Single Sign-On eControl Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione SAML 2.0 (Security Assertion Markup Language) viene utilizzato per fornire la SSO autenticazione tra leWebexcloud e dal provider di identità (IdP).

Profili

App Webexsupporta solo il profilo SSO browser Web. Nel browser Web, SSO profilo utente,App Webexsupporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente.App Webexsupporta i seguenti formati di ID nome.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso inWebex.

IntegrareControl Hubcon Microsoft Azure


 

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, le operazioni di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sono documentati. Altri formati, come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzionerà per l'SSO, ma non rientra nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nelWebex(inclusoApp Webex,Webex Meetingse altri servizi amministrati inControl Hub). Se laWebexè integrato inControl HubLeWebexil sito eredita la gestione utenti. Se non è possibile accedereWebex Meetingsin questo modo e non viene gestita inControl Hub, è necessario effettuare un'integrazione separata per SSO perWebex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

Operazioni preliminari

Per le SSO eControl Hub, IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati come segue:


 

In Azure Active Directory, il provisioning è supportato solo in modalità manuale. Questo documento descrive solo la Single Sign-On (SSO).

Scaricare ilWebexmetadati per il sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, quindi scorrere fino ad Autenticazione, quindi attivare l'impostazione Single Sign-On per avviare la procedura di installazione guidata.

2

Scegliere il tipo di certificato per la propria organizzazione:

  • Autofirmato da Cisco: questa scelta è consigliata. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmata da un'autorità di certificazione pubblica: più sicura, ma occorre aggiornare frequentemente i metadati (a meno che il fornitore idP non supporti i trust anchor).

 

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

3

Scarica il file dei metadati.

L'iconaWebexnomefile metadati idb-meta-SP.xml<org-ID>.

Configurare le SSO dell'applicazione in Azure

Operazioni preliminari

1

Accedere al portale Azure su con https://portal.azure.com le credenziali dell'amministratore.

2

Se l'icona Azure Active Directory , fare clic su Altri servizi.

3

Andare a Azure Active Directory per la propria organizzazione.

4

Andare ad Applicazioni aziendali, quindi fare clic su Aggiungi.

5

Fare clic su Aggiungi un'applicazione dalla galleria.

6

Nella casella di ricerca, digitare Cisco Webex.

7

Nel riquadro dei risultati, selezionare Cisco Webex, quindi fare clic su Crea per aggiungere l'applicazione.

8

Per accertarsi che l'applicazione Webex aggiunta per il servizio Single Sign-On non sia presente nel portale utente, aprire la nuova applicazione. In Gestisci, fare clic su Proprietà e impostare Visibile agli utenti? su No.

L'app Webex non è visibile agli utenti.

9

Configurazione del Single Sign-On:

  1. In Gestisci, fare clic su Single Sign On, quindi in Seleziona un metodo di single sign-on, scegliere SAML.

  2. Fare clic su Carica file di metadati, quindi scegliere il file di metadati scaricato daControl Hub.

    Importa file di metadati in Azure

    Alcuni campi vengono automaticamente immessi.

  3. In Gestisci, fare clic su Imposta Single Sign-On con SAML, fare clic sull'icona Modifica per aprire la configurazione SAML di base.

  4. Copiare il valore dell'URL di risposta e incollarlo in URL di accesso, quindi salvare le modifiche.

10

Andare a Gestione > utenti e gruppi, quindi scegliere gli utenti e i gruppi a cui concedere l'accesso.App Webex.

11

Nella pagina Imposta Single Sign-On con SAML , nella sezione Certificato di firma SAML , fare clic su Scarica per scaricare il file XML dei metadati federati e salvarlo sul computer.

Importare i metadati IdP e abilitare la Single Sign-On dopo un test

Dopo aver esportato ilWebexmetadati, configurare l'IdP e scaricare i metadati IdP nel sistema locale; è possibile importarli nelWebexorganizzazione daControl Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo provider di servizi avviati da altri utenti (avviato da SP), pertanto è necessario utilizzare il comandoControl HubSSO test di questa integrazione.

1

Scegli un'opzione:

  • Tornare aControl Hub– pagina di selezione del certificato nel browser, quindi fare clic su Avanti.
  • SeControl Hubnon è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, scorrere fino ad Autenticazione, quindi scegliere Azioni > Importa metadati.
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fare clic su Avanti.

Se possibile, è necessario utilizzare l'opzione Più sicura. Ciò è possibile solo se l'IdP ha utilizzato una CA pubblica per firmare i relativi metadati.

In tutti gli altri casi, occorre utilizzare l'opzione Meno sicura. Ciò include se i metadati non sono firmati, autofirmati o firmati da una CA privata.


 

Okta non firma i metadati, pertanto è necessario scegliere Meno sicuro per un'SSO Okta.

3

Selezionare Test impostazione SSO e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP accedendo.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

RApp Webexerrore solitamente significa un problema con l'SSO impostazione. In questo caso, seguire nuovamente le operazioni, in particolare le operazioni da eseguire per copiare e incollare ilControl Hubmetadati nell'impostazione IdP.


 

Per visualizzare direttamente SSO'accesso , è possibile fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, è possibile accedere direttamente SSO. Questa operazione interrompe i false positives (falso) a causa del token di accesso che potrebbe essere in una sessione esistente dall'accesso.

4

Tornare aControl Hubscheda del browser.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attivare la SSO e fare clic su Avanti.
  • Se il test non è riuscito, selezionare Test non riuscito. Disattivare il SSO e fare clic su Avanti.

 

La SSO della configurazione del sistema non ha effetto nell'organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Operazione successivi

Utilizzare le procedure in Sincronizza utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da OKta nel cloud Webex.

Utilizzare le procedure in Sincronizza utenti Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Azure AD nel cloud Webex.

È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuoviApp Webexnella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Risoluzione dei problemi dell'integrazione Azure

Quando si esegue il test SAML, accertarsi di utilizzare Mozilla Firefox e installare la funzionalità di traccia SAML da https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Controllare l'asserzione che proviene da Azure per accertarsi che il formato di nameid sia corretto e che dispone di un'uid di attributo corrispondente a un utente inApp Webex.