Single Sign-On e Cisco Webex Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione Security Assertion Markup Language (SAML 2.0) viene utilizzato per fornire l'autenticazione SSO tra il cloud Cisco Webex e il provider di identità (IdP).

Profili

Cisco Webex supporta solo il profilo del SSO Web browser. Nel profilo SSO browser Web, Cisco Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. Cisco Webex supporta i seguenti formati di Id nome.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce viene configurata per l'uso in Cisco Webex.

Integra Cisco Webex Control Hub con Microsoft Azure


Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, viene documentata la procedura di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sono validi per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Cisco Webex (inclusi Cisco Webex , Cisco Webex Meetings e altri servizi amministrati in Cisco Webex Control Hub ). Se il sito Webex è integrato in Cisco Webex Control Hub, il sito Webex eredita la gestione utenti. Se non puoi accedere a Cisco Webex Meetings in questo modo e ciò non viene gestito in Cisco Webex Control Hub, devi eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

Operazioni preliminari

Per SSO e Cisco Webex Control Hub ,gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati come segue:


In Azure Active Directory, il provisioning è supportato solo in modalità manuale. Questo documento riguarda solo l Single Sign-On integrzione della rete (SSO).

Scarica i metadati Cisco Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, vai a Impostazioni, quindi scorri fino ad Autenticazione.

2

Fai clic su Modifica, fai clic su Integra un provider identità di terze parti. (Avanzate), quindi fai clic su Avanti.

3

Scarica il file dei metadati.

Il nome file dei metadati Cisco Webex è idb-meta-<org-ID>-SP.xml.

Configurazione delle impostazioni dell'applicazione Single Sign On in Azure

Operazioni preliminari

1

Accedere al portale Azure su https://portal.azure.com con le credenziali dell'amministratore.

2

Andare a Azure Active Directory per la propria organizzazione.

3

Andare ad Applicazioni aziendali, quindi fare clic su Aggiungi.

4

Fare clic su Add an application from the gallery (Aggiungi un'applicazione dallagalleria).

5

Nella casella di ricerca, digitare Cisco Webex.

6

Nel riquadro dei risultati, selezionare Cisco Webex , quindi fare clic su Aggiungi per aggiungere l'applicazione.

Viene visualizzato un messaggio che indica che l'applicazione è stata aggiunta correttamente.

7

Configurazione del Single Sign-On:

  1. Dopo aver creato il contratto per l'applicazione, andare alla scheda Single Sign-On e in Seleziona un metodo di single sign-onscegliere SAML.

  2. Nella pagina Imposta Single Sign-On con SAML, fare clic sull'icona Modifica per aprire Configurazione SAML dibase.

  3. Fare clic su Carica file di metadati, quindi scegliere il file di metadati scaricato da Cisco Webex Control Hub.

    Alcuni campi vengono automaticamente immessi.

  4. Copiare il valore dell'URL di risposta e incollarlo in URL di accesso , quindi salvare lemodifiche.

8

Andare a Gestione > utenti e gruppi , quindi scegliere gli utenti e i gruppi applicabili a cui si desidera concedere l'accesso Cisco Webex .

9

Nella pagina Imposta Single Sign-On con SAML, nella sezione Certificato di firma SAML, fare clic su Scarica per scaricare il file XML dei metadati federati e salvarlo sul computer.

10

Nella pagina Proprietà, accertarsi che Visibile agli utenti? sia impostato su No.

L'app Webex non è visibile agli utenti.

Importa i metadati IdP e abilita il Single Sign-On dopo un test

Dopo aver esportato i metadati Cisco Webex, configura l'IdP e scarica i metadati IdP sul sistema locale; a questo punto, puoi importarli nella tua organizzazione Cisco Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.

1

Scegli un'opzione:

  • Torna alla pagina Cisco Webex Control Hub - Esporta metadati directory nel browser, quindi fai clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista cliente in https://admin.webex.com, vai a Impostazioni, scorri fino ad Autenticazione, scegli Integra un provider di identità di terze parti (Avanzate), quindi fai clic su Avanti nella pagina del file di metadati attendibile (come hai già fatto in precedenza).
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fare clic su Avanti.

Utilizzare l'opzione più sicura se è possibile ( Richiedicertificato firmato da un'autorità di certificazione in Metadati). Ciò è possibile solo se l'IdP ha utilizzato una CA pubblica per firmare i relativi metadati.

In tutti gli altri casi, occorre utilizzare l'opzione meno sicura (Consenti certificato autofirmato in Metadati). Ciò include se i metadati non sono firmati, autofirmati o firmati da una CA privata.

3

Seleziona Prova connessione SSO; quando si apre una nuova scheda del browser, esegui l'autenticazione con IdP mediante l'accesso.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore di Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

4

Torna alla scheda del browser Control Hub.

  • Se il test viene superato, seleziona Test eseguito regolarmente. Abilita l'opzione Single Sign-On e fai clic su Avanti.
  • Se il test non viene superato, seleziona Test non eseguito regolarmente. Disabilita l'opzione Single Sign-On e fai clic su Avanti.

Operazione successivi

È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Risoluzione dei problemi dell'integrazione Azure Active Directory

Quando si esegue il test SAML, accertarsi di utilizzare Mozilla Firefox e installare la funzionalità di traccia SAML da https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Controllare l'asserzione che proviene da Azure per accertarsi che sia nel formato nameid corretto e che dispone di un'uid di attributo corrispondente a un utente in Cisco Webex.