Inicio de sesión único y Webex Control Hub

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

El protocolo de Federación de lenguaje de marcado de aserción de seguridad (SAML 2,0) se utiliza para proporcionar SSO la autenticación entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).

Perfiles

Cisco Webex Teams solo admite el perfil de SSO del explorador Web. En el perfil de SSO del explorador Web, Cisco Webex Teams admite los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato de NameID

El protocolo SAML 2,0 admite varios formatos de NameID para comunicarse acerca de un usuario específico. Cisco Webex Teams es compatible con los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Cisco Webex.

SingleLogout

Cisco Webex Teams es compatible con el perfil de cierre de sesión único. En la aplicación de Cisco Webex Teams, un usuario puede cerrar sesión en la aplicación, que utiliza el protocolo de cierre de sesión único de SAML para finalizar la sesión y confirmar que ha iniciado sesión con su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Cisco Webex Control Hub con PingFederate para el inicio de sesión único


Las guías de configuración muestran un ejemplo específico para la integración de SSO pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para NameID-Format urn: oasis: names: TC: SAML: 2.0: NameID-Format: Transient se documentan. Otros formatos como urn: oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified o urn: names: TC: NameID-Format: NameID-Format: emailAddress funcionará para SSO integración pero no está fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su Cisco Webex organización (incluidos Cisco Webex Teams, Cisco Webex Meetings y otros servicios administrados en Cisco Webex Control Hub). Si su sitio Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no está administrado en Cisco Webex Control Hub, debe realizar una integración aparte para habilitar SSO para Cisco Webex Meetings. (Consulte Configure el inicio de sesión único para Webex para obtener más información en la integración de SSO en administración del sitio.

Antes de empezar

Para SSO y Cisco Webex Control Hub, los IDP deben cumplir con la especificación SAML 2,0. Además, los IdP se deben configurar de la siguiente manera:
  • Establezca el atributo de formato NameID en urn: oasis: names: TC: SAML: 2.0: NameID-Format:Transient

  • Configure una solicitud en el IdP para incluir el nombre del atributo UID con un valor que esté asignado al atributo que se haya elegido en Cisco conector de directorios o el atributo de usuario que coincida con el que se eligió en el Cisco Webex servicio de identidad. (Por ejemplo, este atributo podría ser de dirección de correo electrónico o de nombre principal del usuario). Consulte la información del atributo personalizado en https://www.Cisco.com/go/Hybrid-Services-Directory para obtener ayuda.

  • Utilice un navegador compatible: le recomendamos la última versión de Mozilla Firefox o Google Chrome.

  • Deshabilite cualquier bloqueador de ventanas emergentes en su navegador.

Descargue el Cisco Webex metadatos en su sistema local

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Configuración y desplácese hasta Autenticación.

2

Haga clic en Modificar, y, luego, en Integrar un proveedor de servicios de identidad externo. (Avanzado) y, luego, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Cisco Webex es IDB-meta-<org-ID>-SP. XML.

Configurar una nueva conexión de proveedor de servicios (SP)

1

Diríjase a su portal de administración de PingFederate (https://<FQDN of="" PingFederate="">:9999/pingfederate/app).

2

En CONEXIONES DE SP, seleccione Crear nueva.

3

Seleccione el botón de opciones No usar una plantilla para esta conexión y, luego, seleccione Siguiente.

4

Seleccione Perfiles de SSO en el navegador y haga clic en Siguiente.

5

Seleccione la ficha Importar metadatos.

6

Haga clic en elegir archivo para buscar e importar el archivo de metadatos que descargó desde Cisco Webex control Hub y, a continuación, haga clic en siguiente.

7

Revise la información de la ficha de Información general y haga clic en Listo.

Configurar el Inicio de sesión único en el navegador

1

En el portal de administración de PingFederate, seleccione Configurar SSO en el navegador.

2

Marque la casilla SSO iniciado por SP y haga clic en Siguiente.

3

Seleccione Configurar creación de aserción.

  1. Cambie el valor de NameID-format a Transient y marque la casilla para Incluir atributos además del identificador transient.

