F5 Big-IP로 Cisco Spark 싱글 사인온

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

싱글 사인온 및 Cisco Spark 개요

싱글 사인온(SSO)은 사용자가 자격 증명을 제공하여 한 개 이상의 응용프로그램에 액세스할 수 있도록 허용하는 세션 또는 사용자 인증 프로세스입니다. 해당 프로세스는 사용 권한이 있는 모든 응용프로그램에 대한 사용자를 인증합니다. 이는 특정 세션 중에 사용자가 응용프로그램을 전환할 때 추가 프롬프트를 제거합니다.

SAML 2.0(Security Assertion Markup Language) 페더레이션 프로토콜은 Cisco 협업 클라우드 플랫폼과 ID 제공자(IdP) 간의 SSO 인증을 제공하기 위해 사용됩니다.

 

SAML 2.0은 사용자 인증을 안전하게 처리하고, 사용자 속성 공유 및 모든 도메인에서 파트너 간의 사용자 인증을 위한 업계 프로토콜입니다.

 

SSO 기능에 대한 추가 정보는 이 문서를 참조하십시오.

프로필

SAML 2 프로토콜은 프로필의 수를 지원합니다. 이는 Spark 플랫폼에서 지원하는 웹 브라우저 SSO 프로필입니다. 웹 브라우저 SSO 프로필에서 Spark 플랫폼은 다음 바인딩을 지원합니다.

 
  • SP 시작한 POST->POST 바인딩 


     

  • SP 시작한 REDIRECT->POST 바인딩

      


 
      

NameID 형식

SAML 2 프로토콜은 특정 사용자에 대한 통신의 목적으로 NameID 형식의 번호를 지원합니다. Cisco 협업 클라우드 플랫폼은 다음 NameID 형식을 지원합니다.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP로부터 로드한 메타데이터에서 Spark 플랫폼에서 사용될 첫 번째 입력값이 구성됩니다.

싱글 로그아웃

Cisco 협업 클라우드는 싱글 로그아웃 프로필을 지원합니다. Cisco Spark 또는 WebEx 앱에서 사용자는 응용프로그램에서 로그아웃할 수 있으며, 이는 SAML 싱글 로그아웃 프로토콜을 사용하여 세션을 종료하고 IdP와 해당 로그아웃을 확인합니다.

싱글 사인온을 위해 F5 Big IP를 Cisco Spark에 통합

 

이 문서에 있는 작업을 따라 Cisco Spark 서비스와 F5 Big-IP를 ID 제공자(IdP)로 사용하는 배포 간의 싱글 사인온(SSO) 통합을 구성합니다.

    

이 통합은 Cisco Spark 메시지, 미팅 및 통화의 사용자를 커버합니다. Cisco WebEx에 대한 SSO를 활성화하려면 개별 통합이 필요합니다.

  

Cisco Spark 메타데이터를 로컬 시스템으로 다운로드

        
1    전체 관리자 자격 증명을 사용하여 Cisco 클라우드 협업 관리에 로그인합니다.
2    다음 단계 중 하나를 수행합니다.
  • 첫 설치 마법사에서 기업 설정을 선택한 후 싱글 사인온 페이지에 도달할 때까지 프롬프트를 클릭합니다.
  • 설정을 선택한 후 수정을 선택합니다.
3    제3자 ID 제공자 통합을 선택합니다. (고급) 그 후 다음 화면으로 이동합니다.
4    신뢰하는 메타데이터 파일을 다운로드하고 로컬 시스템에서 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

Cisco Spark 메타데이터 파일명은 idb-meta-<org-ID>-SP.xml입니다.

5    브라우저 탭에서 Cisco 클라우드 협업 관리 세션을 열어 둡니다. 나중에 다시 돌아가서 IdP 메타데이터를 업로드합니다.

외부 서비스 공급자 및 ID 제공자 구성

               
1    BIG-IP F5 관리 인터페이스에서 액세스 정책 > SAML > IdP로 BIG-IP로 이동합니다.
2    외부 SP 커넥터에서 만들기 > 메타데이터로부터를 선택합니다.
3    서비스 공급자 이름에 <yourorganizationname>.ciscospark.com 등 특정 이름을 입력합니다.
4    보안 설정 아래에서 다음 체크 박스를 체크합니다.
  • 응답은 반드시 서명되어야 함
  • 어설션은 반드시 서명되어야 함
5    액세스 정책 > SAML > IdP로 BIG-IP로 돌아간 후 새로운 ID 제공자(IdP) 서비스를 만듭니다.
6    CI 등 IdP 서비스 이름에 대해 특정 이름을 입력합니다.
7    IdP Entity ID에 대해서는 https://bigip0a.uc8sevtlab13.com/CI와 같이 앞에 특정 내용이 추가된 Big-IP 서버의 FQDN을 사용합니다.
8    어설션 설정 아래에서 어설션 주체 유형에 대해 일시 식별자를 선택합니다.
9    어설션 주체 값에 대해 사용자의 이메일 값 %{session.ad.last.attr.mail}이 반환됩니다.
10    속성 mailuid%{session.ad.last.attr.mail} 값으로 반환합니다.
11    보안 설정 아래에서 어설션에 서명할 인증서를 선택합니다.
12    변경 사항을 저장한 후 서비스 공급자와 작성한 ID 제공자를 바인딩합니다.

