Single Sign-on e Cisco Webex Teams

Il Single Sign-on (SSO) è un processo di autenticazione di sessione o utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni a cui sono stati assegnati i diritti. Elimina ulteriori richieste quando gli utenti commutano le applicazioni durante una determinata sessione.

Il protocollo federativo di Security Assertion Markup Language (SAML 2,0) viene utilizzato per fornire l'autenticazione SSO tra il Cisco Webex cloud e il provider di identità (IDP).

Profili

Cisco Webex Teams supporta solo il profilo SSO del browser Web. Nel profilo SSO del browser Web, Cisco Webex Teams supporta le seguenti associazioni:

  • SP ha avviato POST-> POST binding

  • Reindirizzamento avviata SP-> binding POST

Formato NameID

Il protocollo SAML 2,0 supporta diversi formati NameID per la comunicazione su un utente specifico. Cisco Webex Teams supporta i seguenti formati NameID.

  • urn: Oasis: nomi: TC: SAML: 2.0: NameID-formato: temporaneo

  • urn: Oasis: nomi: TC: SAML: 1.1: NameID-formato: non specificato

  • urn: Oasis: nomi: TC: SAML: 1.1: NameID-formato: emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso in Cisco Webex.

SingleLogout

Cisco Webex Teams supporta il profilo di disconnessione singolo. Nell' Cisco Webex Teams app, un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione SAML single per terminare la sessione e confermare la disconnessione con l'IDP. Assicurarsi che l'IdP sia configurato per SingleLogout.

Integrazione Cisco Webex Control Hub con SimpleSAML per Single Sign-on


Le guide alla configurazione mostrano un esempio specifico per l'integrazione SSO, ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, le operazioni di integrazione per NameID-Format urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient sono documentate. Altri formati come urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato o urn: Oasis: Names: TC: SAML: 1.1: nameid-format: EmailAddress funzionerà per l'integrazione SSO ma non rientra nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nella propria Cisco Webex organizzazione (inclusi Cisco Webex Teams, Cisco Webex Meetingse altri servizi amministrati in Cisco Webex Control Hub). Se il Webex sito è integrato Cisco Webex Control Hub, il Webex sito eredita la gestione utenti. Se non è possibile accedere Cisco Webex Meetings in questo modo e non è gestito in Cisco Webex Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings. (Vedere Configurare il Single Sign-on per WebEx per ulteriori informazioni nell'integrazione SSO in amministrazione sito.)

Prima di iniziare

Per SSO e Cisco Webex Control Hub, gli IDP devono essere conformi alla specifica SAML 2,0. Inoltre, gli IDP devono essere configurati nel modo seguente:
  • Impostare l'attributo di formato NameID su urn: Oasis: Names: TC: SAML: 2.0: nameid-format:Transient

  • Configurare un'attestazione sull'IdP per includere il nome dell'attributo UID con un valore mappato all'attributo scelto in Cisco connettore directory o l'attributo utente corrispondente a quello scelto in cisco WebEx servizio di identità. (Ad esempio, questo attributo può essere indirizzo e-mail o nome utente-principale). Per istruzioni, vedere le informazioni sull'attributo personalizzato in https://www.Cisco.com/go/Hybrid-Services-Directory .

  • Utilizzare un browser supportato: si consiglia l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitare qualsiasi blocco popup nel browser.

Scarica i Cisco Webex metadati nel sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a impostazioni, quindi scorrere fino a autenticazione.

2

Fare clic su modifica, quindi su integra un provider di identità di terze parti. (Avanzato), quindi fare clic su Avanti.

3

Scaricare il file di metadati.

Il Cisco Webex nome file di metadati è IDB-meta-<org-ID>-SP. XML.

Converti metadati

1

Aprire il Cisco Webex file di metadati esportato in un editor di testo.

2

Nel browser, aprire la Home page di simpleSAML e accedere con le credenziali dell'amministratore.

La posizione della pagina iniziale varia, ma in genere è simile all'URL di questo esempio: https://yourcompany.yourdomain.com/simplesaml.

