Inicio de sesión único y Cisco Webex Control Hub

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

Se utiliza el protocolo de federación del Lenguaje de marcado de aserción de seguridad (SAML 2.0) para proporcionar autenticación de SSO entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).

Perfiles

Cisco Webex navegador solo es compatible con el explorador web SSO perfil. En el perfil del explorador SSO web, Cisco Webex los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato de NameID

El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. Cisco Webex los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Cisco Webex.

Integrar Cisco Webex Control Hub con Microsoft Azure


Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su organización de Cisco Webex (incluidos Cisco Webex , Cisco Webex Meetings y otros servicios administrados en Cisco Webex Control Hub ). Si su sitio de Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no se administra en Cisco Webex Control Hub, debe realizar una integración por separado a fin de habilitar el SSO para Cisco Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).

Antes de comenzar

Para SSO y Cisco Webex Control Hub , los IdP deben cumplir con la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:


En Azure Active Directory, el aprovisionamiento es compatible solo en modo manual. Este documento únicamente cubre la integración del inicio de sesión único (SSO).

Descargar los metadatos de Cisco Webex en su sistema local

1

Desde la vista de cliente en https://admin.webex.com, vaya a Configuración y, a continuación, desplácese hasta Autenticación.

2

Haga clic en Modificar y, a continuación, haga clic en Integrar un proveedor de servicios de identidad de terceros. (Avanzado) y, a continuación, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Cisco Webex es idb-meta-<org-ID>-SP.xml.

Configurar los ajustes de la aplicación de Inicio de sesión único en Azure

Antes de comenzar

  • Consulte Qué es Azure Active Directory para comprender las capacidades de IdP de Azure Active Directory.

  • Configure Azure Active Directory.

  • Cree usuarios locales y sincronícelos con un sistema de Active Directory local.

  • Abra el archivo Cisco Webex de metadatos de que descargó de Cisco Webex Control Hub.

  • Hay un tutorial relacionado en el sitio de documentación de Microsoft.

1

Inicie sesión en el portal de Azure en https://portal.azure.com con sus credenciales de administrador.

2

Vaya a Azure Active Directory para su organización.

3

Vaya a Aplicaciones empresariales y, a continuación, haga clic en Agregar.

4

Haga clic en Agregar una aplicación de la galería.

5

En el cuadro de búsqueda, escriba Cisco Webex.

6

En el panel de resultados, seleccione Cisco Webexy, a continuación, haga clic en Añadir para agregar la aplicación.

Aparecerá un mensaje que dice que la aplicación se agregó correctamente.

7

Configure el inicio de sesión único:

  1. Después de crear el acuerdo de aplicación, vaya a la ficha Inicio de sesión único y, a continuación, en Seleccionar un método de inicio de sesión único , elija SAML.

  2. En la página Configurar el inicio de sesión único con SAML, haga clic en el icono Editar para abrir la configuración samlbásica.

  3. Haga clic en Cargar archivo de metadatos y, a continuación, elija el archivo de metadatos que descargó de Cisco Webex Control Hub.

    Algunos campos se completan automáticamente.

  4. Copie el valor de URL de respuesta y péguela en URL de inicio de sesión, y guarde sus cambios.

8

Vaya a Administrar > usuarios y grupos y, a continuación, elija los usuarios y grupos aplicables a los que desea otorgar acceso a Cisco Webex .

9

En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación y guardarlo en su computadora.

10

En la página Propiedades, asegúrese de que Visible para los usuarios esté configurado en No.

No podemos hacer que la aplicación de Webex sea visible para los usuarios.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de Cisco Webex, configurar su IdP y descargar los metadatos del IdP en su sistema local, estará listo para importarlos a su organización de Cisco Webex desde Control Hub.

Antes de comenzar

No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo proporcionamos soporte para los flujos iniciados por el proveedor de servicios, por lo que debe utilizar la prueba de SSO de Control Hub para esta integración.

1

Elija una opción:

  • Vuelva a la página Cisco Webex Control Hub – Exportar metadatos de directorios en su navegador y, a continuación, haga clic en Siguiente.
  • Si Control Hub ya no está abierto en la ficha del navegador, desde la vista de cliente en https://admin.webex.com, vaya a Configuración, desplácese hasta Autenticación, elija Integrar un proveedor de servicios de identidad de terceros (Avanzado) y, a continuación, haga clic en Siguiente en la página del archivo de metadatos confiable (porque ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Debe utilizar la opción más segura si puede ( Requerir certificado firmado por unaautoridad de certificación en Metadatos). Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos.

En todos los demás casos, debe utilizar la opción menos segura (Permitir certificado de firma automática en metadatos). Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada.

3

Seleccione Probar conexión de SSO y, cuando se abra una nueva ficha del navegador, autentíquese con el IdP al iniciar sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.

4

Vuelva a la ficha del navegador de Control Hub.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios deWebex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Solucionar problemas de integración de Azure Active Directory

Al realizar la prueba de SAML, asegúrese de utilizar Mozilla Firefox e instalar la herramienta de seguimiento de SAML desde https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Compruebe la aserción que proviene de Azure para asegurarse de que tiene el formato de nameid correcto y que tiene un atributo uid que coincide con un usuario en Cisco Webex.