Inicio de sesión único y Control Hub

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

Se utiliza el Protocolo de federación del Lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML 2.0) para proporcionar autenticación de SSO entre la nube de Webex y su proveedor de servicios de identidad (IdP).

Perfiles

La aplicación de Webex solo es compatible con el explorador web y SSO perfil. En el navegador web SSO perfil, la aplicación de Webex admite los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato NameID

El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. La aplicación de Webex admite los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para ser utilizarla en Webex.

Integrar Control Hub con Microsoft Azure


Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su organización de Webex (incluida la aplicación Webex , Webex Meetings , y otros servicios administrados en Control Hub ). Si su sitio de Webex está integrado en Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Webex Meetings de esta manera y no se administra en Control Hub, debe realizar una integración aparte para habilitar SSO para Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).

Antes de comenzar

Para SSO Control Huby Control Hub, los IdP deben cumplir con la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:


En Azure Active Directory, el aprovisionamiento es compatible solo en modo manual. Este documento únicamente cubre la integración del inicio de sesión único (SSO).

Descargue los metadatos de Webex en su sistema local

1

Desde la vista del cliente en , vaya a Administración > Configuración de la organización y, a continuación, desplácese hasta Autenticación y, a continuación, active el ajuste del inicio de sesión único para iniciar el asistente https://admin.webex.com de configuración.

2

Elija el tipo de certificado para su organización:

  • Autofirmado porCisco: recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública: más seguro, pero deberá actualizar los metadatos con frecuencia (a menos que su proveedor de IdP admitaanclajes de confianza).

 

Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Webex es idb-meta-<org-ID>-SP.xml.

Configurar SSO de la aplicación en Azure

Antes de comenzar

1

Inicie sesión en el portal de Azure en https://portal.azure.com con sus credenciales de administrador.

2

Vaya a Azure Active Directory para su organización.

3

Vaya a Aplicaciones empresariales y, a continuación, haga clic en Agregar.

4

Haga clic en Agregar una aplicación de la galería.

5

En el cuadro de búsqueda, escriba Cisco Webex.

6

En el panel de resultados, seleccione Cisco Webexy, a continuación, haga clic en Añadir para agregar la aplicación.

Aparecerá un mensaje que dice que la aplicación se agregó correctamente.

7

Para asegurarse de que la aplicación de Webex que agregó para inicio de sesión único no se muestre en el portal de usuarios, abra la nueva aplicación, vaya a Propiedades y configure ¿Visible para los usuarios? en No .

8

Configure el inicio de sesión único:

  1. Después de crear el acuerdo de aplicación, vaya a la ficha Inicio de sesión único y, a continuación, en Seleccionar un método de inicio de sesión único , elija SAML.

  2. En la página Configurar el inicio de sesión único con SAML, haga clic en el icono Editar para abrir la configuración samlbásica.

  3. Haga clic en Cargar archivo de metadatos y, a continuación, elija el archivo de metadatos que descargó de Control Hub.

    Algunos campos se completan automáticamente.

  4. Copie el valor de URL de respuesta y péguela en URL de inicio de sesión, y guarde sus cambios.

9

Vaya a Administrar > usuarios y grupos y, luego, elija los usuarios y grupos aplicables que quiera otorgar acceso a la aplicación de Webex.

10

En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación y guardarlo en su computadora.

11

En la página Propiedades, asegúrese de que Visible para los usuarios? esté configurado en No .

No podemos hacer que la aplicación de Webex sea visible para los usuarios.

Importar los metadatos del IdP y habilitar la inicio de sesión único después de una prueba

Después de exportar los metadatos de Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en disposición de importarlos a su organización de Webex desde Control Hub.

Antes de comenzar

No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo proporcionamos soporte para los flujos iniciados por el proveedor de servicios, por lo que debe utilizar la prueba de SSO de Control Hub para esta integración.

1

Elija una opción:

  • Regrese a la página de selección de certificados del Control Hub en su explorador y, luego, haga clic en Siguiente.
  • Si el Control Hub ya no está abierto en la ficha del navegador, desde la vista del cliente en , vaya a Administración > Configuración de la organización , desplácese hasta Autenticación y, luego, elija Acciones https://admin.webex.com > Importarmetadatos.
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Debe utilizar la opción Más seguro, si puede. Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos.

En todos los demás casos, debe utilizar la opción Menos seguro. Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada.

3

Seleccione Prueba SSO configuración y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.


 

Para ver la SSO inicio de sesión de forma directa, también puede hacer clic en Copiar URL en el portapapeles desde esta pantalla y pegarla en una ventana privada del explorador. Desde allí, puede realizar un recorrido para iniciar sesión con SSO. Este paso detiene los falsos positivos debido a un token de acceso que podría estar en una sesión existente de que usted haya iniciado sesión.

4

Vuelva a la ficha del navegador de Control Hub.

  • Si la prueba fue exitosa, seleccione Prueba exitosa. Active la SSO y haga clic en Siguiente .
  • Si la prueba no fue exitosa, seleccione Prueba incorrecta. Desactive la SSO y haga clic en Siguiente.

 

La SSO de ajustes no tendrá efecto en su organización, a menos que elija primero botón de opciones y active SSO.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación deWebex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Solucionar problemas de integración de Azure

Al realizar la prueba de SAML, asegúrese de utilizar Mozilla Firefox e instalar la herramienta de seguimiento de SAML desde https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Compruebe la aserción que proviene de Azure para asegurarse de que tiene el formato de nameid correcto y que tiene un atributo uid que coincide con un usuario en la aplicación de Webex.