3

Dalla pagina principale, fare clic su Federazione.

4

In strumenti, fare un XML per una semplice conversione XML SAML.

5

Copiare i Cisco Webex metadati dall'editor di testo, quindi incollarli nel campo Converti XML.

6

Fare clic su analizza.

Vengono visualizzati i metadati convertiti. Questi dati verranno aggiunti al file di testo SP remoto.

Crea file di metadati provider di servizi remoto

Queste operazioni sono intese come esempio. La directory dei metadati e l'ospite IdP variano a seconda dell'impostazione del client.

Prima di iniziare

Tenere presente gli attributi che è necessario passare e Mapp di conseguenza modificando il file di metadati saml20-IDP-Hosted. php. Ad esempio, UID, posta, e-mail e così via. Vedere i metadati di esempio:

' authproc ' = > Array (//converte i nomi LDAP in OID. 3 = > Array (' Class ' = >' SAML: AttributeNameID ',' attributo ' = >' mail ',' format ' = >' urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato ',), 50 = > Array (' Class ' = >' core: mapping ',' attributo ' = >' mail ',' mail ' = > Array (' UID ',' email ',' mail '),' sn ' = >' LastName ',' GIVENAME ' = >' FirstName ',),),

1

Nella configurazione SimpleSAML sull'organizzatore, andare a directory metadati.

2

Utilizzando un editor di testo, incollare i dati analizzati alla fine di saml20-SP-remote. php e salvare il file.

3

Tornare alla pagina anteriore SimpleSAML, fare clic su federazione, quindi mostrare i metadati per il provider di identità.

4

Incollare i dati in un nuovo file di testo.

5

Salvare il file aggiornato sul desktop con un nome significativo, ad esempio simplesaml-Metadata. XML.

Importare i metadati IdP e abilitare il Single Sign-on dopo un test

Dopo aver esportato i Cisco Webex metadati, aver configurato l'IDP e aver scaricato i metadati IDP nel sistema locale, si è pronti a importarli nella propria Cisco Webex organizzazione da Hub di controllo.

1

Scegliere un'opzione:

  • Tornare alla Cisco Webex Control Hub pagina-Esporta metadati Rubrica nel browser, quindi fare clic su Avanti.
  • Se Hub di controllo non è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, andare a impostazioni, scorrere fino a autenticazione, scegliere integra un provider di identità di terze parti (avanzato), quindi fare clic su Avanti su attendibile pagina file di metadati (perché è già stata eseguita prima).
2

Nella pagina importa metadati IdP, trascinare e rilasciare il file di metadati IdP nella pagina o utilizzare l'opzione del browser del file per individuare e caricare il file di metadati. Fare clic su Avanti.

Se i metadati non sono firmati, sono firmati con un certificato autofirmato o sono firmati con un'autorità di certificazione aziendale privata (CA), si consiglia di utilizzare Richiedi certificato firmato da un'autorità di certificazione in metadati (più sicuro). Se il certificato è autofirmato, è necessario scegliere l' opzione meno sicura .

3

Selezionare Test connessione SSOe quando viene aperta una nuova scheda del browser, eseguire l'autenticazione con l'IdP accedendo.


 

Se si riceve un errore di autenticazione, potrebbe essersi verificato un problema con le credenziali. Controllare il nome utente e la password e riprovare.

Un Webex Teams errore solitamente indica un problema con l'impostazione SSO. In questo caso, scorrere nuovamente le operazioni, in particolare le operazioni in cui vengono copiati e incollati i Hub di controllo metadati nell'impostazione IDP.

4

Tornare alla Hub di controllo scheda del browser.

  • Se il test è stato eseguito correttamente, selezionare questo test è stato eseguito correttamente. Abilitare l'opzione Single Sign-on e fare clic su Avanti.
  • Se il test non è riuscito, selezionare questo test non riuscito. Disabilitare l'opzione Single Sign-on e fare clic su Avanti.

Operazioni successive

È possibile seguire la procedura in sopprimere i messaggi E-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi Webex Teams utenti nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella propria organizzazione.