Egyszeri bejelentkezés és Cisco Webex Teams

Az egyszeri bejelentkezés (egyszeri bejelentkezés) olyan munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyre jogosultságot kapnak. Kiküszöböli a további kéréseket, amikor a felhasználók egy adott munkamenet során váltanak alkalmazásokat.

A biztonsági állítások jelölési nyelve (SAML 2.0) összevonási protokoll az egyszeri bejelentkezés hitelesítésének biztosítására szolgál a Cisco Webex felhő és az identitásszolgáltató (IdP) között.

Profilok

A Cisco Webex Teams csak a webböngésző SSO-profilját támogatja. A webböngésző SSO-profiljában a Cisco Webex Teams a következő kötéseket támogatja:

  • SP kezdeményezett POST -> POST kötés

  • SP kezdeményezett REDIRECT -> POST kötés

NameID formátum

A SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóról való kommunikációhoz. A Cisco Webex Teams a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az IdP-ből betöltött metaadatokban az első bejegyzés a Cisco Webexben való használatra van konfigurálva.

SingleLogout

A Cisco Webex Teams támogatja az egységes kijelentkezési profilt. A Cisco Webex Teams alkalmazásban a felhasználó kijelentkezhet az alkalmazásból, amely a SAML egyetlen kijelentkezés protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezett az IdP-vel. Győződjön meg arról, hogy az IdP a SingleLogout-hoz van konfigurálva.

Integrálja a Cisco Webex Control Hubot a SimpleSAML-lal az egyszeri bejelentkezéshez


A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe.

Állítsa be ezt az integrációt a Cisco Webex szervezet felhasználói számára (beleértve a Cisco WebexTeamst, a Cisco WebexMeetings-t és a Cisco Webex Control Hubban kezelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Cisco Webex Control Hubba,a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Cisco Webex Meetings-hez, és azt nem kezeli a Cisco Webex ControlHub, akkor külön integrációt kell végeznie a Cisco Webex Meetings SSO engedélyezéséhez. (Lásd: A Webex egyszeri bejelentkezésének konfigurálása további információkért a webhelyfelügyelet sso-integrációjáról.)

Mielőtt elkezdené

Az SSO és a Cisco Webex Control Hub esetében azazonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:
  • Állítsa a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfiguráljon egy jogcímet az IdP-n úgy, hogy tartalmazza az uid attribútum nevét, amely a Cisco Directory-összekötőben kiválasztott attribútumhoz vagy a Cisco Webex identity szolgáltatásban kiválasztottnak megfelelő felhasználói attribútumhoz van rendelve. (Ez az attribútum lehet például e-mail-címek vagy felhasználónév.) Útmutatásért tekintse meg az egyéni attribútum https://www.cisco.com/go/hybrid-services-directory adatait.

  • Támogatott böngésző használata: javasoljuk a Mozilla Firefox vagy a Google Chrome legújabb verzióját.

  • Tiltsa le az előugró ablakok blokkolóját a böngészőben.

Töltse le a Cisco Webex metaadatait a helyi rendszerbe

1

A vevői nézetből lépjen a https://admin.webex.comBeállításokelemre, majd görgessen a Hitelesítéselemre.

2

Kattintson a Módosításelemre, kattintson a Harmadik fél identitásszolgáltatójának integrálása elemre. (Speciális), majd kattintson a Továbbgombra.

3

Töltse le a metaadatfájlt.

A Cisco Webex metaadat fájlnév idb-meta-<org-ID>-SP.xml.

Metaadatok konvertálása

1

Nyissa meg az exportált Cisco Webex metaadatfájlt egy szövegszerkesztőben.

2

Nyissa meg a simpleSAML kezdőlapot, és jelentkezzen be rendszergazdai hitelesítő adataival.

A kezdőlap helye változó, de általában hasonló ehhez a példa URL-címéhez: https://yourcompany.yourdomain.com/simplesaml.

3

A főoldalon kattintson a Összevonásgombra.

4

Az eszközök alatt xml-egyszerű SAML XML-konvertálást végezzen.