F5 Big-IP 메타데이터 다운로드

      
1    IDP 서비스 내보내기를 선택합니다.
2    메타데이터 서명 값이 아니요인지 확인합니다.
3    메타데이터 파일을 바탕 화면 또는 쉽게 찾을 수 있는 위치로 다운로드합니다.

액세스 정책 추가

            
1    액세스 정책 > 액세스 프로필 > SAML로 이동하고 작성한 IdP에 대해 SAML 리소스를 만듭니다.
2    액세스 프로필로 이동하고 WebEx Messenger CAS에 대해 사용하는 액세스 정책을 편집합니다.
3    로그온 탭에서 로그온 페이지 이름으로 새로운 항목을 추가하고 기본 값은 남겨둡니다.
4    인증 탭에서 AD Auth 이름으로 새로운 항목을 추가하고 Active Directory를 서버로 지정합니다.
5    성공한 분기에서 인증 탭으로부터 AD 쿼리를 추가합니다.
6    분기 규칙으로 이동하고 AD 쿼리 통과됨으로 변경합니다.
7    AD 쿼리의 성공한 분기에서 할당 탭으로부터 고급 리소스 지정을 추가합니다.
8    추가/삭제를 클릭하고 작성한 모든 SAML 리소스 및 Webtop을 포함하는 두 개의 리소스 SAML을 추가합니다.
9    종료 선택에 대해 허용을 선택합니다.

액세스 정책은 다음 스크린샷과 같이 나타납니다.

액세스 프로필을 가상 서버와 연계

 

액세스 프로필을 작성한 가상 서버와 연계해야 합니다.

  
        
1    로컬 트래픽 > 가상 서버로 이동합니다.
2    액세스 프로필을 열어 해당 프로필과 연계된 가상 서버가 없는지 확인합니다.
3    고급 리소스 지정을 선택합니다.
4    새로운 SAML 리소스를 추가하려면 추가/삭제를 선택합니다.
5    액세스 정책 디자인 창을 닫고 새로운 액세스 정책을 적용합니다.

IdP 메타데이터 가져오기 및 테스트 후에 싱글 사인온 활성화

 

Cisco Spark 메타데이터를 내보내기한 후 IdP를 구성하고 해당 IdP 메타데이터를 로컬 시스템으로 다운로드하면 Cisco Spark 조직으로 가져오기할 준비가 됩니다.

  
        
1    클라우드 협업 관리 – 디렉토리 메타데이터 내보내기에 로그인된 페이지에서 브라우저 또는 탭으로 돌아간 후 다음을 클릭합니다.
2    IdP 메타데이터 가져오기 페이지에서 IdP 메타데이터 파일을 페이지로 드래그하고 드롭하거나 파일 찾아보기 옵션을 사용하여 메타데이터 파일을 찾고 업로드합니다.

공개적으로 서명되고 신뢰할 수 있는 인증서를 사용하는 서비스 공급자에 대해 메타데이터에서 인증 기관이 서명한 인증서 필요 (보다 안전)를 사용할 것을 권장합니다.

3    다음을 클릭합니다.
4    SSO 연결 테스트를 선택하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.

인증 오류의 일반적인 원인은 자격 증명과 관련된 문제입니다. 사용자이름 및 비밀번호를 확인한 후 다시 시도하십시오.

Cisco Spark 또는 WebEx 오류는 일반적으로 SSO 설정과 관련된 문제를 의미합니다. 이러한 경우, 해당 단계를 다시 실행합니다. 특히 Cisco Spark 메타데이터를 IdP 설정에 복사하고 붙여넣는 단계를 주의하십시오.

5    Cisco 클라우드 협업 관리 브라우저 탭으로 돌아갑니다.
  • 테스트가 성공적이면 이 테스트에 성공했습니다를 선택합니다. 싱글 사인온 옵션을 활성화하고 다음을 클릭합니다.
  • 테스트에 실패하면 이 테스트에 실패했습니다를 선택합니다. 싱글 사인온 옵션을 비활성화하고 다음을 클릭합니다.
 

Attachments

    Outcomes