  2. Extienda los atributos de contrato agregando los atributos mail y uid con el siguiente formato: urn:oasis:names:tc:SAML:2.0:attrname-format-basic; luego, haga clic en Siguiente.

  3. Seleccione Asignar nueva instancia de adaptador para elegir un mecanismo de autenticación. En la lista desplegable de INSTANCIA DE ADAPTADOR, seleccione uno de los mecanismo de autenticación configurados anteriormente; luego, haga clic en Siguiente.

  4. Seleccione el botón de opciones para Recuperar atributos adicionales de varias áreas de almacenamiento de datos usando una asignación; luego, haga clic en Siguiente.

  5. Seleccione Agregar origen de atributo para agregar el Controlador de dominio de Active Directory correspondiente al dominio; luego, haga clic en Siguiente.

  6. Especifique el DN base y seleccione la clase de objeto raíz <Show All="" Attributes="">. En el cuadro de texto de Filtro, introduzca el filtro LDAP y haga clic en Siguiente.

    La entrada debe contener el atributo que usted espera que proporcione el usuario. También debe contener el valor al que se asigna en los orígenes LDAP. Por ejemplo: si su Active Directory está configurado ara filtrar el atributo de inicio de sesión en Windows, introduzca sAMAccountName=${Username}.

  7. Seleccione el origen y el valor para asignar los atributos de aserción con los atributos proporcionados por el área de almacenamiento de datos de AD. (No introduzca nada en los Criterios de emisión.)

  8. Verifique que la configuración de la aserción tenga configurada la asignación de identidad en temporal, el contrato de atributos definido en UIDy las instancias de adaptador configuradas en 1.


     

    El atributo UID debe asignarse a la dirección de correo electrónico del usuario.

4

Seleccione Configurar ajustes del protocolo.

  1. Para la opción de los Enlaces SAML permisibles, marque solo las casillas POST y Redirect.

  2. Para la opción de Política de firmas, seleccione Firmar siempre la aserción SAML.

    Los ajustes de protocolo deberían verse de la siguiente manera.

  3. Seleccione Configurar credenciales para configurar el certificado correspondiente a la aserción.

  4. Seleccione el certificado que ya se creó para las aserciones SAML.

5

En la pantalla de Activación y resumen, defina el valor del Estado de la conexión en Activo.

Exportar metadatos de PingFederate

1

En la pantalla principal, haga clic en Administrar todos los SP.

2

Busque la conexión que acaba de crear y haga clic en Exportar metadatos.

3

Elija el certificado que quiera usar para firmar el archivo exportado en la lista desplegable.

4

Haga clic en Exportar.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de la Cisco Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará listo para importarlos a su organización de Cisco Webex desde el concentrador de control.

Antes de empezar

No pruebe la integración de SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.

1

Elija una opción:

  • Regrese a la página Cisco Webex Control Hub – exportar metadatos de directorios en su navegador y, a continuación, haga clic en siguiente.
  • Si control Hub ya no está abierto en la ficha del explorador, desde la vista del cliente en https://admin.webex.com, diríjase a configuración, desplácese hasta autenticación, elija integrar un proveedor de servicios de identidad externo (avanzado)y, a continuación, haga clic en siguiente en la página archivo de metadatos de confianza (porque ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Próxima.

Si los metadatos no están firmados, se firman con un certificado de firma automática o se firman con una autoridad de certificación (CA) privada para empresas, le recomendamos que utilice el certificado de autorización firmado por una autoridad de certificación en metadatos (más seguro). Si el certificado es de firma automática, tiene que elegir la opción menos seguro.

3

Seleccione probar SSO conexión, y cuando se abra una nueva ficha del explorador, autentique el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de Webex Teams suele significar un problema con la configuración de SSO. En este caso, vuelva a recorrer los pasos, especialmente los pasos en los que copia y pega los metadatos del concentrador de control en la configuración del IdP.

4

Vuelva a la ficha explorador de control Hub.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento que se indica en suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos Webex Teams usuarios de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.