Inicio de sesión único y Cisco Webex Teams

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

Se utiliza el Protocolo de federación del Lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML 2.0) para proporcionar autenticación de SSO entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).

Perfiles

Cisco Webex Teams solo es compatible con el perfil de SSO del navegador web. En el perfil de SSO del navegador web, Cisco Webex Teams admite las siguientes vinculaciones:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato de NameID

El protocolo SAML 2,0 es compatible con varios formatos de NameID para la comunicación de un usuario específico. Cisco Webex Teams es compatible con los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para ser usada en Cisco Webex.

SingleLogout

Cisco Webex Teams admite el perfil de cierre de sesión único. En la Cisco Webex Teams aplicación, un usuario puede cerrar sesión en la aplicación, que usa el protocolo de cierre de sesión único de SAML para finalizarla y confirmar que inicie sesión con su IDP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Cisco Webex Control Hub con SimpleSAML para el Inicio de sesión único


Las guías de configuración muestran un ejemplo específico de integración SSO pero no ofrecen una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para el formato de ID de nombre urn: oasis: names: TC: SAML: 2.0: NameID-Format: Transient están documentados. Otros formatos, como urn: de la oasis: names: TC: SAML: 1.1: NameID-Format: unsigned o urn: de las siguientes nombres: TC: SAML: 1.1: NameID-Format: emailAddress funcionará para la integración de SSO pero no es el alcance de nuestra documentación.

Configure esta integración para los usuarios de su Cisco Webex organización (incluidos Cisco Webex Teams, Cisco Webex Meetingsy otros servicios que se administran en Cisco Webex Control Hub). Si su sitio de Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no está administrado en Cisco Webex Control Hub, debe realizar una integración separada para habilitar el SSO para Cisco Webex Meetings. (Consulte Configure el inicio de sesión único para WebEx para obtener más información acerca de la integración de SSO en administración del sitio).

Antes de empezar

Para el SSO y Cisco Webex Control Hub, los IdP deben cumplir con la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:
  • Establezca el atributo formato del ID de nombre del NameID en urn: a. de la siguiente forma: TC: SAML: 2.0: NameID-Format:Transient

  • Configure un reclamo en el IdP para incluir el nombre del atributo UID con un valor asignado al atributo elegido en Cisco conector de directorios o el atributo de usuario que coincida con el que se eligió en la servicio de identidad de Cisco WebEx. (Por ejemplo, este atributo podría ser de dirección de correo electrónico o de nombre de usuario principal). Consulte la información del atributo personalizado en https://www.Cisco.com/go/Hybrid-Services-Directory para obtener instrucciones.

  • Utilice un navegador compatible: le recomendamos la última versión de Mozilla Firefox o Google Chrome.

  • Deshabilite cualquier bloqueador de ventanas emergentes en su navegador.

Descargar los metadatos de Cisco Webex en su sistema local

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Configuración y desplácese hasta Autenticación.

2

Haga clic en Modificar, y, luego, en Integrar un proveedor de servicios de identidad externo. (Avanzado) y, luego, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre de archivo de metadatos de Cisco Webex es idb-meta-<org-ID>-SP.xml.

Convertir metadatos

1

Abra el archivo de metadatos de Cisco Webex exportado en un editor de texto.

2

En su navegador, abra la página de inicio de SimpleSAML e inicie sesión con sus credenciales de administrador.

La ubicación de la página de inicio varía, pero suele parecerse a esta URL de ejemplo: https://suempresa.sudominio.com/simplesaml.

3

En la Página principal, haga clic en Federación..

4

En las herramientas, realice una conversión de XML a XML SAML simple.

5

Copie los metadatos de Cisco Webex desde el editor de texto y péguelos en el campo de conversión de XML.

6

Haga clic en analizar.

Aparecerán los metadatos convertidos. Tendrá que agregar estos datos al archivo de texto del SP remoto.

Crear un archivo de metadatos para un proveedor de servicios remoto

Estos pasos son solo un ejemplo. El directorio de metadatos y el host de IdP diferirán según la configuración de su cliente.

Antes de empezar

Tenga presente los atributos que debe transferir y asignar como corresponde al editar el archivo de metadatos saml20-idp-hosted.php. (Por ejemplo: uid, mail, email, entre otros). Mire los metadatos de ejemplo:

'authproc' => array( // Convert LDAP names to oids. 3 => array( 'class' => 'saml:AttributeNameID', 'attribute' => 'mail', 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', ), 50 => array( 'class' => 'core:AttributeMap', 'attribute' => 'mail', 'mail' => array('uid', 'email', 'mail'), 'sn' => 'lastname', 'givenName' => 'firstname', ), ),

1

En la configuración SimpleSAML del host, diríjase al directorio de metadatos.

2

Utilice un editor de texto para pegar los datos analizados al final de saml20-sp-remote.php y guarde el archivo.

3

Regrese a la página de inicio de SimpleSAML, haga clic en Federación y, luego, muestre los metadatos correspondientes al proveedor de servicios de identidad.

4

Pegue los datos en un nuevo archivo de texto.

5

Guarde el archivo actualizado en el escritorio con un nombre significativo, como simplesaml-metadata.xml.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de Cisco Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en condiciones de importarlos a su organización de Cisco Webex desde Control Hub.

1

Elija una opción:

  • Regrese a la página Cisco Webex Control Hub – Exportar metadatos de directorios en su navegador y, a continuación, haga clic en Siguiente.
  • Si Control Hub ya no está abierto en la ficha del navegador, desde la vista del cliente en https://admin.webex.com, vaya a Configuración, desplácese hasta Autenticación, elija Integrar un proveedor de servicios de identidad externo (avanzado) y, a continuación, haga clic en Siguiente en la página del archivo de metadatos de confianza (debido a que usted ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Si los metadatos no están firmados, están firmados con un certificado de firma automática o están firmados con una autoridad de certificación (CA) privada para la empresa, le recomendamos que utilice el certificado de requerir firmado por una autoridad de certificados en los metadatos (más seguro). Si el certificado es de firma automática, tiene que elegir la opción menos seguro.

3

Seleccione probar conexión de SSOy cuando se abre una nueva ficha del explorador, autentique con el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

La presencia de un error de Webex Teams suele indicar que hay un problema con la configuración del SSO. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración de IdP.

4

Regrese a la ficha Control Hub del navegador.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de Webex Teams de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.