Single Sign-On e Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione SAML 2.0 (Security Assertion Markup Language) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider di identità (IdP).

Profili

L'app Webex supporta solo il profilo SSO web browser. Nel profilo web SSO, l'app Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. L'app Webex supporta i seguenti formati di NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce viene configurata per l'uso in Webex.

Integra Control Hub con Okta

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, le operazioni di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sono documentate. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzionano per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Webex (inclusi app Webex, Webex Meetingse altri servizi amministrati in Control Hub). Se il sito Webex è integrato in Control Hub, il sito Webex eredita la gestione degli utenti. Se non è possibile accedere Webex Meetings in questo modo e non è gestito in Control Hub, è necessario eseguire un'integrazione separata per abilitare le SSO per Webex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

Operazioni preliminari

  • Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:

  • Webex supporta solo i flussi avviati da provider di servizi (SP). Ciò significa che gli utenti devono iniziare le sessioni dal sito Webex. Ciò assicura che l'autenticazione venga indirizzata correttamente attraverso la piattaforma Webex.

Scarica i metadati Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, quindi scorrere fino ad Autenticazione, quindi attivare l'impostazione Single Sign-On per avviare la procedura di installazione guidata.

2

Scegliere il tipo di certificato per la propria organizzazione:

  • Autofirmato da Cisco: si consiglia di scegliere questa opzione. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica: più sicuro ma dovrai aggiornare i metadati più frequentemente (a meno che il tuo fornitore IdP non supporti i trust anchor).

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

3

Scarica il file dei metadati.

Il nome file dei metadati Webex è idb-meta-<org-ID>-SP.xml.

Configura Okta per i servizi Webex

Quando si imposta l'applicazione Cisco Webex nel portale di amministrazione Okta, configurare l'icona dell'applicazione predefinita in modo che rimanga nascosta. A tale scopo, andare a Impostazioni app > Visibilità applicazione e selezionare Non visualizzare l'icona dell'applicazione agli utenti e Non visualizzare l'icona dell'applicazione nell'app mobile Okta.

1

Accedere al tenant Okta (example.okta.com, dove example è il nome della società o dell'organizzazione) come amministratore, andare ad Applicazioni, quindi fare clic su Aggiungi applicazione.

2

Cercare le Cisco Webex e aggiungere l'applicazione al tenant.

3

Fare clic su Avanti , quindi fare clic su SAML 2.0.

4

Nel browser, aprire il file di metadati scaricato da Control Hub. Copiare gli URL per entityID (nella parte superiore del file) e la posizione assertionConsumerService (nella parte inferiore del file).

Esempio di entityID evidenziato nel file di metadati dell'hub di controllo

Esempio di posizione di assertionConsumerService evidenziata nel file di metadati dell'hub di controllo

5

Nella scheda Cisco WebEx in Okta, scorrere fino a Impostazioni avanzate, quindi incollare l' ID entità e i valori di servizio consumer di asserzione copiati dal file di metadati dell'hub di controllo, quindi salvare le modifiche.

6

Fai clic su Accedi , quindi scarica il file di metadati Okta. Questo file verrà importato nuovamente nella tua istanza di Control Hub.

Per fornire agli utenti l'accesso al sito Webex specifico, è possibile creare un'applicazione personalizzata in Okta. Imposta un collegamento Web che indirizza gli utenti al relativo URL del sito Webex univoco. Assicurarsi di regolare le impostazioni di visibilità dell'applicazione in Okta in modo che l'icona dell'applicazione personalizzata sia visibile agli utenti.
7

Fare clic su assegnazioni, scegliere tutti gli utenti e i gruppi pertinenti che si desidera associare alle app e ai servizi gestiti in Control Hub, fare clic su assegna, quindi fare clic su Chiudi.

È possibile assegnare un utente o un gruppo. Non ignorare questa operazione; in caso contrario, l'integrazione di Control Hub e Okta non funzionerà.

Importare i metadati IdP e abilitare l Single Sign-On dopo un test

Dopo aver esportato i metadati Webex , configurato l'IdP e scaricato i metadati IdP nel sistema locale, è possibile importarli nell'organizzazione Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Supportiamo solo flussi avviati a provider di servizi (avvio da SP), pertanto è necessario utilizzare il test dell'hub di controllo SSO per questa integrazione.

1

Scegli un'opzione:

  • Torna alla pagina di selezione del certificato di Control Hub nel browser, quindi fai clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, vai a Gestione > Impostazioni organizzazione, scorri fino a Autenticazione, quindi scegli Azioni > Importa metadati.
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fare clic su Avanti.

Se possibile, è necessario utilizzare l'opzione Più sicura. Ciò è possibile solo se l'IdP ha utilizzato una CA pubblica per firmare i relativi metadati.

In tutti gli altri casi, occorre utilizzare l'opzione Meno sicura. Ciò include se i metadati non sono firmati, autofirmati o firmati da una CA privata.

Okta non firma i metadati, pertanto è necessario scegliere Meno sicuro per un'SSO Okta.

3

Seleziona Esegui test impostazione SSO; quando si apre una nuova scheda del browser, esegui l'autenticazione con IdP mediante l'accesso.

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa operazione interrompe i false positives (falso) a causa del token di accesso che potrebbe essere in una sessione esistente dall'accesso.

4

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attivare la SSO e fare clic su Avanti.
  • Se il test non è riuscito, selezionare Test non riuscito. Disattivare il SSO e fare clic su Avanti.

La SSO della configurazione del sistema non ha effetto nella propria organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Operazione successivi

Utilizzare le procedure in Sincronizza utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da OKta nel cloud Webex.

Utilizzare le procedure in Sincronizza utenti Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Azure AD nel cloud Webex.

Puoi seguire la procedura in Elimina i messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nella tua organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.