- Inicio
- /
- Artículo
Gracias por sus comentarios.
Configurar el inicio de sesión único en Control Hub con Microsoft Azure
En este artículo
¿Comentarios?Puede configurar una integración de inicio de sesión único (SSO) entre una organización de cliente de Control Hub y una implementación que use Microsoft Azure como proveedor de identidad (IdP).
Inicio de sesión único y Control Hub
El Inicio de sesión único (SSO) es un proceso de autenticación de sesiones o de usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.
Se utiliza el Protocolo de federación del Lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML 2.0) para proporcionar autenticación de SSO entre la nube de Webex y su proveedor de servicios de identidad (IdP).
Perfiles
La aplicación de Webex solo es compatible con el explorador web SSO perfil. En el navegador web SSO perfil, la aplicación de Webex admite los siguientes enlaces:
-
SP initiated POST -> POST binding
-
SP initiated REDIRECT -> POST binding
Formato NameID
El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. La aplicación de Webex admite los siguientes formatos de NameID.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
En los metadatos que carga desde su IdP, la primera entrada está configurada para ser utilizarla en Webex.
Integrar Control Hub con Microsoft Azure
Webex solo admite un IdP para cada solicitud de autenticación. El flujo de autenticación es el siguiente: Usuario > Autenticación de Webex > IdP 1 > Autenticación de Webex > Usuario. Esto significa que, si bien diferentes usuarios pueden autenticarse utilizando diferentes IdP, un usuario no puede cambiar entre múltiples IdP durante un solo proceso de autenticación. Cualquier paso adicional, como MFA, debe integrarse con el IdP único utilizado para esa solicitud en particular.
Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración de SSO, pero están fuera del alcance de nuestra documentación.
Configure esta integración para los usuarios de su organización de Webex ( incluida la aplicación Webex, Webex Meetingsy otros servicios administrados en Control Hub). Si su sitio de Webex está integrado en Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Webex Meetings de esta manera y no se administra en Control Hub, debe realizar una integración aparte para habilitar SSO para Webex Meetings.
Antes de comenzar
Para SSO y Control Hub, los IdP deben ajustarse a la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:
- En Azure Active Directory, el aprovisionamiento es compatible solo en modo manual. Este documento únicamente cubre la integración del inicio de sesión único (SSO).
- Los clientes de Webex existentes con configuraciones de federación anteriores pueden encontrar problemas con la plantilla estándar de Entra ID de Webex debido a cambios en los atributos SAML. Le recomendamos configurar una federación de Entra ID personalizada para resolver esto usando su configuración SAML anterior. Asegúrese de realizar la prueba SSO de Control Hub para permitir la compatibilidad y abordar cualquier discrepancia.
Descargue los metadatos de Webex en su sistema local
| 1 | |
| 2 |
Ir a . |
| 3 |
Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO. |
| 4 |
Seleccione un IdP. |
| 5 |
Elija el tipo de certificado para su organización:
Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP. |
| 6 |
Descargue el archivo de metadatos. El nombre del archivo de metadatos de Webex es idb-meta-<org-ID>-SP.xml. |
Configurar los SSO de la aplicación en Azure
Antes de comenzar
-
Consulte Qué es azure Active Directory qué son las capacidades de IdP de Azure Active Directory.
-
Configure Azure Active Directory.
-
Cree usuarios locales y sincronícelos con un sistema de Active Directory local.
-
Abra el archivo de metadatos de Webex que descargó de Control Hub.
-
Hay un tutorial relacionado en el sitio de documentación de Microsoft.
| 1 |
Inicie sesión en el portal de Azure en con https://portal.azure.com sus credenciales de administrador. |
| 2 |
Si no puede ver el icono de la Active Directory Azure, haga clic en Más servicios.  |
| 3 |
Vaya a Azure Active Directory para su organización.  |
| 4 |
Vaya a Aplicaciones empresariales y, a continuación, haga clic en Agregar. |
| 5 |
Haga clic en Agregar una aplicación de la galería. |
| 6 |
En el cuadro de búsqueda, escriba Cisco Webex.  |
| 7 |
En el panel de resultados, seleccione Cisco Webex y, a continuación, haga clic en Crear para agregar la aplicación.  |
| 8 |
Para asegurarse de que la aplicación de Webex que agregó para inicio de sesión único no se muestre en el portal del usuario, abra la nueva aplicación. En Administrar, haga clic en Propiedades y defina Visible para los usuarios? en No.  No podemos hacer que la aplicación de Webex sea visible para los usuarios. |
| 9 |
Configure el inicio de sesión único:
|
| 10 |
Vaya a Administrar > Usuarios y gruposy, a continuación, seleccione los usuarios y grupos correspondientes a los que desea otorgar acceso a la aplicación Webex. |
| 11 |
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación y guardarlo en su computadora.  |
Importar los metadatos del IdP y habilitar la inicio de sesión único después de una prueba
Después de exportar los metadatos de Webex , configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en disposición de importarlos a su organización de Webex desde Control Hub.
Antes de comenzar
No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.
| 1 |
Elija una opción:
|
| 2 |
En la página Importar metadatos de IdP, arrastre y suelte el archivo de metadatos de IdP en la página o utilice la opción del explorador de archivos para localizar y cargar el archivo de metadatos. Haga clic en Siguiente.
Debe utilizar la opción Más seguro, si puede. Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos. En todos los demás casos, debe utilizar la opción Menos seguro. Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada. Okta no firma los metadatos, por lo que debe elegir Menos seguro para una integración de Okta SSO web. |
| 3 |
Seleccione Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Este paso detiene los falsos positivos debido a un token de acceso que podría estar en una sesión existente de que usted haya iniciado sesión. |
| 4 |
Vuelva a la ficha del navegador de Control Hub.
La SSO de ajustes no tendrá efecto en su organización a menos que elija el nombre botón de opciones y active SSO. |
Qué hacer a continuación
Utilice los procedimientos en Sincronizar usuarios de Okta en Cisco Webex Control Hub si quiere hacer el aprovisionamiento del usuario desde Okta en la nube de Webex.
Utilice los procedimientos en Sincronizar Azure Active Directory usuarios en Cisco Webex Control Hub si desea realizar el aprovisionamiento de usuarios desde Azure AD a la nube de Webex.
Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.
Solucionar problemas de integración de Azure
Al realizar la prueba de SAML, asegúrese de utilizar Mozilla Firefox e instalar la herramienta de seguimiento de SAML desde https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
Compruebe la aserción que proviene de Azure para asegurarse de que tiene el formato de nameid correcto y que tiene un atributo uid que coincide con un usuario en la aplicación de Webex.
