Single Sign-on e Webex Control Hub

Il Single Sign-on (SSO) è un processo di autenticazione di sessione o utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni a cui è concesso il diritto. Elimina ulteriori prompt quando gli utenti passano le applicazioni durante una sessione particolare.

Il protocollo di Federazione Security Assermarkup Language (SAML 2,0) viene utilizzato per fornire SSO autenticazione tra il cloud Cisco Webex e il provider di identità (IdP).

Profili

Cisco Webex Teams supporta solo il profilo del SSO del browser Web. Nel profilo del SSO del browser Web, Cisco Webex Teams supporta le seguenti associazioni:

  • SP ha avviato POST-> binding POST

  • SP avviato REDIRECT-> POST binding

Formato NameID

Il protocollo SAML 2,0 supporta diversi formati NameID per la comunicazione su un determinato utente. Cisco Webex Teams supporta i seguenti formati NameID.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso in Cisco Webex.

SingleLogout

Cisco Webex Teams supporta il profilo di disconnessione singolo. Nell'app Cisco Webex Teams, un utente può disconnettersi dall'applicazione, che utilizza il protocollo Single logout di SAML per terminare la sessione e confermare la disconnessione con l'IdP. Assicurarsi che l'IdP sia configurato per SingleLogout.

Integra Cisco Webex Control Hub con PingFederate per Single Sign-on


Le guide alla configurazione mostrano un esempio specifico per SSO integrazione, ma non forniscono una configurazione completa per tutte le possibilità. Ad esempio, le operazioni di integrazione di NameID-formato urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient sono documentate. Altri formati come urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato o urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress funzionerà per l'integrazione SSO ma non rientra nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Cisco Webex (inclusi Cisco Webex Teams, Cisco Webex Meetings e altri servizi amministrati in Cisco Webex Control Hub). Se il sito di Webex è integrato in Cisco Webex Control Hub, il sito di Webex eredita la gestione utenti. Se non è possibile accedere a Cisco Webex Meetings in questo modo e non è gestita in Cisco Webex Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings. (Vedere Configurare il Single Sign-on per Webex per ulteriori informazioni sull'integrazione di SSO in amministrazione sito.)

Prima di iniziare

Per SSO e Cisco Webex Control Hub, gli IDP devono essere conformi alla specifica SAML 2,0. Inoltre, gli IDP devono essere configurati nel modo seguente:
  • Impostare l'attributo NameID Format su urn: Oasis: Names: TC: SAML: 2.0: nameid-format:Transient

  • Configurare un reclamo sull'IdP per includere il nome dell' attributo UID con un valore mappato all'attributo scelto in Cisco connettore directory o l'attributo utente corrispondente a quello scelto nel Cisco Webex servizio di identità. (Questo attributo potrebbe essere indirizzi e-mail E-mail o nome-entità utente, ad esempio.) Per istruzioni, vedere le informazioni sugli attributi personalizzati in https://www.Cisco.com/go/Hybrid-Services-Directory .

  • Usa un browser supportato: si consiglia l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitare eventuali blocchi popup nel browser.

Scaricare i metadati Cisco Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a impostazioni, quindi scorrere fino a autenticazione.

2

Fare clic su modifica, fare clic su integra un provider di identità di terze parti. (Avanzate), quindi fare clic su Avanti.

3

Scaricare il file di metadati.

Il nome file del Cisco Webex Metadata è IDB-meta-<org-ID>-SP. XML.

Configurazione di una nuova connessione provider di servizi

1

Andare al portale di amministrazione PingFederate (https://<FQDN of="" PingFederate="">: 9999/pingfederate/app).

2

In connessioni SP, selezionare Crea nuovo.

3

Selezionare il pulsante di opzione non utilizzare un modello per questa connessione , quindi selezionare Avanti.

4

Selezionare Browser SSO profili, quindi fare clic su Avanti.

5

Selezionare la scheda Importa metadati .

6

Fare clic su Scegli file per individuare e importare il file di metadati scaricato da Cisco Webex Control Hub, quindi fare clic su Avanti.

7

Rivedere le informazioni nella scheda informazioni generali, quindi fare clic su Chiudi.

Configura Single Sign on del browser

1

Dal portale di amministrazione PingFederate, selezionare Configura Browser SSO.

2

Selezionare la casella di controllo SSO avviato da SP , quindi fare clic su Avanti.

3

Selezionare Configura creazione asserzione.

  1. Modificare il formato NameID in transient e selezionare la casella di controllo Includi attributi oltre all'identificatore temporaneo .

  2. Estendere gli attributi contrattuali aggiungendo gli attributi di posta e UID nel formato urn: Oasis: Names: TC: SAML: 2.0: attrName-Format-Basic, quindi fare clic su Avanti.

