Single Sign-On e Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione SAML 2.0 (Security Assertion Markup Language) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider di identità (IdP).

Profili

L'app Webex supporta solo il profilo SSO web browser. Nel profilo web SSO, l'app Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. L'app Webex supporta i seguenti formati di NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso in Webex.

Disconnessione singola

L'app Webex supporta il profilo di disconnessione singola. Nell'app Webex , un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare la disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.

Integrazione di Control Hub con SimpleSAML


Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, viene documentata la procedura di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sono validi per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Webex (inclusi app Webex , Webex Meetings e altri servizi amministrati in Control Hub ). Se il sito Webex è integrato in ControlHub, il sito Webex eredita la gestione degli utenti. Se non è possibile accedere Webex Meetings in questo modo e non è gestito in Control Hub , è necessario eseguire un'integrazione separata per abilitare le SSO per Webex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

Operazioni preliminari

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati come segue:

Scarica i metadati Webex sul sistema locale

1

Dalla vista del cliente in , andare a Gestione > Impostazioni organizzazione , quindi scorrere fino ad Autenticazione , quindi attivare l'impostazione https://admin.webex.com Single Sign-On per avviare la procedura di installazione guidata.

2

Scegliere il tipo di certificato per la propria organizzazione:

  • Autofirmato daCisco: questa scelta è consigliata. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmata da un'autorità di certificazione pubblica: più sicura, ma occorre aggiornare frequentemente i metadati (a meno che il fornitore idP non supporti glitrust anchor).

 

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

3

Scarica il file dei metadati.

Il nome file di metadati Webex èidb-meta-<org-ID>-SP.xml.

Converti metadati

1

Aprire il file dei metadati Webex esportato in un editor di testo.

2

Nel browser, aprire la home page simpleSAML e accedere con le credenziali dell'amministratore.

La posizione della home page varia, ma è solitamente simile all'URL seguente: https://yourcompany.yourdomain.com/simplesaml.

3

Dalla pagina principale, fare clic su Federation(Federazione).

4

In strumenti, eseguire una conversione da XML in SEMPLICE XML SAML.

5

Copiare i metadati Webex dall'editor di testo e incollarli nel campo DI conversione XML.

6

Fare clic su Parse(Analizza).

Vengono visualizzati i metadati convertiti. Questi dati verranno aggiunti al file di testo SP remoto.

Crea file metadati provider servizi remoto

Queste operazioni sono da intendersi come esempio. La directory dei metadati e l'host IdP variano in base all'impostazione del client.

Operazioni preliminari

Tenere presente gli attributi che è necessario passare e utilizzare di conseguenza modificando il file di metadati saml20-idp-hosted.php. (Ad esempio, uid, mail, email e così via). Vedere i metadati di esempio:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

Nella configurazione SimpleSAML sull'host, andare alla directory dei metadati.

2

Utilizzando un editor di testo, incollare i dati analizzati alla fine di saml20-sp-remote.php e salvare il file.

3

Tornare alla pagina anteriore SimpleSAML, fare clic su Federazionee visualizzare i metadati per il provider di identità.

4

Incollare i dati in un nuovo file di testo.

5

Salvare il file aggiornato sul desktop con un nome significativo, come simplesaml-metadata.xml.

Importare i metadati IdP e abilitare la Single Sign-On dopo un test

Dopo aver esportato i metadati Webex, configurato l'IdP e scaricato i metadati IdP nel sistema locale, è possibile importarli nell'organizzazione Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.

1

Scegli un'opzione:

  • Tornare alla pagina Control Hub – selezione del certificato nel browser, quindi fare clic su Avanti .
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente in , andare a Gestione > Impostazioni organizzazione , scorrere fino ad Autenticazione e scegliere Azioni https://admin.webex.com > Importa metadati.
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fare clic su Avanti.

Se possibile, è necessario utilizzare l'opzione Più sicura. Ciò è possibile solo se l'IdP ha utilizzato una CA pubblica per firmare i relativi metadati.

In tutti gli altri casi, occorre utilizzare l'opzione Meno sicura. Ciò include se i metadati non sono firmati, autofirmati o firmati da una CA privata.

3

Selezionare Test SSO impostazione e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP accedendo.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.


 

Per visualizzare direttamente SSO'accesso, è possibile fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, è possibile accedere direttamente SSO. Questa operazione interrompe i false positives (falso) a causa del token di accesso che potrebbe essere in una sessione esistente dall'accesso.

4

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attivare la SSO e fare clic su Avanti.
  • Se il test non è riuscito, selezionare Test non riuscito. Disattivare il SSO fare clic su Avanti.

 

La SSO della configurazione del sistema non ha effetto nell'organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Operazione successivi

È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.