Single Sign-on e Webex Control Hub

Il Single Sign-on (SSO) è un processo di autenticazione di sessione o utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni a cui è concesso il diritto. Elimina ulteriori prompt quando gli utenti passano le applicazioni durante una sessione particolare.

Il protocollo di Federazione Security Assermarkup Language (SAML 2,0) viene utilizzato per fornire SSO autenticazione tra il cloud Cisco Webex e il provider di identità (IdP).

Profili

Cisco Webex Teams supporta solo il profilo del SSO del browser Web. Nel profilo del SSO del browser Web, Cisco Webex Teams supporta le seguenti associazioni:

  • SP ha avviato POST-> binding POST

  • SP avviato REDIRECT-> POST binding

Formato NameID

Il protocollo SAML 2,0 supporta diversi formati NameID per la comunicazione su un determinato utente. Cisco Webex Teams supporta i seguenti formati NameID.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso in Cisco Webex.

Integra Cisco Webex Control Hub con Okta per Single Sign-on


Le guide alla configurazione mostrano un esempio specifico per SSO integrazione, ma non forniscono una configurazione completa per tutte le possibilità. Ad esempio, le operazioni di integrazione di NameID-formato urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient sono documentate. Altri formati come urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato o urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress funzionerà per l'integrazione SSO ma non rientra nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Cisco Webex (inclusi Cisco Webex Teams, Cisco Webex Meetings e altri servizi amministrati in Cisco Webex Control Hub). Se il sito di Webex è integrato in Cisco Webex Control Hub, il sito di Webex eredita la gestione utenti. Se non è possibile accedere a Cisco Webex Meetings in questo modo e non è gestita in Cisco Webex Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings. (Vedere Configurare il Single Sign-on per Webex per ulteriori informazioni sull'integrazione di SSO in amministrazione sito.)

Prima di iniziare

  • Per SSO e Cisco Webex Control Hub, gli IDP devono essere conformi alla specifica SAML 2,0. Inoltre, gli IDP devono essere configurati nel modo seguente:
    • Impostare l'attributo NameID Format su urn: Oasis: Names: TC: SAML: 2.0: nameid-format:Transient

    • Configurare un reclamo sull'IdP per includere il nome dell' attributo UID con un valore mappato all'attributo scelto in Cisco connettore directory o l'attributo utente corrispondente a quello scelto nel Cisco Webex servizio di identità. (Questo attributo potrebbe essere indirizzi e-mail E-mail o nome-entità utente, ad esempio.) Per istruzioni, vedere le informazioni sugli attributi personalizzati in https://www.Cisco.com/go/Hybrid-Services-Directory .

    • Usa un browser supportato: si consiglia l'ultima versione di Mozilla Firefox o Google Chrome.

    • Disabilitare eventuali blocchi popup nel browser.

Scaricare i metadati Cisco Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a impostazioni, quindi scorrere fino a autenticazione.

2

Fare clic su modifica, fare clic su integra un provider di identità di terze parti. (Avanzate), quindi fare clic su Avanti.

3

Scaricare il file di metadati.

Il nome file del Cisco Webex Metadata è IDB-meta-<org-ID>-SP. XML.

Configurazione di okta per i servizi di Cisco Webex

1

Accedere al tenant Okta (example.Okta.com, dove l'esempio è il nome della società o dell'organizzazione) come amministratore, andare a applicazioni, quindi fare clic su Aggiungi applicazione.

2

Ricercare "Cisco Webex" e aggiungere l'applicazione al tenant.

3

Fare clic su Avanti, quindi fare clic su SAML 2,0.

4

Nel browser, aprire il file di metadati scaricato da Cisco Webex Control Hub. Copiare gli URL per EntityId (nella parte superiore del file) e il percorso AssertionConsumerService (nella parte inferiore del file).

Figura 1. Esempio di entityID evidenziato nel file di metadati dell'hub di controllo
Figura 2. Esempio di posizione di assertionConsumerService evidenziata nel file di metadati dell'hub di controllo
5

Nella scheda Cisco Webex in Okta, scorrere fino a Impostazioni avanzate, quindi incollare l' ID entità e i valori di servizio consumer di asserzione copiati dal file di metadati dell'hub di controllo, quindi salvare le modifiche.

6

Fare clic su Accedi , quindi scaricare il file di metadati Okta da questo file viene importato nuovamente nell'istanza di Control Hub.

7

Fare clic su assegnazioni, scegliere tutti gli utenti e i gruppi pertinenti che si desidera associare alle app e ai servizi gestiti in Control Hub, fare clic su assegna, quindi fare clic su Chiudi.

È possibile assegnare un utente o un gruppo. Non ignorare questa operazione; in caso contrario, l'integrazione di Control Hub e Okta non funzionerà.

Importare i metadati IdP e abilitare il Single Sign-on dopo un test

Dopo aver esportato i metadati Cisco Webex, configurare l'IdP e scaricare i metadati IdP nel sistema locale, è possibile importarlo nell'organizzazione Cisco Webex da Control Hub.

Prima di iniziare

Non eseguire il test dell'integrazione SSO dall'interfaccia IdP (Identity Provider). Supportiamo solo flussi avviati a provider di servizi (avvio da SP), pertanto è necessario utilizzare il test dell'hub di controllo SSO per questa integrazione.

1

Scegliere un'opzione:

  • Tornare alla pagina Cisco Webex Control Hub – Esporta metadati directory nel browser, quindi fare clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, andare a impostazioni, scorrere fino a autenticazione, scegliere integra un provider di identità di terze parti (Advanced), quindi fare clic su Avanti sulla pagina del file di metadati attendibili (poiché è già stato eseguito).
2

Nella pagina importa metadati IdP, trascinare e rilasciare il file di metadati IdP sulla pagina o utilizzare l'opzione browser file per individuare e caricare il file di metadati. Fare clic su Successiva.

Se i metadati non sono firmati, sono firmati con un certificato autofirmato o sono firmati con un'autorità di certificazione (CA) Enterprise privata, si consiglia di utilizzare il certificato di richiesta firmato da un'autorità di certificazione nei metadati (più sicuro). Se il certificato è autofirmato, è necessario scegliere l' opzione meno sicura .

3

Selezionare test SSO connessionee quando viene aperta una nuova scheda del browser, eseguire l'autenticazione con l'IdP effettuando l'accesso.


 

Se si riceve un errore di autenticazione, potrebbe essersi verificato un problema con le credenziali. Controllare il nome utente e la password e riprovare.

Un errore di Webex Teams solitamente indica un problema con l'impostazione della SSO. In questo caso, eseguire nuovamente la procedura, in particolare i passaggi in cui copiare e incollare i metadati dell'hub di controllo nell'impostazione IdP.

4

Tornare alla scheda del browser Control Hub.

  • Se il test è stato eseguito correttamente, selezionare questo test è stato eseguito correttamente. Abilitare l'opzione Single Sign on e fare clic su Avanti.
  • Se il test non è riuscito, selezionare questo test non è riuscito. Disabilitare l'opzione Single Sign on e fare clic su Avanti.

Operazioni successive

È possibile seguire la procedura per sopprimere i messaggi E-mail automatizzati per disabilitare i messaggi e-mail inviati ai nuovi Webex teams utenti nella propria organizzazione. Il documento contiene anche procedure consigliate per l'invio di comunicazioni agli utenti nella propria organizzazione.