- Inicio
- /
- Artículo
Configurar inicio de sesión único control Hub con Shibboleth
Puede configurar una integración del Inicio de sesión único (SSO) entre Control Hub y una implementación en la que se utilice Shibboleth como proveedor de servicios de identidad (IdP).
Inicio de sesión único y Control Hub
El Inicio de sesión único (SSO) es un proceso de autenticación de sesiones o de usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.
Se utiliza el Protocolo de federación del Lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML 2.0) para proporcionar autenticación de SSO entre la nube de Webex y su proveedor de servicios de identidad (IdP).
Perfiles
La aplicación de Webex solo es compatible con el explorador web SSO perfil. En el navegador web SSO perfil, la aplicación de Webex admite los siguientes enlaces:
-
SP initiated POST -> POST binding
-
SP initiated REDIRECT -> POST binding
Formato NameID
El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. La aplicación de Webex admite los siguientes formatos de NameID.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
-
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
-
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
En los metadatos que carga desde su IdP, la primera entrada está configurada para ser utilizarla en Webex.
SingleLogout
La aplicación de Webex es compatible con el perfil de cierre de sesión único. En la aplicación de Webex, un usuario puede cerrar sesión de la aplicación, lo que utiliza el protocolo de descontación único de SAML para finalizar la sesión y confirmar que se está cierrando sesión en su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.
Integrar Control Hub con Shibboleth
Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient
. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.
Configure esta integración para los usuarios de su organización de Webex ( incluida la aplicación Webex, Webex Meetingsy otros servicios administrados en Control Hub). Si su sitio de Webex está integrado en Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Webex Meetings de esta manera y no se administra en Control Hub, debe realizar una integración aparte para habilitar SSO para Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).
Los pasos de integración hacen referencia a Shibboleth 2.4.5 en CentOS 7 con Tomcat 7 como servidor web.
Antes de comenzar
Para SSO y Control Hub, los IdP deben ajustarse a la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:
Descargue los metadatos de Webex en su sistema local
1 |
Desde la vista del cliente en ,https://admin.webex.com vaya a Administración > Configuración de la organización y, a active el ajuste del Inicio de sesión único para iniciar el asistente de configuración. |
2 |
Elija el tipo de certificado para su organización:
Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP. |
3 |
Descargue el archivo de metadatos. El nombre del archivo de metadatos de Webex es idb-meta--SP.xml. |
Configurar la autorización en archivos de Shibboleth
Una vez que haya instalado Shibboleth, tendrá archivos de configuración con ejemplos.
1 |
Diríjase al directorio /opt/shibboleth-idp/conf para acceder a los archivos de ejemplo. |
2 |
Decida qué método de autorización se usará, por ejemplo: enlace LDAP a Active Directory. |
3 |
Edite el archivo handler.xml de la siguiente manera: Desmarque como comentario Marque como comentario |
4 |
Complete los detalles de su Active Directory para permitir la autenticación. Proporcione la configuración para el archivo login.config.
|
Configurar los componentes del proveedor de servicios de Shibboleth para la aserción SAML
1 |
Agregue el archivo que descargó del SP de Webex al directorio /opt/shibboleth-idp/metadata. |
2 |
Edite el archivo relying-party.xml ; después de la etiqueta DefaultRelyingParty, agregue los detalles de la aserción SAML correspondiente a Webex.
Para id, debe utilizar el valor de EntityID del archivo de metadatos de Webex . Reemplace el ID del ejemplo por el valor de EntityID de su organización. |
3 |
Dentro de la etiqueta metadata:MetadataProvider, agregue la ubicación del archivo:
Los metadatos de SP proviene de un archivo del sistema de archivos de Shibboleth, que se encuentra en la ubicación donde usted haya cargado los metadatos para su organización de Webex . |
Configurar los atributos de la aserción
1 |
En la sección de Conectores de datos, especifique dónde se recuperarán los atributos sobre sus usuarios. Active Directory, con un id de MyLDAP.
|
2 |
En la sección de Definición de atributos, no haga cambios en la configuración correspondiente a transientID. |
3 |
Agregue el atributo adicional que está esperando SP, y defina a qué elemento se asigna en el origen del atributo. Asigne el atributo mail (atributo de la dirección de correo electrónico en Active Directory) a uid (UserID en Webex).
|
4 |
Defina qué atributo se proporcionará a cada acuerdo de SP en el archivo attribute-filter.xml. Proporcione el atributo uid a Webex que se asigna a la dirección de correo electrónico del usuario. Libere el atributo uid al acuerdo de SP con Webex.
La regla que creó en attribute-resolver.xml debería tener una política para liberar el atributo mail-attr al EntityID que coincida con Webex. |
5 |
Descargue el archivo de metadatos del servidor Shibboleth en /opt/shibboleth-idp/metadata. El nombre del archivo es idp-metadata.xml. |
Importar los metadatos del IdP y habilitar la inicio de sesión único después de una prueba
Después de exportar los metadatos de Webex , configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en disposición de importarlos a su organización de Webex desde Control Hub.
Antes de comenzar
No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.
1 |
Elija una opción:
|
2 |
En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.
Debe utilizar la opción Más seguro, si puede. Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos. En todos los demás casos, debe utilizar la opción Menos seguro. Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada. Okta no firma los metadatos, por lo que debe elegir Menos seguro para una integración de Okta SSO web. |
3 |
Seleccione Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Este paso detiene los falsos positivos debido a un token de acceso que podría estar en una sesión existente de que usted haya iniciado sesión. |
4 |
Vuelva a la ficha del navegador de Control Hub.
La SSO de ajustes no tendrá efecto en su organización a menos que elija el nombre botón de opciones y active SSO. |
Qué hacer a continuación
Utilice los procedimientos en Sincronizar usuarios de Okta en Cisco Webex Control Hub si quiere hacer el aprovisionamiento del usuario desde Okta en la nube de Webex.
Utilice los procedimientos en Sincronizar Azure Active Directory usuarios en Cisco Webex Control Hub si desea realizar el aprovisionamiento de usuarios desde Azure AD a la nube de Webex.
Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la Aplicación de Webex de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.