Single Sign-On e Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione SAML 2.0 (Security Assertion Markup Language) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider di identità (IdP).

Profili

L'app Webex supporta solo il profilo SSO web browser. Nel profilo web SSO, l'app Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. L'app Webex supporta i seguenti formati di NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce viene configurata per l'uso in Webex.

Disconnessione singola

L'app Webex supporta il profilo di disconnessione singola. Nell'app Webex, un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare la disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.

Integrazione di Control Hub con PingFederate

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, sono documentati i passaggi di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzioneranno per l'integrazione SSO, ma sono al di fuori dello scopo della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Webex (inclusi app Webex, Webex Meetingse altri servizi amministrati in Control Hub). Se il sito Webex è integrato in Control Hub, il sito Webex eredita la gestione degli utenti. Se non è possibile accedere Webex Meetings in questo modo e non è gestito in Control Hub, è necessario eseguire un'integrazione separata per abilitare le SSO per Webex Meetings.

Operazioni preliminari

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:

Scarica i metadati Webex sul sistema locale

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità e fai clic su Attiva SSO.

4

Selezionare un IdP.

5

Scegliere il tipo di certificato per la propria organizzazione:

  • Autofirmato da Cisco—Consigliamo questa scelta. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica—Più sicuro, ma sarà necessario aggiornare frequentemente i metadati (a meno che il fornitore dell'IdP non supporti i trust anchor).

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

6

Scarica il file dei metadati.

Il nome del file dei metadati Webex è idb-meta-<org-ID>-SP.xml.

Configura una nuova connessione di provider di servizi

1

Vai al portale di amministrazione di PingFederate (https://:9999/pingfederate/app).

2

In CONNESSIONISP, selezionare Crea nuovo .

3

Selezionare il modello Non utilizzare un modello per questo modello di pulsante di opzione, quindi selezionare Avanti .

4

Selezionare Browser SSO , quindi fare clic su Avanti .

5

Selezionare la scheda Importa metadati.

6

Fare clic su Scegli file per cercare e importare il file di metadati scaricato da Control Hub, quindi fare clic su Avanti.

7

Esaminare le informazioni nella scheda Informazioni generali, quindi fare clic su Fatto.

Configura Single Sign On del browser

1

Dal portale di amministrazione PingFederate, selezionare Configura browser SSO.

2

Selezionare la casella di controllo Avviato SSO SP, quindi fare clic su Avanti.

3

Selezionare Configura creazione asserzione.

  1. Modificare il formato di NameID in Transient e selezionare la casella di controllo Includi attributi oltre all'identificativo transitorio.

  2. Estendi gli attributi del contratto aggiungendo gli attributi mail e uid nel formato urn:oasis:names:tc:SAML:2.0:attrname-format-basic, quindi fai clic su Avanti.

  3. Selezionare Associa nuova istanza adattatore per selezionare un meccanismo di autenticazione. Dall'elenco a discesa ISTANZA ADATTATORE, selezionare uno dei meccanismi di autenticazione configurati in precedenza, quindi fare clic su Avanti .

  4. Selezionare Recupera attributi aggiuntivi da più data store utilizzando una sola pulsante di opzione, quindi fare clic su Avanti.

  5. Selezionare Aggiungi origine attributo per aggiungere il controller di Active Directory per il dominio, quindi fare clic su Avanti.

  6. Specificare il DN di base e selezionare la classe di oggetto radice <Show All Attributes>. Nella casella di testo Filter (Filtro) inserire il filtro LDAP, quindi fare clic su Next(Avanti).

    La voce deve contenere l'attributo che si prevede l'utente fornirà. Deve anche contenere il valore che esegue la mappatura nelle origini LDAP. Ad esempio, se Active Directory è impostato per filtrare l'attributo di accesso Windows, inserire sAMAccountName=${Username}.

  7. Selezionare l'origine e il valore per associare gli attributi dell'asserzione agli attributi forniti dal datastore AD. (Non inserire dati per i criteri di emissione.)

  8. Verificare che la configurazione dell'asserzione sia impostata su Transient , Contratto attributo impostato su uid e istanze adattatore impostate su 1.

    L'attributo uid deve mappare all'indirizzo e-mail dell'utente.

4

Selezionare Configura impostazioni protocollo.

  1. Per Associazioni SAML consentite, selezionare solo le caselle di controllo POST e Reindirizza.

  2. Per Criteri firma, selezionare Firma sempre l'asserzione SAML.

    Le impostazioni di protocollo devono essere simili alle seguenti.

  3. Selezionare Configura credenziali per configurare il certificato per l'asserzione.

  4. Selezionare il certificato già creato per le asserzioni SAML.

5

Nella schermata Attivazione e riepilogo, impostare lo Stato connessione su Attivo.

Esporta metadati da PingFederate

1

Nella schermata principale, fare clic su Gestisci tutti SP.

2

Individuare la connessione appena creata e fare clic su Export Metadata (Esportametadati).

3

Scegliere dal menu a discesa il certificato da utilizzare per la firma del file esportato.

4

Fare clic su Esporta.

Importare i metadati IdP e abilitare l Single Sign-On dopo un test

Dopo aver esportato i metadati Webex , configurato l'IdP e scaricato i metadati IdP nel sistema locale, è possibile importarli nell'organizzazione Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Supportiamo solo flussi avviati a provider di servizi (avvio da SP), pertanto è necessario utilizzare il test dell'hub di controllo SSO per questa integrazione.

1

Scegli un'opzione:

  • Torna alla pagina di selezione del certificato Control Hub nel tuo browser, quindi fai clic su Avanti.
  • Riapri Control Hub se non è più aperto nella scheda del browser. Dalla vista cliente in Control Hub, vai a Gestione > Sicurezza > Autenticazione, seleziona l'IdP e poi scegli Azioni > Importa metadati.
2

Nella pagina Importa metadati IdP, trascina e rilascia il file di metadati IdP sulla pagina oppure utilizza l'opzione di esplorazione file per individuare e caricare il file di metadati. Fare clic su Avanti.

Se possibile, è necessario utilizzare l'opzione Più sicura. Ciò è possibile solo se l'IdP ha utilizzato una CA pubblica per firmare i relativi metadati.

In tutti gli altri casi, occorre utilizzare l'opzione Meno sicura. Ciò include se i metadati non sono firmati, autofirmati o firmati da una CA privata.

Okta non firma i metadati, pertanto è necessario scegliere Meno sicuro per un'SSO Okta.

3

Selezionare Test configurazione SSOe, quando si apre una nuova scheda del browser, autenticarsi con l'IdP effettuando l'accesso.

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa operazione interrompe i false positives (falso) a causa del token di accesso che potrebbe essere in una sessione esistente dall'accesso.

4

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attivare la SSO e fare clic su Avanti.
  • Se il test non è riuscito, selezionare Test non riuscito. Disattivare il SSO e fare clic su Avanti.

La SSO della configurazione del sistema non ha effetto nella propria organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Operazione successivi

Utilizzare le procedure in Sincronizza utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da OKta nel cloud Webex.

Utilizzare le procedure in Sincronizza utenti Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Azure AD nel cloud Webex.

È possibile seguire la procedura descritta in Sopprimi e-mail automatiche per disabilitare le e-mail inviate ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.