Kertakirjautuminen ja Ohjauskeskus

Kertakirjautuminen (SSO) on istunto- tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa valtuustiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heillä on oikeudet. Se eliminoi lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennusta varten Webex pilvi ja identiteetin tarjoaja (IdP).

Profiilit

Webex-sovellus tukee vain verkkoselaimen SSO-profiilia. Verkkoselaimen SSO-profiilissa Webex-sovellus tukee seuraavia sidoksia:

  • SP aloitti POST -> POST-sidonta

  • SP aloitti REDIRECT -> POST -sidoksen

NameID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietystä käyttäjästä viestimiseen. Webex-sovellus tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:stä lataamiesi metatietojen ensimmäinen merkintä on määritetty käytettäväksi Webex.

SingleLogout

Webex-sovellus tukee kertakirjautumisprofiilia. Sisään Webex-sovellus, käyttäjä voi kirjautua ulos sovelluksesta, joka käyttää SAML-kertakirjautumisprotokollaa lopettaakseen istunnon ja vahvistaakseen kirjautumisen ulos IDP:lläsi. Varmista, että IDP on määritetty SingleLogoutille.

Integroi Ohjauskeskus Shibbolethin kanssa


 

Konfigurointioppaat näyttävät erityisen esimerkin SSO-integroinnista, mutta ne eivät tarjoa tyhjentävää konfigurointia kaikille mahdollisuuksille. Esimerkiksi integroinnin vaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient ovat dokumentoituja. Muut formaatit, esim urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress toimii SSO-integraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integrointi käyttäjillesi Webex organisaatio (mukaan lukien Webex-sovellus, Webex-kokouksetja muut palvelut, joita hallinnoidaan Ohjauskeskus). Jos sinun Webex sivusto on integroitu Ohjauskeskus, Webex sivusto perii käyttäjien hallinnan. Jos et pääse käsiksi Webex-kokoukset tällä tavalla, eikä sitä hallita Ohjauskeskus, sinun on tehtävä erillinen integrointi kertakirjautumisen mahdollistamiseksi Webex-kokoukset. (Katso Määritä Webexin kertakirjautuminen saadaksesi lisätietoja SSO-integroinnista sivuston hallinnassa.)

Integrointivaiheet viittaavat Shibboleth 2.4.5 -versioon CentOS 7:ssä ja Tomcat 7 verkkopalvelimena.

Ennen kuin aloitat

SSO:lle ja Ohjauskeskus, IDP:iden on oltava SAML 2.0 -määrityksen mukaisia. Lisäksi IDP:t on määritettävä seuraavalla tavalla:

Lataa Webex metatiedot paikalliseen järjestelmääsi

1

Asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetuksetja vieritä sitten kohtaan Todennus, ja kytke sitten päälle Kertakirjautuminen asetus käynnistääksesi ohjatun asennustoiminnon.

2

Valitse organisaatiosi varmennetyyppi:

  • Ciscon itse allekirjoittama– Suosittelemme tätä valintaa. Allekirjoitamme sertifikaatin, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama— Turvallisempi, mutta sinun on päivitettävä metatiedot usein (ellei IDP-toimittaja tue luottamusankkureita).

 

Luottamusankkurit ovat julkisia avaimia, jotka toimivat valtuutuksena digitaalisen allekirjoituksen varmenteen vahvistamisessa. Katso lisätietoja IDP-dokumentaatiostasi.

3

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

Määritä valtuutus Shibboleth-tiedostoissa

Kun olet asentanut Shibbolethin, saat esimerkkejä kokoonpanotiedostoista.

1

Siirry hakemistoon /opt/shibboleth-idp/conf päästäksesi esimerkkitiedostoihin.

2

Päätä käytettävä valtuutusmenetelmä – esimerkiksi LDAP-sidos Active Directoryyn.

3

Muokkaa handler.xml tiedosto seuraavasti:

Peruuta kommentti

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Kommentti

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Täytä Active Directory -hakemistosi tiedot todennuksen mahdollistamiseksi. Anna tiedostoon asetukset login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Määritä Shibboleth-palveluntarjoajan komponentit SAML-vahvistusta varten

1

Lisää Webex SP:stä lataamasi tiedosto hakemistoon /opt/shibboleth-idp/metadata.

2

Muokkaa relying-party.xml tiedosto; lisää DefaultRelyingParty-tunnisteen jälkeen kohteen SAML-vahvistuksen tiedot Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

ID:lle on käytettävä EntityID-arvoa tiedostosta Webex metatietotiedosto. Korvaa esimerkin tunnus organisaatiosi EntityID:llä.

