Jedinstvena prijava i kontrolno središte

Jedinstvena prijava (SSO) je proces provjere autentičnosti sesije ili korisnika koji dopušta korisniku da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije za koje su dobili prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol federacije Security Assertion Markup Language (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web-preglednika. U SSO profilu web-preglednika, Webex App podržava sljedeća vezanja:

  • SP pokrenuo POST -> POST vezanje

  • SP pokrenuo preusmjeravanje -> POST vezanje

Format ID-a imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate sa svog IdP-a, prvi unos je konfiguriran za upotrebu u Webex.

SingleLogout

Webex App podržava profil za jednu odjavu. U aplikaciji Webex , korisnik se može odjaviti se iz aplikacije koja koristi SAML protokol za jednokratnu odjavu kako bi prekinula sesiju i potvrdila tu odjaviti se s vašim IdP-om. Provjerite je li vaš IdP konfiguriran za SingleLogout.

Integrirajte Control Hub sa Shibbolethom


 

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, upute za upravljanje uslugama za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentirane. Ostali formati kao npr. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress radit će za upravljanje uslugama SSO-a, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u svojoj Webex organizaciji (uključujući aplikaciju Webex , Webex Meetings i druge usluge koje se administriraju u Control Hubu). Ako je vaša Web-mjesto Webex integrirana u Control Hub, Web-mjesto Webex nasljeđuje upravljanje korisnicima. Ako ne možete pristupiti Webex Meetings na ovaj način i njime se ne upravlja u Control Hubu, morate napraviti zasebnu integraciju da biste omogućili SSO za Webex Meetings. (Vidi Konfigurirajte jedinstvenu prijavu za Webex za više informacija o SSO integraciji u Administracijsko web-mjesto.)

Koraci integracije odnose se na Shibboleth 2.4.5 u CentOS 7 s Tomcatom 7 kao web-poslužitelj.

Prije početka

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

Preuzmite Webex metapodatke u svoj lokalni sustav

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , a zatim se pomaknite do Autentifikacija , a zatim uključite Jedinstvena prijava postavku za pokretanje čarobnjaka za postavljanje.

2

Odaberite vrstu certifikata za svoju organizaciju:

  • Samopotpisao Cisco — Preporučamo ovaj izbor. Dopustite nam da potpišemo certifikat tako da ga trebate obnavljati samo jednom svakih pet godina.
  • Potpisano od strane javnog certifikacijskog tijela —Sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš dobavljač IdP-a podržava sidra povjerenja).

 

Sidra povjerenja su javni ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Za više informacija pogledajte dokumentaciju vašeg IdP-a.

3

Preuzmite datoteku metapodataka.

Naziv datoteke metapodataka Webex je idb-meta-<org-ID> -SP.xml .

Konfigurirajte autorizaciju u datotekama Shibboleth

Nakon što instalirate Shibboleth, dobivate konfiguracijske datoteke s primjerima.

1

Idite na imenik /opt/shibboleth-idp/conf za pristup datotekama primjera.

2

Odlučite koju ćete metodu autorizacije koristiti—na primjer, LDAP se vezati za Active Directory.

3

Uredite rukovalac.xml datoteku kako slijedi:

Odkomentiraj

    <!--  Username/password login handler -->

    <ph:LoginHandler xsi:type="ph:UsernamePassword"

                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  

  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

</ph:AuthenticationMethod>

    </ph:LoginHandler>

Komentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 

<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>

    </ph:LoginHandler>

4

Ispunite pojedinosti svog Active Directory kako biste omogućili provjeru autentičnosti. Navedite konfiguraciju u datoteci login.config .

ShibUserPassAuth {

   edu.vt.middleware.ldap.jaas.LdapLoginModule required

      ldapUrl="ldap://ad0a.cisco.net:389"

      ssl="false"

      tls="false"

      baseDn="cn=Users,dc=cisco,dc=net"

      subtreeSearch="true"

      userFilter="sAMAccountName={0}"

      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"

      bindCredential="ThePassword";

};

Konfigurirajte komponente Shibboleth davatelj usluge za SAML tvrdnju

1

Dodajte datoteku koju ste preuzeli s Webex SP-a u direktorij /opt/shibboleth-idp/metadata .

2

Uredite oslanjajuća se strana.xml datoteka; nakon oznake DefaultRelyingParty dodajte pojedinosti SAML tvrdnje za Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-

22de53230d1e"

              provider="https://shib9a.cisco.net/idp/shibboleth"

              defaultSigningCredentialRef="IdPCredential">

            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"

                includeAttributeStatement="true"

                assertionLifetime="PT5M" assertionProxyCount="0"

                signResponses="never" signAssertions="always"

                encryptAssertions="conditional" encryptNameIds="never"

                includeConditionsNotBefore="true"/>

        </rp:RelyingParty>

Za id morate koristiti vrijednost Webex iz datoteke metapodataka Webexa. Zamijenite ID primjera s EntityID-om svoje organizacije.

