Kertakirjautuminen ja hallintakeskus

Kertakirjautuminen (SSO) on istunnon tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa tunnistetiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heille on annettu oikeudet. Se poistaa lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilvipalvelun ja identiteetintarjoajasi (IdP) välillä.

Profiilit

Webex-sovellus tukee vain verkkoselaimen SSO-profiilia. Webex-sovellus tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

  • SP aloitti POST-testin -> POST-sidonta

  • SP aloitti uudelleenohjauksen -> POST-sidonta

Nimi-ID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietyn käyttäjän tunnistamiseen. Webex-sovellus tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:ltä lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

Yksittäinen uloskirjautuminen

Webex-sovellus tukee kertauloskirjautumisprofiilia. Webex-sovelluksessa käyttäjä voi kirjautua ulos sovelluksesta, joka käyttää SAML-kertakirjautumisprotokollaa istunnon lopettamiseen ja uloskirjautumisen vahvistamiseen IdP:n avulla. Varmista, että IdP:si on määritetty kertauloskirjautumiseen.

Integroi Control Hub Shibbolethin kanssa

Määritysoppaissa on esitetty tietty esimerkki kertakirjautumisintegraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient :n integrointivaiheet on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, toimivat kertakirjautumisintegraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integraatio Webex-organisaatiosi käyttäjille (mukaan lukien Webex-sovellus, Webex Meetings ja muut Control Hubissa hallinnoidut palvelut). Jos Webex-sivustosi on integroitu Control Hubiin, Webex-sivusto perii käyttäjähallinnan. Jos et voi käyttää Webex Meetingsiä tällä tavalla eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integraatio ottaaksesi kertakirjautumisen käyttöön Webex Meetingsissä.

Integrointivaiheet viittaavat Shibboleth 2.4.5:een CentOS 7:ssä, jossa web-palvelimena on Tomcat 7.

Ennen kuin aloitat

SSO:n ja Control Hubin osalta IdP:iden on oltava SAML 2.0 -spesifikaation mukaisia. Lisäksi IdP:t on konfiguroitava seuraavalla tavalla:

Lataa Webex-metatiedot paikalliseen järjestelmääsi

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP.

5

Valitse organisaatiollesi sertifikaattityyppi:

  • Ciscon itse allekirjoittama— Suosittelemme tätä vaihtoehtoa. Allekirjoitamme todistuksen, jotta sinun tarvitsee uusia se vain viiden vuoden välein.
  • Julkisen varmentaja-allekirjoittanut— Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittajasi tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat digitaalisen allekirjoituksen varmenteen varmentajina. Lisätietoja on IdP-dokumentaatiossa.

6

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

Määritä valtuutus Shibboleth-tiedostoissa

Kun olet asentanut Shibbolethin, saat käyttöösi esimerkkejä sisältäviä määritystiedostoja.

1

Siirry hakemistoon /opt/shibboleth-idp/conf esimerkkitiedostojen käyttämiseksi.

2

Päätä, mitä valtuutusmenetelmää käytät – esimerkiksi LDAP-sidonta Active Directoryyn.

3

Muokkaa handler.xml -tiedostoa seuraavasti:

Poista kommentti

    
      
  urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Kommentti

 
urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
4

Täytä Active Directoryn tiedot todennusta varten. Anna konfiguraatio tiedostoon login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Shibboleth-palveluntarjoajan komponenttien määrittäminen SAML-väittämiselle

1

Lisää Webex SP:stä lataamasi tiedosto hakemistoon /opt/shibboleth-idp/metadata.

2

Muokkaa tiedostoa relying-party.xml ja lisää DefaultRelyingParty-tagin jälkeen Webexin SAML-väitteen tiedot.

Tunnuksena sinun on käytettävä Webex-metatietotiedoston EntityID-arvoa. Korvaa esimerkin tunnus organisaatiosi EntityID:llä.

3

Sisällä metadata:MetadataProvider tag, lisää tiedoston sijainti:

Tiedostossa attribute-resolver.xml luomasi säännön tulisi sisältää käytäntö, joka vapauttaa mail-attr-attribuutin Webexiä vastaavalle EntityID:lle.

5

Lataa metatietotiedosto Shibboleth-palvelimelta osoitteesta /opt/shibboleth-idp/metadata. Tiedoston nimi on idp-metadata.xml.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex-organisaatioosi Control Hubista.

Ennen kuin aloitat

Älä testaa kertakirjautumisintegraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan aloittamia (SP) työnkulkuja, joten sinun on käytettävä Control Hub SSO -testiä tälle integraatiolle.

1

Valitse yksi:

  • Palaa selaimessasi Control Hubin varmenteen valintasivulle ja napsauta sitten Seuraava.
  • Avaa Control Hub uudelleen, jos se ei ole enää auki selaimesi välilehdellä. Siirry Control Hubin asiakasnäkymässä kohtaan Hallinta > Turvallisuus > Todennus, valitse IdP ja valitse sitten Toiminnot > Tuo metatiedot.
2

Vedä ja pudota IdP-metatietojen tuonti -sivulla IdP-metatietotiedosto sivulle tai etsi ja lataa metatietotiedosto tiedostoselaimella. Napsauta Seuraava.

Sinun kannattaa käyttää Turvallisempi -vaihtoehtoa, jos mahdollista. Tämä on mahdollista vain, jos IdP on käyttänyt julkista varmentajaa metadatansa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen -vaihtoehtoa. Tämä koskee myös tilanteita, joissa metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityisen varmenteen myöntäjän allekirjoittama.

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

3

Valitse Testaa kertakirjautumisen asetuksetja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Jos haluat nähdä kertakirjautumiskokemuksen suoraan, voit myös napsauttaa tältä näytöltä Kopioi URL leikepöydälle ja liittää sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä vaihe estää väärät positiiviset tulokset, jotka johtuvat käyttöoikeustunnuksesta, joka saattaa olla olemassa olevassa istunnossa, jossa olet kirjautuneena sisään.

4

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Testi onnistui. Ota kertakirjautuminen käyttöön ja napsauta Seuraava.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Poista kertakirjautuminen käytöstä ja napsauta Seuraava.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Käytä kohdassa Okta-käyttäjien synkronointi Cisco Webex Control Hubiin olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Oktasta Webex-pilveen.

Käytä Azure Active Directory -käyttäjien synkronointi Cisco Webex Control Hubiin -kohdassa olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Azure AD:stä Webex-pilveen.

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetettävät sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.