  3. Selezionare associa nuova istanza di adattatore per scegliere un meccanismo di autenticazione. Dall'elenco a discesa istanza adattatore, selezionare uno dei meccanismi di autenticazione configurati in precedenza, quindi fare clic su Avanti.

  4. Selezionare Recupera attributi aggiuntivi da più archivi dati utilizzando una pulsante di opzione di mappatura , quindi fare clic su Avanti.

  5. Selezionare Aggiungi origine attributo per aggiungere il controller di dominio Active Directory per il dominio, quindi fare clic su Avanti.

  6. Specificare il DN di base e selezionare la classe di oggetti radice <Show All="" Attributes="">. Nella casella di testo filtro, inserire il filtro LDAP, quindi fare clic su Avanti.

    La voce deve contenere l'attributo che si prevede di fornire all'utente. Inoltre, deve contenere il valore mappato nelle origini LDAP. Ad esempio, se Active Directory è impostato su Filtra sull'attributo di accesso Windows, inserire sAMAccountName = $ {username}.

  7. Selezionare l'origine e il valore per mappare gli attributi di asserzione con gli attributi forniti dal datastore AD. (Non inserire alcun elemento per i criteri di rilascio).

  8. Verificare che la configurazione asserzione disponga di mappatura identità impostata su transitoria, attributo di contratto impostato su UIDe istanze di adattatori impostate su 1.


     

    L'attributo UID deve essere costituito da un mapping all'indirizzo e-mail dell'utente.

4

Selezionare Configura impostazioni protocollo.

  1. Per le associazioni SAML consentite, selezionare solo le caselle di controllo post e reindirizza .

  2. Per i criteri di firma, selezionare Esegui sempre l'asserzione SAML.

    Le impostazioni del protocollo devono essere simili alle seguenti.

  3. Selezionare Configura credenziali per configurare il certificato per l'asserzione.

  4. Selezionare il certificato già creato per le asserzioni SAML.

5

Nella schermata Attivazione e riepilogo, impostare lo stato della connessione su attivo.

Esporta metadati di PingFederate

1

Nella schermata principale, fare clic su Gestisci tutto SP.

2

Individuare la connessione appena creata e fare clic su Esporta metadati.

3

Scegliere il certificato da utilizzare per la firma del file esportato dal menu a discesa.

4

Fare clic su Esporta.

Importare i metadati IdP e abilitare il Single Sign-on dopo un test

Dopo aver esportato i metadati Cisco Webex, configurare l'IdP e scaricare i metadati IdP nel sistema locale, è possibile importarlo nell'organizzazione Cisco Webex da Control Hub.

Prima di iniziare

Non eseguire il test dell'integrazione SSO dall'interfaccia IdP (Identity Provider). Supportiamo solo flussi avviati a provider di servizi (avvio da SP), pertanto è necessario utilizzare il test dell'hub di controllo SSO per questa integrazione.

1

Scegliere un'opzione:

  • Tornare alla pagina Cisco Webex Control Hub – Esporta metadati directory nel browser, quindi fare clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, andare a impostazioni, scorrere fino a autenticazione, scegliere integra un provider di identità di terze parti (Advanced), quindi fare clic su Avanti sulla pagina del file di metadati attendibili (poiché è già stato eseguito).
2

Nella pagina importa metadati IdP, trascinare e rilasciare il file di metadati IdP sulla pagina o utilizzare l'opzione browser file per individuare e caricare il file di metadati. Fare clic su Successiva.

Se i metadati non sono firmati, sono firmati con un certificato autofirmato o sono firmati con un'autorità di certificazione (CA) Enterprise privata, si consiglia di utilizzare il certificato di richiesta firmato da un'autorità di certificazione nei metadati (più sicuro). Se il certificato è autofirmato, è necessario scegliere l' opzione meno sicura .

3

Selezionare test SSO connessionee quando viene aperta una nuova scheda del browser, eseguire l'autenticazione con l'IdP effettuando l'accesso.


 

Se si riceve un errore di autenticazione, potrebbe essersi verificato un problema con le credenziali. Controllare il nome utente e la password e riprovare.

Un errore di Webex Teams solitamente indica un problema con l'impostazione della SSO. In questo caso, eseguire nuovamente la procedura, in particolare i passaggi in cui copiare e incollare i metadati dell'hub di controllo nell'impostazione IdP.

4

Tornare alla scheda del browser Control Hub.

  • Se il test è stato eseguito correttamente, selezionare questo test è stato eseguito correttamente. Abilitare l'opzione Single Sign on e fare clic su Avanti.
  • Se il test non è riuscito, selezionare questo test non è riuscito. Disabilitare l'opzione Single Sign on e fare clic su Avanti.

Operazioni successive

È possibile seguire la procedura per sopprimere i messaggi E-mail automatizzati per disabilitare i messaggi e-mail inviati ai nuovi Webex teams utenti nella propria organizzazione. Il documento contiene anche procedure consigliate per l'invio di comunicazioni agli utenti nella propria organizzazione.