3

Unutar oznake metadata:MetadataProvider dodajte lokaciju datoteke:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini

ngMetadataProvider">

        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad

ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />

    <!--     Cisco UCXN Configuration               -->

   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m

ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad

ata/ucxn9a-single-agreement.xml" />

    <!--     Cisco CUCM Configuration               -->

   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m

ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad

ata/cucm9a.cisco.net-single-agreement.xml" />

    <!--     Cisco CI Configuration               

   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m

ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/

idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP metapodaci dolaze iz datoteke u datotečnom sustavu Shibboleth, na mjestu gdje ste prenijeli metapodatke za svoju Webex organizaciju.

Konfigurirajte atribute tvrdnje

1

U odjeljku Data Connector navedite gdje želite dohvatiti atribute vaših korisnika.

Active Directory, s ID-om MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"

      ldapURL="ldap://ad0a.cisco.net:389"

      baseDN="cn=Users,dc=cisco,dc=net"

      principal="Administrator@cisco.net"

      principalCredential="ThePassword">

        <dc:FilterTemplate>

            <![CDATA[

                (sAMAccountName=$requestContext.principalName)

            ]]>

        </dc:FilterTemplate>

    </resolver:DataConnector>

2

U odjeljku Definicija atributa zadržite ono što je već u konfiguraciji za transientID.

3

Dodajte dodatni atribut koji SP očekuje i definirajte na što se mapira u izvoru atributa.

Mapirajte atribut mail (atribut adresa e-pošte u Active Directory) u uid (UserID u Webex).

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 

sourceAttributeID="mail">

        <resolver:Dependency ref="MyLDAP" />

        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />

     </resolver:AttributeDefinition>

4

Definirajte koji atribut dati svakom SP ugovoru u atribut-filter.xml datoteku.

Navedite atribut uid za Webex koji se preslikava na adresa e-pošte korisnika.

Otpustite atribut uid u SP ugovoru s Webex.

<!--  Release the attributes to cisco CI Cloud  -->

    <afp:AttributeFilterPolicy id="ReleaseToCI">

        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 

value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />

        <afp:AttributeRule attributeID="transientId">

            <afp:PermitValueRule xsi:type="basic:ANY"/>

        </afp:AttributeRule>

        <afp:AttributeRule attributeID="mail-attr">

            <afp:PermitValueRule xsi:type="basic:ANY" />

        </afp:AttributeRule>

    </afp:AttributeFilterPolicy>

Pravilo koje ste kreirali u atribut-resolver.xml treba imati pravilo za otpuštanje atributa mail-attr za EntityID koji odgovara Webex.

5

Preuzmite datoteku metapodataka s poslužitelja Shibboleth u /opt/shibboleth-idp/metadata . Naziv datoteke je idp-metapodaci.xml .

Uvezite IdP metapodatke i omogućite jedinstvena prijava nakon testa

Nakon što izvezete Webex metapodatke, konfigurirate svog IdP-a i preuzmete IdP metapodatke u svoj lokalni sustav, spremni ste za uvoz u svoju Webex organizaciju iz Control Huba.

Prije početka

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje pokreće davatelj usluga (inicira SP), tako da za ovu integraciju morate koristiti SSO test kontrolnog čvorišta.

1

Odaberi jednu:

  • Vratite se na stranicu Control Hub – odabir certifikata u pregledniku, a zatim kliknite Dalje .
  • Ako Control Hub više nije otvoren na kartici preglednika, iz korisničkog prikaza uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija , a zatim odaberite Radnje > Uvoz metapodataka .
2

Na stranici Uvoz IdP metapodaci -a ili povucite i ispustite datoteku metapodataka IdP-a na stranicu ili upotrijebite opciju preglednika datoteka da biste locirali i prenijeli datoteku metapodataka. Kliknite na Dalje.

Trebali biste koristiti Sigurnije opcija, ako možete. To je moguće samo ako je vaš IdP koristio javni CA za potpisivanje svojih metapodataka.

U svim ostalim slučajevima morate koristiti Manje siguran opcija. To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.


 

Okta ne potpisuje metapodatke, pa morate odabrati Manje siguran za Okta SSO integraciju.

3

Odaberite Testirajte SSO postavljanje , a kada se otvori nova kartica preglednika, autentificirajte se s IdP-om prijavom.


 

Ako dobijete pogrešku pri autentifikaciji, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška Webex aplikacije obično znači problem s SSO -a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i zalijepite metapodatke Control Huba u postavku IdP-a.


 

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažne pozitivne rezultate zbog tokena za pristup koji bi mogao biti u postojećoj sesiji nakon što ste prijavljeni.

4

Vratite se na karticu preglednika Control Hub.

  • Ako je test bio uspješan, odaberite Uspješan test. Uključite SSO i kliknite Dalje .
  • Ako je test bio neuspješan, odaberite Neuspješan test. Isključite SSO i kliknite Dalje .

 

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Koristite postupke u Sinkronizirajte Okta korisnike u Cisco Webex Control Hub ako želite izvršiti opskrbu korisnika iz Okte u Webex oblak.

Koristite postupke u Sinkronizirajte korisnike Azure Active Directory u Cisco Webex Control Hub ako želite izvršiti opskrbu korisnika iz Azure AD u Webex oblak.

Možete pratiti proceduru u Suzbijte automatizirane e-poruke da onemogućite e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument također sadrži najbolje prakse za slanje komunikacija korisnicima u vašoj organizaciji.