Single Sign-On e Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione Security Assertion Markup Language (SAML 2.0) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider identità (IdP).

Profili

L'app Webex supporta solo il profilo SSO del browser Web. Nel profilo SSO del browser Web, l'app Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. Webex App supporta i seguenti formati NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dal IdP, la prima voce è configurata per l'uso in Webex.

Disconnessione singola

L'app Webex supporta il profilo di disconnessione singola. Nell'app Webex, un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare tale disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.

Integra Control Hub con PingFederate


 

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad es. vengono documentate le fasi di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzioneranno per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Imposta questa integrazione per gli utenti dell'organizzazione Webex (inclusi app Webex , Webex Meetings e altri servizi amministrati in Control Hub). Se il sito Webex è integrato in Control Hub, il sito Webex eredita la gestione utenti. Se non è possibile accedere a Webex Meetings in questo modo e non è gestito in Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Webex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

Operazioni preliminari

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:

Scaricare i metadati Webex nel sistema locale

1

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , quindi scorrere fino a Autenticazione , quindi attivare il Single Sign-On per avviare la procedura di installazione guidata.

2

Scegli il tipo di certificato per la tua organizzazione:

  • Autofirmato da Cisco —Si consiglia questa scelta. Consente di firmare il certificato in modo che sia necessario rinnovarlo solo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica —Più sicuro, ma dovrai aggiornare frequentemente i metadati (a meno che il fornitore IdP non supporti i trust anchor).

 

I trust anchor sono chiavi pubbliche che fungono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

3

Scarica il file dei metadati.

Il nome del file di metadati Webex è idb-meta-<org-ID> -SP.xml .

Configurazione di una nuova connessione del provider di servizi

1

Andare al portale di amministrazione PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

In CONNESSIONI SP, selezionare Crea nuovo.

3

Selezionare il pulsante di opzione Non utilizzare un modello per questa connessione, quindi selezionare Avanti.

4

Selezionare Profili SSO browser, quindi fare clic su Avanti.

5

Selezionare la scheda Importa metadati.

6

Fai clic su Scegli file per sfogliare e importare il file di metadati scaricato da Control Hub, quindi fai clic su Avanti.

7

Esaminare le informazioni nella scheda General Info (Informazioni generali), quindi fare clic su Done (Fatto).

Configurazione dell'accesso singolo del browser

1

Dal portale di amministrazione PingFederate, selezionare Configura SSO browser.

2

Selezionare la casella di controllo SSO avviato da SP, quindi fare clic su Avanti.

3

Selezionare Configura creazione asserzione.

  1. Modificare il formato NameID in Transient e selezionare la casella di controllo Include attributi in aggiunta alla casella di controllo Transient identifier .

  2. Estendi gli attributi del contratto aggiungendo attributi mail e uid nel formato urn:oasis:names:tc:SAML:2.0:attrname-format-basic, quindi fare clic su Avanti.

  3. Selezionare Mappa nuova istanza adattatore per selezionare un meccanismo di autenticazione. Dall'elenco a discesa ADAPTER INSTANCE, selezionare uno dei meccanismi di autenticazione configurati in precedenza, quindi fare clic su Next (Avanti).

  4. Selezionare il pulsante di opzione Recupera attributi aggiuntivi da più archivi dati utilizzando un pulsante di opzione di mappatura, quindi fare clic su Avanti.

  5. Selezionare Aggiungi origine attributo per aggiungere il controller di dominio Active Directory per il dominio, quindi fare clic su Avanti.

  6. Specificare il DN base e selezionare la classe di oggetto principale <Show All="" Attributes="">. Nella casella di testo Filtro, immettere il filtro LDAP, quindi fare clic su Avanti.

    La voce deve contenere l'attributo che l'utente deve fornire. Deve inoltre contenere il valore a cui è associato nelle fonti LDAP. Ad esempio, se l'active directory è impostato per il filtro sull'attributo di accesso Windows, immettere sAMAccountName=${Username}.

  7. Selezionare l'origine e il valore per mappare gli attributi dell'asserzione con gli attributi forniti dal datastore AD. (Non immettere nulla per i criteri di emissione.)

  8. Verificare che nella configurazione dell'asserzione sia impostata la mappatura dell'identità su Transient, Attribute Contract su uid e Adapter Instance su 1.


     

    L'attributo uid deve essere mappato all'indirizzo e-mail dell'utente.

4

Selezionare Configura impostazioni protocollo.

  1. Per le associazioni SAML consentite, selezionare solo le caselle di controllo POST e Redirect.

  2. Per i criteri di firma, selezionare Firma sempre l'asserzione SAML.

    Le impostazioni del protocollo devono apparire come segue.

  3. Selezionare Configura credenziali per configurare il certificato per l'asserzione.

  4. Selezionare il certificato già creato per le asserzioni SAML.

5

Nella schermata Attivazione e Riepilogo, impostare lo Stato connessione su Attivo.

Esporta metadati da PingFederate

1

Nella schermata principale, fare clic su Gestisci tutto SP.

2

Trova la connessione appena creata e fai clic su Esporta metadati.

3

Scegliere il certificato da utilizzare per firmare il file esportato dall'elenco a discesa.

4

Fare clic su Esporta.

Importare i metadati IdP e abilitare il Single-Sign-On dopo un test

Dopo aver esportato i metadati Webex , configurato il tuo IdP e scaricato i metadati IdP nel sistema locale, sei pronto per importarli nell'organizzazione Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.

1

Scegli un'opzione:

  • Ritornare alla pagina di selezione del certificato Control Hub - nel browser, quindi fare clic su Avanti .
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione , quindi scegliere Azioni > Importa metadati .
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fai clic su Avanti.

È necessario utilizzare il file Più sicuro opzione, se possibile. Ciò è possibile solo se il provider di identità ha utilizzato un'Autorità di certificazione pubblica per firmare i metadati.

In tutti gli altri casi, è necessario utilizzare il file Meno sicuro opzione. Ciò include se i metadati non sono firmati, autofirmati o firmati da un'Autorità di certificazione privata.


 

Okta non firma i metadati, quindi devi scegliere Meno sicuro per un'integrazione Okta SSO .

3

Selezionare Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l'impostazione SSO . In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.


 

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questo passaggio consente di impedire i falsi positivi a causa di un token di accesso che potrebbe trovarsi in una sessione esistente dopo aver eseguito l'accesso.

4

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test eseguito correttamente. Attiva SSO e fare clic Avanti .
  • Se il test non ha esito positivo, selezionare Test non riuscito. Disattiva SSO e fare clic Avanti .

 

La configurazione SSO non ha effetto nell'organizzazione a meno che non si scelga Primo pulsante di opzione opzione e si attivi SSO.

Operazioni successive

Utilizzare le procedure in Sincronizza gli utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Okta al cloud Webex .

Utilizzare le procedure in Sincronizza gli utenti di Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utente da Azure AD nel cloud Webex .

È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.