Inicio de sesión único y centro de control

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

El protocolo de federación del lenguaje de marcado de aserción de seguridad (SAML 2.0) se utiliza para proporcionar autenticación SSO entre la nube de Webex y su fuente de identidad (IdP).

Perfiles

La aplicación Webex solo es compatible con el perfil SSO del navegador web. En el perfil de SSO del navegador web, la aplicación Webex admite los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato NameID

El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. La aplicación Webex admite los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Webex.

SingleLogout

La aplicación de Webex admite el perfil de cierre de sesión único. En la aplicación de Webex, un usuario puede cerrar sesión de la aplicación, lo que utiliza el protocolo de cierre de sesión único de SAML para finalizar la sesión y confirmar ese cierre de sesión con su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Control Hub con SimpleSAML


 

Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient están documentados. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración SSO, pero están fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su organización de Webex (incluida la aplicación Webex , Webex Meetings y otros servicios administrados en Control Hub). Si su Sitio de Webex está integrado en Control Hub, el Sitio de Webex hereda la administración de usuarios. Si no puede acceder a Webex Meetings de esta manera y no se administra en Control Hub, debe realizar una integración por separado para habilitar SSO para Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).

Antes de comenzar

Para SSO y Control Hub, los IdP deben ajustarse a la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:

Descargue los metadatos de Webex en su sistema local

1

Desde la vista del cliente enhttps://admin.webex.com ir a Gestión > Configuración de la organización y luego desplácese hasta Autenticación y luego active el Inicio de sesión único configuración para iniciar el asistente de configuración.

2

Elija el tipo de certificado para su organización:

  • Autofirmado por Cisco —Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública —Más seguro, pero deberá actualizar con frecuencia los metadatos (a menos que su proveedor de IdP admita anclajes de confianza).

 

Los anclajes de confianza son claves públicas que actúan como una autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte la documentación de su IdP.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Webex es idb-meta-<org-ID> -SP.xml .

Convertir metadatos

1

Abra el archivo de metadatos de Webex exportado en un editor de texto.

2

En su navegador, abra la página de inicio de SimpleSAML e inicie sesión con sus credenciales de administrador.

La ubicación de la página de inicio varía, pero suele parecerse a esta URL de ejemplo: https://yourcompany.yourdomain.com/simplesaml.

3

En la página principal, haga clic en Federación .

4

En las herramientas, realice una conversión de XML a XML SAML simple.

5

Copie los metadatos de Webex desde su editor de texto y, luego, péguelos en el campo de conversión de XML.

6

Haga clic en Analizar .

Aparecerán los metadatos convertidos. Tendrá que agregar estos datos al archivo de texto del SP remoto.

Crear archivo de metadatos del proveedor de servicios remoto

Estos pasos son solo un ejemplo. El directorio de metadatos y el host IdP difieren según la configuración de su cliente.

Antes de comenzar

Tenga en cuenta los atributos que debe aprobar y mapp en consecuencia editando el archivo de metadatos saml20-idp-hosted.php. (Por ejemplo, uid, correo, correo electrónico, etc.). Mire los metadatos de ejemplo:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

En la configuración SimpleSAML del host, diríjase al directorio de metadatos.

2

Utilice un editor de texto para pegar los datos analizados al final de saml20-sp-remote.php y guarde el archivo.

3

Regrese a la página de inicio de SimpleSAML, haga clic en Federación y, luego, muestre los metadatos correspondientes al proveedor de servicios de identidad.

4

Pegue los datos en un nuevo archivo de texto.

5

Guarde el archivo actualizado en el escritorio con un nombre significativo, como simplesaml-metadata.xml.

Importe los metadatos de IdP y habilite el inicio de sesión único después de una prueba

Después de exportar los metadatos de Webex , configurar su IdP y descargar los metadatos de IdP en su sistema local, estará listo para importarlos a su organización de Webex desde Control Hub.

Antes de comenzar

No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo proporcionamos soporte para los flujos iniciados por el proveedor de servicios, por lo que debe utilizar la prueba de SSO de Control Hub para esta integración.

1

Elija una opción:

  • Regrese a Control Hub - página de selección de certificado en su navegador, y luego haga clic en Siguiente .
  • Si Control Hub ya no está abierto en la pestaña del navegador, desde la vista del cliente enhttps://admin.webex.com ir a Gestión > Configuración de la organización , desplácese hasta Autenticación y luego elija Acciones > Importar metadatos .
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Deberías usar el Más seguro opción, si puede. Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos.

En todos los demás casos, debe utilizar el Menos seguro opción. Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada.


 

Okta no firma los metadatos, por lo que debe elegir Menos seguro para una integración de SSO de Okta.

3

Seleccionar Probar la configuración de SSO , y cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de la aplicación Webex generalmente significa un problema con la configuración de SSO . En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.


 

Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Este paso detiene los falsos positivos debido a un token de acceso que podría estar en una sesión existente cuando usted inició sesión.

4

Vuelva a la ficha del navegador de Control Hub.

  • Si la prueba fue exitosa, seleccione Prueba exitosa. Activar SSO y haga clic en Siguiente .
  • Si la prueba no tuvo éxito, seleccione Prueba fallida. Desactivar SSO y haga clic en Siguiente .

 

La configuración de SSO no tiene efecto en su organización a menos que elija el primer botón de radio y active SSO.

Qué hacer a continuación

Utilice los procedimientos en Sincronizar usuarios de Okta en Cisco Webex Control Hub si desea realizar el aprovisionamiento de usuarios desde Okta en la nube de Webex .

Utilice los procedimientos en Sincronizar usuarios de Azure Active Directory en Cisco Webex Control Hub si desea realizar el aprovisionamiento de usuarios desde Azure AD en la nube de Webex .

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.