3

Lisää tiedoston sijainti metadata:MetadataProvider-tunnisteen sisään:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP-metatiedot tulevat Shibbolethin tiedostojärjestelmän tiedostosta, joka sijaitsee paikassa, johon latasit metatiedot Webex organisaatio.

Määritä väitteen attribuutit

1

Määritä Dataliitin-osiossa, mistä haluat noutaa käyttäjiäsi koskevat attribuutit.

Active Directory, jonka tunnus on MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

Säilytä Attribuuttimäärittely-osiossa se, mikä on jo transientID-määrityksessä.

3

Lisää ylimääräinen attribuutti, jota SP odottaa, ja määritä, mihin se vastaa määritteen lähteessä.

Yhdistä attribuutti mail (sähköpostiosoite-attribuutti Active Directoryssa) uid:hen (UserID in Webex).

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Määritä, mikä attribuutti annetaan kullekin SP-sopimukselle attribuutti-suodatin.xml tiedosto.

Anna uid-attribuutti Webex joka liittyy käyttäjän sähköpostiosoitteeseen.

Vapauta attribuutti uid SP-sopimukselle kanssa Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Sääntö, jonka loit attribuutti-resolver.xml tulee olla käytäntö vapauttaa mail-attr-attribuutti vastaavalle EntityID:lle Webex.

5

Lataa metatietotiedosto Shibboleth-palvelimelta /opt/shibboleth-idp/metadata. Tiedostonimi on idp-metadata.xml.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Viennin jälkeen Webex metatiedot, määritä IdP:si ja lataa IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex organisaatiosta Ohjauskeskus.

Ennen kuin aloitat

Älä testaa SSO-integraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan käynnistämiä (SP-aloitteisia) työnkulkuja, joten sinun on käytettävä Ohjauskeskus SSO-testi tälle integraatiolle.

1

Valitse yksi:

  • Palaa selaimesi Control Hub – varmenteen valintasivulle ja napsauta sitten Seuraava.
  • Jos Control Hub ei ole enää avoinna selainvälilehdellä, asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetukset, vieritä kohtaan Todennusja valitse sitten Toiminnot > Tuo metatiedot.
2

Vedä ja pudota Tuo IdP-metatiedot -sivulla IdP-metatietotiedosto sivulle tai käytä tiedostoselaimen vaihtoehtoa paikantaaksesi ja ladataksesi metatietotiedoston. Klikkaus Seuraava.

Sinun tulisi käyttää Turvallisempi vaihtoehto, jos voit. Tämä on mahdollista vain, jos IDP on käyttänyt julkista varmentajaa metatietojensa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen vaihtoehto. Tämä koskee myös sitä, jos metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityinen varmentaja ei ole allekirjoittanut.


 

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

3

Valitse Testaa SSO-asetuksia , ja kun uusi selaimen välilehti avautuu, todennus IdP:llä kirjautumalla sisään.


 

Jos saat todennusvirheen, tunnistetiedoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

A Webex-sovellus virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Ohjauskeskus metatiedot IdP-asetuksiin.


 

Näet SSO-kirjautumiskokemuksen suoraan napsauttamalla Kopioi URL-osoite leikepöydälle tästä näytöstä ja liitä se yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä vaihe pysäyttää väärät positiiviset, koska sisäänkirjautumisesi saattaa olla olemassa olevassa istunnossa.

4

Palaa kohtaan Ohjauskeskus selaimen välilehti.

  • Jos testi onnistui, valitse Onnistunut testi. Ota SSO käyttöön ja napsauta Seuraava.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Poista SSO käytöstä ja napsauta Seuraava.

 

SSO-määritykset eivät tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi kertakirjautumista.

Mitä tehdä seuraavaksi

Käytä toimenpiteitä kohdassa Synkronoi Okta-käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien provisioinnin Oktasta Webex-pilveen.

Käytä toimenpiteitä kohdassa Synkronoi Azure Active Directory -käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien hallinnan Azure AD:stä Webex-pilveen.

Voit seurata menettelyä kohdassa Estä automaattiset sähköpostit poistaaksesi sähköpostit, jotka lähetetään organisaatiosi uusille Webex App -käyttäjille. Asiakirja sisältää myös parhaat käytännöt viestinnän lähettämiseen organisaatiosi käyttäjille.