogleIDPMetadata-<domain name>.xml

5    按一下下一步
6    自訂應用程式的基本資訊頁面上,輸入應用程式名稱 Cisco Spark,然後按下一步
7    若要填寫服務提供者詳細資料頁面,請在文字編輯器中開啟您早先時候下載的 Cisco Spark 中繼資料檔。
  1. 在 Spark 中繼資料檔中搜尋「AssertionConsumerService」,然後複製「位置」關鍵字後面的 URL 並貼到「服務提供者詳細資料」頁面上的 ACS URL 欄位。

    範例:https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. 在 Spark 中繼資料檔中搜尋「entityID」,然後將其後面的 URL 複製到「服務提供者詳細資料」頁面上的實體 ID 欄位中。

    範例:https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. 「名稱 ID」應該設定為「基本資訊」及「主要電子郵件」
  4. 「名稱 ID 格式」應該設定為「未指定」
  5. 不需要任何屬性對映,因此在屬性對映頁面上,按一下完成
 

建立 Cisco Spark SAML 應用程式後,必須為使用者啟用此應用程式。

8    按一下 Cisco Spark SAML 應用程式右側的垂直點,選取對每個人開啟對部分組織開啟(然後選取組織。)

匯入 IdP 中繼資料並在測試後啟用單一登入

 

匯出 Cisco Spark 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本端系統,您就已準備好將中繼資料匯入 Cisco Spark 組織。

  
        
1    回到您登入 Cloud Collaboration Management – 匯出目錄中繼資料頁面的瀏覽器或標籤,然後按下一步
2    在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。

對於使用公開簽署及信任憑證的服務提供者,我們建議您使用要求由憑證授權單位以中繼資料形式簽署的憑證(較安全)

3    按一下下一步
4    選取測試 SSO 連線,然後當新的瀏覽器標籤開啟時,請透過登入,向 IdP 驗證。

驗證錯誤的常見原因是認證有問題。 請檢查使用者名稱和密碼並再試一次。

Cisco Spark 或 Webex 錯誤通常表示 SSO 設定有問題。 在這種情況下,再次執行這些步驟,尤其是複製 Cisco Spark 中繼資料並貼到 IdP 設定的步驟。

5    回到 Cisco Cloud Collaboration Management 瀏覽器標籤。
  • 如果測試成功,請選取此測試已成功。 啟用「單一登入」選項並按下一步
  • 如果測試失敗,請選取此測試已失敗。 停用單一登入選項,並按下一步
 

Attachments

    Outcomes