Egyszeri bejelentkezés és Vezérlőközpont

Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:

  • SP kezdeményezte a POST -> POST kötést

  • SP kezdeményezte REDIRECT -> POST kötést

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezik az idP-vel. Győződjön meg arról, hogy az idP be van állítva a SingleLogout szolgáltatáshoz.

Integrálja a Control Hubot a Shibboleth-tal

A konfigurációs útmutatók egy konkrét példát mutatnak be az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt minden lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén.

Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára . (Lásd: Konfigurálja az egyszeri bejelentkezést a Webex számára, ha további információt szeretne a webhelyfelügyelet SSO-integrációjáról.)

Az integrációs lépések a Shibboleth 2.4.5-re vonatkoznak a CentOS 7-ben, a Tomcat 7 pedig webszerverként.

Mielőtt elkezdené

Az SSO és a Control Hubesetében az idP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az idP-ket a következő módon kell konfigurálni:

Töltse le a Webex metaadatait a helyi rendszerbe

1

A vevő nézetében https://admin.webex.comnyissa meg a Felügyeleti > Szervezeti beállítások lehetőséget, majd görgessen a Hitelesítéslapra , majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához.
2

Válassza ki a szervezet tanúsítványtípusát:

  • A Ciscosaját maga írta alá – Javasoljuk ezt a választást. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Egy hitelesítésszolgáltatóáltal aláírt – Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP-szállító támogatja a megbízhatósági horgonyokat).

 

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.
3

Töltse le a metaadatfájlt.

A Webex metaadat-fájlneve idb-meta--<org-ID>SP.xml.

Engedélyezés konfigurálása Shibboleth fájlokban

A Shibboleth telepítése után konfigurációs fájlokat kap példákkal.

1

A példafájlok eléréséhez nyissa meg az /opt/shibboleth-idp/conf könyvtárat .
2

Döntse el, hogy melyik engedélyezési módszert használja – például LDAP-kötés az Active Directoryhoz.
3

Szerkessze a kezelőt.xml fájlt az alábbiak szerint:

Nem hozzászólás

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Hozzászólás

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Töltse ki az Active Directory adatait a hitelesítés engedélyezéséhez. Adja meg a login.config fájl konfigurációját.

Példa:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Shibboleth szolgáltatói összetevők konfigurálása SAML állításhoz

1

Adja hozzá a Webex SP-ről letöltött fájlt a /opt/shibboleth-idp/metaadatokkönyvtárhoz .
2

Szerkessze a függő entitás.xml fájlt; a DefaultRelyingParty címke után adja hozzá a WebexSAML állításának részleteit.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Az azonosítóhoz a Webex metaadatfájl EntityID értékét kell használnia. Cserélje le a példa azonosítóját a szervezet EntityID-jára.
3

A metaadatok:MetadataProvider címke belsejében adja hozzá a fájl helyét:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Az SP metaadatok a Shibboleth fájlrendszer egyik fájljából származnak, azon a helyen, ahol feltöltötte a Webex szervezet metaadatait .

Az állításattribútumok konfigurálása

1

Az Adatcsatlakozó szakaszban adja meg, hogy hol szeretné lekérni a felhasználókra vonatkozó attribútumokat.

Példa:

Active Directory, a MyLDAP azonosítójával.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

Az Attribútumdefiníció szakaszban tartsa meg azt, ami már a tranziensid konfigurációjában van.
3

Adja hozzá az SP által várt extra attribútumot, és határozza meg, hogy mit rendel hozzá az attribútumforráshoz.

Példa:

Rendelje hozzá az attribútum e-mailt (e-mail cím attribútum az Active Directoryban) uid-hez (UserID a Webexben ).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Határozza meg, hogy melyik attribútumot adja meg az attribútumszűrő.xml fájl egyes SP-megállapodásainak.

Adja meg az uid attribútumot a Webexnek , amely a felhasználó e-mail címéhez van leképezve.

Példa:

Engedje el az uid attribútumot a Webex-szel kötött SP-megállapodáshoz.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Az attribútum-feloldóban létrehozott szabálynak.xml házirenddel kell rendelkeznie a Webexnekmegfelelő EntityID-nek való e-mail attr attribútum felszabadításához.
5

Töltse le a metaadatfájlt a Shibboleth kiszolgálóról a /opt/shibboleth-idp/metadata fájlban . A fájlnév idp-metaadatok.xml.

Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .

Mielőtt elkezdené

Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a vezérlőközpont – tanúsítványkijelölő lapra a böngészőben, majd kattintson a Továbbgombra .
  • Ha a Control Hub már nincs megnyitva a böngésző lapon, a ügyfélnézetből https://admin.webex.coma ( ) válassza a Felügyeleti > Szervezet beállításai,görgessen a Hitelesítéslapra , majd válassza a Műveletek > metaadatokimportálása lehetőséget.
2

Az IdP metaadatok importálása lapon húzza az IdP metaadatfájlt a lapra, vagy a fájlböngésző beállítással keresse meg és töltse fel a metaadatfájlt. Kattintson a Tovább gombra .

Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató.
3

Válassza a SSO-beállítás tesztelése lehetőséget , és amikor új böngészőfül nyílik meg, bejelentkezéssel hitelesítse magát az IdP-vel.


 

Ha hitelesítési hiba jelenik meg, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása a vágólapra ezen a képernyőn, és illessze be egy privát böngészőablakba. Innen keresztül bejelentkezhet az SSO-val. Ez a lépés leállítja a hamis pozitív eredményt, mert egy hozzáférési jogkivonat lehet egy meglévő munkamenetben, amikor be van jelentkezve.
4

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Kapcsolja be az egyszeri bejelentkezést, és kattintson a Továbbgombra .
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Kapcsolja ki az egyszeri bejelentkezést, és kattintson a Továbbgombra .

 

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Mi a következő lépés

Az Automatizált e-mailek letiltása című témakörben leírt eljárást követve letilthatja a szervezet új Webex Alkalmazás felhasználóinak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.