5

Másolja a Cisco Webex metaadatokat a szövegszerkesztőből, majd illessze be az XML konvertáló mezőbe.

6

Kattintson a Elemzésgombra.

Megjelenik a konvertált metaadatok. Ezeket az adatokat hozzáadja a távoli SP szövegfájlhoz.

Távoli szolgáltató metaadatfájljának létrehozása

Ezek a lépések példaként szolgálnak. A metaadat-könyvtár és az IdP-állomás az ügyfél beállításától függően eltérő lesz.

Mielőtt elkezdené

Legyen tisztában az attribútumokkal, amelyeket át kell adnia, és ennek megfelelően kell alkalmaznia a saml20-idp-hosted.php fájl metaadatfájl szerkesztésével. (Például uid, e-mail, e-mail stb.) Lásd a példa metaadatait:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

A gazdagép SimpleSAML-konfigurációjában lépjen a metaadat-könyvtárba.

2

Szövegszerkesztővel illessze be az elemezt adatokat a saml20-sp-remote.php végén, és mentse a fájlt.

3

Térjen vissza a SimpleSAML kezdőlapjára, kattintson a Összevonáselemre, majd jelenképe az identitásszolgáltató számára.

4

Illessze be az adatokat egy új szövegfájlba.

5

Mentse a frissített fájlt az asztalra egy értelmes névvel, például simplesaml-metadata.xml.

Az idP metaadatok importálása és egyszeri bejelentkezés engedélyezése teszt után

Miután exportálta a Cisco Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Cisco Webex szervezetébe a Control Hubwebhelyről.

1

Válasszon egyet:

  • Térjen vissza a Cisco Webex Control Hub – Könyvtár metaadatainak exportálása lapra a böngészőben, majd kattintson a Következőgombra.
  • Ha a Vezérlőközpont már nincs megnyitva a böngésző lapon, a felhasználói nézetből lépjen a https://admin.webex.comBeállítások , görgessen aHitelesítés elemre, válassza a Harmadik fél identitásszolgáltatójának integrálása (Speciális)lehetőséget, majd kattintson a Tovább gombra a megbízható metaadatfájl oldalon (mert már korábban is megtette).
2

Az IdP metaadatok importálása lapon húzza és dobja az IdP metaadatfájlt a lapra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Továbbgombra.

Ha a metaadatok nincsenek aláírva, önaláírt tanúsítvánnyal vannak aláírva, vagy egy privát vállalati hitelesítésszolgáltatóval (CA) vannak aláírva, javasoljuk, hogy a metaadatok (biztonságosabb) tanúsítványhatóság által aláírt tanúsítványthasználja. Ha a tanúsítvány öna alá van írva, ki kell választania a kevésbé biztonságos opciót.

3

Válassza a SSO-kapcsolat teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, jelentkezzen be bejelentkezéssel az IdP-vel.


 

Ha hitelesítési hibát kap, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, és próbálkozzon újra.

A Webex Teams-hiba általában az egyszeri bejelentkezés beállításával kapcsolatos problémát jelent. Ebben az esetben ismét végigsétálhat a lépéseken, különösen azon lépéseken, amelyek során a Vezérlőközpont metaadatait másolja és beillesztheti az IdP-beállításba.

4

Vissza a Control Hub böngésző fülre.

  • Ha a teszt sikeres volt, válassza a Ez a teszt sikeres volt lehetőséget. Engedélyezze az Egyszeri bejelentkezés lehetőséget, és kattintson a Következőgombra.
  • Ha a teszt sikertelen volt, válassza a Ez a teszt sikertelen volt. Tiltsa le az Egyszeri bejelentkezés beállítást, majd kattintson a Következőgombra.

Mi a következő lépés

Az automatizált e-mailek letiltása című témakörben letilthatja a szervezet új Webex Teams-felhasználóinak küldött e-maileket. A dokumentum a kommunikációnak a szervezet felhasználóinak történő küldésére vonatkozó ajánlott eljárásokat is tartalmazza.