Jedinstvena prijava i kontrolni centar

Jedinstvena prijava (SSO) je sesija ili postupak provjere autentičnosti korisnika koji korisniku omogućuje da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije na koje imaju prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol Federacijskog protokola za označavanje sigurnosnih tvrdnji (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web preglednika. U SSO profilu web-preglednika Webex App podržava sljedeće veze:

  • SP pokrenuo POST -> POST povezivanje

  • SP pokrenuo REDIRECT -> POST povezivanje

Oblik ID naziva

SAML 2.0 Protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće NameID formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitate iz IdP-a prvi unos konfiguriran je za korištenje u web-aplikaciji Webex.

SingleLogout

Webex aplikacija podržava jedan profil za odjavu. U webexaplikaciji korisnik se može odjaviti iz aplikacije koja koristi SAML protokol za jedinstvenu odjavu kako bi završio sesiju i potvrdio tu odjavu s vašim IdP-om. Provjerite je li IdP konfiguriran za SingleLogout.

Integracija kontrolnog središta sa shibbolethom


Vodiči za konfiguraciju pokazuju specifičan primjer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u vašoj webex organizaciji (uključujući Webex App, Webex sastankei druge usluge kojima se upravlja u Control Hubu). Ako je vaše Webex web-mjesto integrirano u Control Hub ,Webex web-mjesto nasljeđuje upravljanje korisnicima. Ako ne možete pristupiti Webex sastancima na ovaj način i njime se ne upravlja u Control Hubu , morate napraviti zasebnu integraciju da biste omogućili SSO za Webex sastanke. (Pogledajte Konfigurirajte jedinstvenu prijavu za Webex za više informacija o integraciji SSO-a u administraciji web-mjesta.)

Koraci integracije odnose se na Shibboleth 2.4.5 u CentOS 7 s Tomcatom 7 kao web poslužiteljem.

Prije nego što počnete

Za SSO i Control HubIDP-ovi moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IDP-ovi moraju biti konfigurirani na sljedeći način:

Preuzimanje metapodataka webexa u lokalni sustav

1

Iz prikaza klijenta u https://admin.webex.comsustavu otvorite Postavke upravljanja > organizacije, a zatim se pomaknite do odjeljka Provjeraautentičnosti , a zatim se prebacite na postavku Jedinstvena prijava da biste pokrenuli čarobnjak za postavljanje.

2

Odaberite vrstu certifikata za svoju tvrtku ili ustanovu:

  • Sam potpisao Cisco– Preporučujemo ovaj izbor. Dopustite nam da potpišemo certifikat tako da ga trebate obnoviti samo jednom u pet godina.
  • Potpisala javna ustanova za izdavanjecertifikata – sigurnije, ali morat ćete često ažurirati metapodatke (osim ako vaš dobavljač IDP-a ne podržava sidra pouzdanosti).

 

Sidra povjerenja javni su ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Dodatne informacije potražite u dokumentaciji o IDP-u.

3

Preuzmite datoteku metapodataka.

Naziv datoteke Metapodataka Webex je idb-meta-<org-ID>-SP.xml.

Konfiguriranje autorizacije u Shibboleth datotekama

Nakon što instalirate Shibboleth, dobivate konfiguracijske datoteke s primjerima.

1

Idite na direktorij /opt/shibboleth-idp/conf da biste pristupili oglednim datotekama.

2

Odlučite koju ćete metodu autorizacije koristiti – na primjer, LDAP se veže za Active Directory.

3

Uredite datoteku rukovatelja.xml na sljedeći način:

Neodgovorizno

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Komentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Ispunite detalje servisa Active Directory da biste omogućili provjeru autentičnosti. Navedite konfiguraciju datoteke login.config.

Primjer:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfiguriranje komponenti davatelja usluga Shibboleth za saml tvrdnju

1

Dodajte datoteku koju ste preuzeli s Webex SP-a u direktorij /opt/shibboleth-idp/metapodaci.

2

Uredite datoteku .xml strane; nakon oznake DefaultRelyingParty dodajte detalje SAML tvrdnje za Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Za ID morate koristiti vrijednost EntityID iz datoteke metapodataka Webex. Zamijenite ID primjera ID-om entiteta tvrtke ili ustanove.

