Einmaliges Anmelden in Cisco Spark mit F5 Big-IP

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Überblick über einmaliges Anmelden (Single Sign-On) und Cisco Spark

Das einmalige Anmelden ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Collaboration Cloud-Plattform und Ihrem Identitätsanbieter (IdP) eingesetzt.

 

SAML 2.0 ist ein Industrie-Protokoll für die sichere Verarbeitung der Benutzerauthentifizierung, die Freigabe von Benutzerattributen und der domänenübergreifenden Benutzerauthentifizierung zwischen Partnern.

 

Weitere Informationen zu den SSO-Funktionen finden Sie in diesem Artikel.

Profile

Das SAML 2-Protokoll unterstützt einige Profile, von denen die Spark-Plattform nur das Web Browser SSO-Profil unterstützt. Im Web Browser SSO-Profil unterstützt die Spark-Plattform folgende Bindungen:

 
  • SP initiierte POST->POST-Bindung 


     

  • SP initiierte REDIRECT->POST-Bindung

      


 
      

Namens-ID-Format

Das SAML 2-Protokoll unterstützt unterschiedliche NameID-Formate zur Kommunikation über einen bestimmten Benutzer. Die Cisco Collaboration Cloud-Plattform unterstützt folgende NameID-Formate.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für den Einsatz der Spark-Plattform konfiguriert.

SingleLogout

Die Cisco Collaboration Cloud unterstützt das Einzelabmeldungsprofil. In Cisco Spark oder der WebEx-App kann sich ein Benutzer von der Anwendung abmelden, dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet.

Integration von F5 Big IP mit Cisco Spark für einmaliges Anmelden

 

Befolgen Sie die Arbeitsschritte in diesem Artikel, um die Single Sign-On (SSO)-Integration zwischen den Cisco Spark-Diensten und einer Bereitstellung zu konfigurieren, bei der F5 Big-IP als Identitätsanbieter (IdP) eingesetzt wird.

    

Die Integration umfasst Benutzer von Cisco Spark Message, Meet und Call. Zur Aktivierung von SSO für Cisco WebEx ist eine separate Integration erforderlich.

  

Laden Sie sich die Cisco Spark-Metadaten auf Ihr lokales System herunter

        
1    Melden Sie sich mit Ihren vollständigen Administrator-Anmeldeinformationen bei Cisco Cloud Collaboration Management an.
2    Führen Sie einen der folgenden Schritte aus:
  • Wählen Sie im Assistenten für die erstmalige Einrichtung Enterprise-Einstellungen und bestätigen Sie anschließend die Benutzeraufforderungen, bis Sie zur Seite Einmaliges Anmelden gelangen.
  • Wählen Sie Einstellungen und anschließend Ändern.
3    Wählen Sie Drittanbieter-Identitätsanbieter integrieren (Erweitert) und wechseln Sie anschließend zum nächsten Bildschirm.
4    Laden Sie die vertrauenswürdige Metadatendatei herunter und speichern Sie sie an einem leicht auffindbaren Speicherort auf Ihrem lokalen System.

Der Cisco Spark-Metadatendateiname lautet idb-meta-<org-ID>-SP.xml.

5    Lassen Sie Ihre Cisco Cloud Collaboration Management-Sitzung in einem Browserfenster geöffnet; Sie werden später dorthin zurückkehren, um Ihre IdP-Metadaten hochzuladen.

Konfigurieren Sie den externen Dienstanbieter und Identitätsanbieter

               
1    Wechseln Sie auf der BIG-IP F5-Verwaltungsoberfläche zu Zugriffsrichtlinie > SAML > BIG-IP als IdP.
2    Wählen Sie unter Externe SP-Connectoren Erstellen > Aus Metadaten.
3    Geben Sie einen aussagekräftigen Namen für den Dienstanbieternamen ein, z. B. <yourorganizationname>.ciscospark.com.
4    Aktivieren Sie unter Sicherheitseinstellungen folgende Kontrollkästchen:
  • Antwort muss signiert sein
  • Assertion muss signiert sein
5    Kehren Sie zu Zugriffsrichtlinie > SAML > BIG-IP als IdP zurück und erstellen Sie dann einen neuen Identitätsanbieter-Dienst (IdP).
6    Geben Sie einen aussagekräftigen Namen für den IdP-Dienstnamen ein, z. B. CI.
7    Verwenden Sie für die IdP-Entitäts-ID den FQDN des Big-IP-Servers und stellen Sie etwas voran – z. B. https://bigip0a.uc8sevtlab13.com/CI.
8    Wählen Sie unter Assertionseinstellungen bei AssertionssubjekttypVorübergehender Bezeichner ein.
9    Geben Sie für Assertionssubjektwert den Wert der E-Mail des Benutzers zurück %{session.ad.last.attr.mail}.
10    Geben Sie die Attribute mail und uid mit dem Wert %{session.ad.last.attr.mail} zurück.
11    Wählen Sie unter Sicherheitseinstellungen ein Zertifikat für die Signierung der Assertion.
12    Speichern Sie Ihre Änderungen und erstellen Sie dann Bindungen mit dem von Ihnen erstellten Dienstanbieter und Identitätsanbieter.

