- Home
- /
- Articolo
È possibile configurare un'integrazione Single Sign-On (SSO) tra Control Hub e una distribuzione che utilizza SimpleSAML come provider di identità (IdP).
Single Sign-On e Control Hub
Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.
Il protocollo di federazione Security Assertion Markup Language (SAML 2.0) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider identità (IdP).
Profili
L'app Webex supporta solo il profilo SSO del browser Web. Nel profilo SSO del browser Web, l'app Webex supporta le seguenti associazioni:
POST avviato da SP -> Associazione POST
REDIRECT avviato da SP -> Associazione POST
Formato NameID
Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. Webex App supporta i seguenti formati NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Nei metadati caricati dal IdP, la prima voce è configurata per l'uso in Webex.
Disconnessione singola
L'app Webex supporta il profilo di disconnessione singola. Nell'app Webex, un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare tale disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.
Integra Control Hub con SimpleSAML
Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad es. vengono documentate le fasi di integrazione per |
Imposta questa integrazione per gli utenti dell'organizzazione Webex (inclusi app Webex , Webex Meetings e altri servizi amministrati in Control Hub). Se il sito Webex è integrato in Control Hub, il sito Webex eredita la gestione utenti. Se non è possibile accedere a Webex Meetings in questo modo e non è gestito in Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Webex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).
Operazioni preliminari
Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:
Scaricare i metadati Webex nel sistema locale
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , quindi scorrere fino a Autenticazione , quindi attivare il Single Sign-On per avviare la procedura di installazione guidata. | ||
2 | Scegli il tipo di certificato per la tua organizzazione:
| ||
3 | Scarica il file dei metadati. Il nome del file di metadati Webex è idb-meta-<org-ID> -SP.xml . |
Converti metadati
1 | Aprire il file di metadati Webex esportato in un editor di testo. |
2 | Nel browser, aprire la home page simpleSAML ed eseguire l'accesso con le credenziali dell'amministratore. La posizione della home page varia, ma è in genere simile a questo URL di esempio: https://yourcompany.yourdomain.com/simplesaml. |
3 | Dalla pagina principale, fare clic su Federazione. |
4 | In strumenti, eseguire una conversione da XML a XML SAML semplice. |
5 | Copiare i metadati Webex dall'editor di testo, quindi incollarli nel campo di conversione XML. |
6 | Fare clic su Analisi. Vengono visualizzati i metadati convertiti. Questi dati verranno aggiunti al file di testo SP remoto. |
Crea file di metadati provider di servizi remoti
Queste fasi sono intese come esempio. La directory dei metadati e l'host IdP variano a seconda dell'impostazione del client.
Operazioni preliminari
Sii consapevole degli attributi che devi passare e mapp di conseguenza modificando il file di metadati saml20-idp-hosted.php
. (ad esempio, uid, mail, e-mail e così via). Vedere gli esempi di metadati:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | Nella configurazione SimpleSAML sull'host, andare alla directory dei metadati. |
2 | Utilizzando un editor di testo, incollare i dati analizzati alla fine di saml20-sp-remote.php e salvare il file. |
3 | Torna alla prima pagina di SimpleSAML, fai clic su Federation, quindi mostra i metadati per il provider di identità. |
4 | Incollare i dati in un nuovo file di testo. |
5 | Salvare il file aggiornato sul desktop con un nome significativo come simplesaml-metadata.xml. |
Importare i metadati IdP e abilitare il Single-Sign-On dopo un test
Dopo aver esportato i metadati Webex , configurato il tuo IdP e scaricato i metadati IdP nel sistema locale, sei pronto per importarli nell'organizzazione Webex da Control Hub.
Operazioni preliminari
Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.
1 | Scegli un'opzione:
| ||||
2 | Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fai clic su Avanti. È necessario utilizzare il file Più sicuro opzione, se possibile. Ciò è possibile solo se il provider di identità ha utilizzato un'Autorità di certificazione pubblica per firmare i metadati. In tutti gli altri casi, è necessario utilizzare il file Meno sicuro opzione. Ciò include se i metadati non sono firmati, autofirmati o firmati da un'Autorità di certificazione privata.
| ||||
3 | Selezionare Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.
| ||||
4 | Torna alla scheda del browser Control Hub.
|
Operazioni successive
Utilizzare le procedure in Sincronizza gli utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Okta al cloud Webex .
Utilizzare le procedure in Sincronizza gli utenti di Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utente da Azure AD nel cloud Webex .
È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.