3

Unutar oznake metapodataka:MetadataProvider dodajte mjesto datoteke:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP metapodaci potječu iz datoteke u datotečnom sustavu Shibboleth, na mjestu na koje ste prenijeli metapodatke za svoju webex organizaciju.

Konfiguriranje atributa tvrdnje

1

U odjeljku Poveznik podataka odredite gdje dohvatiti atribute o korisnicima.

Primjer:

Active Directory, s ID-om myLDAP-a.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

U odjeljku Definicija atributa zadržite ono što se već nalazi u konfiguraciji za prijelazni ID.

3

Dodajte dodatni atribut koji SP očekuje i definirajte u što se mapira u izvoru atributa.

Primjer:

Mapirajte poštu atributa (atribut adrese e-pošte u servisu Active Directory) u uid (UserID u Webexu).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definirajte atribut koji želite pružiti svakom SP ugovoru u datoteci filtra atributa.xml.

Navedite atribut UID-a web-mjestu koje se mapira na adresu e-pošte korisnika.

Primjer:

Otpustite atribut uid SP ugovoru s Webexom.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravilo koje ste stvorili u razrješivaču atributa.xml trebalo bi imati pravilo za oslobađanje atributa intr pošte u EntityID koji odgovara Webexu.

5

Preuzmite datoteku metapodataka sa Shibboleth poslužitelja u /opt/shibboleth-idp/metapodacima. Naziv datoteke su idp-metapodaci.xml.

Uvoz IdP metapodataka i omogućavanje jedinstvene prijave nakon testiranja

Nakon izvoza metapodataka webexa, konfiguriranja IdP-a i preuzimanja IdP metapodataka u lokalni sustav, spremni ste ga uvesti u svoju web-ex organizaciju iz Control Huba.

Prije nego što počnete

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje je pokrenuo Davatelj usluga (iniciran SP-om), tako da za tu integraciju morate koristiti SSO test kontrolnog središta.

1

Odaberi jednu:

  • Vratite se na stranicu Kontrolni centar – odabir certifikata u pregledniku, a zatim kliknite Dalje.
  • Ako kontrolni centar više nije otvoren na kartici preglednika, u prikazu klijenta u https://admin.webex.comodjeljku otvorite Postavke upravljanja > organizacije ,pomaknite se do odjeljka Provjera autentičnosti, a zatim odaberite Akcije > Uvozmetapodataka.
2

Na stranici Uvoz IDP metapodataka povucite i ispustite datoteku IdP metapodataka na stranicu ili pomoću mogućnosti preglednika datoteka pronađite i prenesite datoteku metapodataka. Kliknite Dalje.

Trebali biste koristiti sigurniju opciju, ako možete. To je moguće samo ako je vaš IDP koristio javni CA za potpisivanje svojih metapodataka.

U svim drugim slučajevima morate koristiti opciju Manje sigurno. To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

3

Odaberite Testiraj postavljanje SSO-a, a kada se otvori nova kartica preglednika, provjerite autentičnost pomoću IDP-a prijavom.


 

Ako primite pogrešku pri provjeri autentičnosti, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška web-aplikacije obično znači problem s postavljanjem SSO-a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i lijepite metapodatke kontrolnog središta u postavljanje IDP-a.


 

Da biste izravno vidjeli SSO iskustvo prijave, možete kliknuti Kopiraj URL u međuspremnik s ovog zaslona i zalijepiti ga u prozor privatnog preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažno pozitivne rezultate zbog pristupnog tokena koji se možda koristi u postojećoj sesiji od prijave.

4

Vratite se na karticu preglednika Kontrolni centar.

  • Ako je test bio uspješan, odaberite Uspješno testiranje. Uključite SSO i kliknite Dalje.
  • Ako test nije uspio, odaberite Neuspješan test. Isključite SSO i kliknite Dalje.

 

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Možete slijediti postupak u odjeljku Suzbijanje automatiziranih poruka e-pošte da biste onemogućili e-poštu koja se šalje novim korisnicima web-aplikacije u vašoj tvrtki ili ustanovi. Dokument sadrži i najbolje primjere iz prakse za slanje komunikacija korisnicima u tvrtki ili ustanovi.