Die F5 Big-IP-Metadaten herunterladen

      
1    Wählen Sie IDP-Dienst exportieren.
2    Vergewissern Sie sich, dass der Wert bei Metadaten signieren Nein lautet.
3    Laden Sie die Metadatendatei auf Ihren Desktop oder an einen leicht auffindbaren Speicherort herunter.

Hinzufügen einer Zugriffsrichtlinie

            
1    Wechseln Sie zu Zugriffsrichtlinie > Zugriffsprofile > SAML und erstellen Sie eine SAML-Ressource für den von Ihnen erstellten IdP.
2    Wechseln Sie zu Ihrem Zugriffsprofil und bearbeiten Sie die Zugriffsrichtlinie, die Sie für WebEx Messenger CAS verwenden.
3    Fügen Sie auf der Registerkarte Anmeldung ein neues Element mit dem Namen Anmeldeseite und behalten Sie den Standardwert bei.
4    Fügen Sie auf der Registerkarte Authentifizierung einen neuen Wert mit dem Namen AD Auth hinzu und geben Sie als Server Active Directory an.
5    Fügen Sie bei der erfolgreichen Verzweigung AD Query von der Registerkarte Authentifizierung hinzu
6    Wechseln Sie zu den Verzweigungsregeln und ändern Sie in AD Query bestanden.
7    Fügen Sie bei der erfolgreichen Verzweigung von AD Query Erweiterte Ressourcenzuweisung von der Registerkarte Zuweisung hinzu.
8    Klicken Sie auf Hinzufügen/Löschen und fügen Sie beide Ressourcen SAML mit allen SAML-Ressourcen und dem Webtop hinzu, den Sie erstellt haben.
9    Wählen Sie bei Ende auswählen Zulassen aus.

Die Zugriffsrichtlinie sollte wie in diesem Screenshot aussehen:

Verknüpfen des Zugriffsprofils mit dem virtuellen Server

 

Sie müssen das Zugriffsprofil mit dem von Ihnen erstellten virtuellen Server verknüpfen.

  
        
1    Wechseln Sie zu Lokaler Datenverkehr > Virtuelle Server.
2    Öffnen Sie die Zugriffsprofile, um sicherzustellen, dass kein virtueller Server mit dem Profil verknüpft ist.
3    Wählen Sie Erweiterte Ressourcenzuweisung aus.
4    Wählen Sie Hinzufügen/löschen, um die neue SAML-Ressource hinzuzufügen.
5    Schließen Sie die Zugriffsrichtlinien-Entwurfsfenster und wenden Sie die neue Zugriffsrichtlinie an.

Importieren Sie die IdP-Metadaten und aktivieren Sie das einmalige Anmelden nach einem Test

 

Nachdem Sie die Cisco Spark-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie in Ihre Cisco Spark-Organisation importieren.

  
        
1    Wechseln Sie zurück zu dem Browser oder zur Registerkarte, wo Sie sich auf der Seite Cloud Collaboration Management – Verzeichnis-Metadaten exportieren angemeldet haben und klicken Sie dann auf Weiter.
2    Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen.

Wir empfehlen Ihnen, die Option In Metadaten durch Zertifizierungsstelle signiertes Zertifikat anfordern (sicherer) für Dienstanbieter zu verwenden, die öffentlich signierter oder vertrauenswürdige Zertifikate einsetzen.

3    Klicken Sie auf Weiter.
4    Wählen Sie SSO-Verbindung testen und authentifizieren Sie sich in dem sich öffnenden Browserfenster durch eine Anmeldung beim IdP.

Eine häufige Ursache für einen Authentifizierungsfehler ist ein Problem mit den Anmeldeinformationen. Überprüfen Sie den Benutzernamen und das Passwort und versuchen Sie es erneut.

Die Ursache für einen Fehler mit Cisco Spark oder WebEx ist in der Regel ein Problem mit dem SSO-Setup. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Spark-Metadaten kopieren und in das IdP-Setup einfügen.

5    Kehren Sie zur Browser-Registerkarte „Cisco Cloud Collaboration Management“ zurück.
  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
 

Attachments

    Outcomes