シングル サインオンと Cisco Webex Teams

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーション プロトコルは、Cisco Webex クラウドとお使いの ID プロバイダー (IdP) の間の SSO 認証を提供するために使用されます。

プロファイル

Cisco Webex Teams Web ブラウザー SSO プロファイルのみをサポートします。 ウェブ ブラウザー SSO プロファイルでは、Cisco Webex Teams は以下のバインディングをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NameID 形式

SAML 2.0 プロトコルは、特定のユーザーについて通信するためにいくつかの NameID 形式をサポートします。Cisco Webex Teams は次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータにおいて、最初のエントリは Cisco Webex で設定されます。

SingleLogout

Cisco Webex Teams は、シングル ログアウト プロファイルをサポートします。 Cisco Webex Teams アプリにおいて、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることにより、セッションを終了し、IdP でのサインアウトを確認することができます。 IdP が SingleLogout に対して構成されていること確認してください。

シングル サインオン向け Shibboleth で Cisco Webex Control Hub を統合する


構成ガイドでは、SSO 統合の特定の例について説明します。すべての可能性に対応する構成を網羅的に扱っているわけではありません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient の統合のステップは説明しています。 他の形式、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress なども SSO 統合で機能しますが、これは本書の範囲を超えています。

この統合を Cisco Webex 組織のユーザー (Cisco Webex TeamsCisco Webex Meetings、および Cisco Webex Control Hub で管理される他のサービスを含む) のためにセットアップします。 WebexCisco Webex Control Hub で統合されている場合、Webex は、ユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります (サイト管理における SSO 統合の詳細については、「Webex のシングル サインオンの構成」を参照してください)。

統合手順は Web サーバーとして Tomcat 7 をインストールした、CentOS 7 の Shibboleth 2.4.5 を基にしています。

始める前に

SSO および Cisco Webex Control Hub について、IdP は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdP は以下のように設定されている必要があります。
  • [NameID Format] 属性を [urn:oasis:names:tc:SAML:2.0:nameid-format:transient] に設定します。

  • IdP 上の要求を構成して、Cisco Directory Connector で選択した属性にマップされている値を持つ [uid] 属性名を含めるか、または Cisco Webex アイデンティティ サービスで選択したものとマッチするユーザー属性を含めるようにします (この属性は、たとえば E-mail-Addresses または User-Principal-Name などにできます)。 この点のガイダンスについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性についての説明を参照してください。

  • サポートされているブラウザを使用する。 最新版の Mozilla Firefox または Google Chrome を推奨します。

  • ブラウザーのポップアップブロッカー機能をすべて無効化します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.comの顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックし、[サードパーティ アイデンティティ プロバイダーの統合 (高度)]をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

Shibboleth ファイルの認証を設定する

Shibboleth をインストールした後、構成ファイルがサンプルと共に提供されます。

1

ディレクトリ /opt/shibboleth-idp/conf を開いてサンプル ファイルにアクセスしてください。

2

たとえば Active Directory に紐付けされた LDAP など、どちらの認証方法を使用するかを決めてください。

3

handler.xml ファイルを以下の通り編集します。

コメント解除

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Comment

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

認証を許可するため、お使いの Active Directory の詳細を入力してください。 ファイル login.config に構成を追加します。

例:

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net" bindCredential="ThePassword"; };

SAML アサーション向け Shibboleth サービス プロバイダー のコンポーネントを設定する

1

CI からディレクトリ /opt/shibboleth-idp/metadata にダウンロードしたファイルを追加します。

2

relying-party.xml ファイルを編集し、DefaultRelyingParty タグの後に、Cisco Webex 用の SAML アサーションの詳細を追加します。

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Id については、Cisco Webex メタデータ ファイルから EntityID 値を使用する必要があります。 サンプルの ID を所属組織の EntityID に置き換えてください。

3

metadata:MetadataProvider タグで、以下の通りファイルの場所を追加してください。

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP メタデータは、Cisco Webex 組織のためにメタデータをアップロードした場所の Shibboleth ファイル システムのファイルから取り出されます。

アサーション属性を設定する

1

Data Connector セクションで、ユーザーに関する属性を検索する場所を指定します。

例:

Active Directory 、 MyLDAP の id で

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

属性定義のセクションで、transientID の構成に既にあるものを保存してください。

3

SP が期待している追加属性を追加し、それが属性ソースにマッピングするものを定義します。

例:

属性メール (Active Directory のメール アドレス属性) を uid (Cisco Webex のユーザー ID) にマッピングします。
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

attribute-filter.xml ファイルの各 SP 合意に提供する属性を定義します。

uid 属性をユーザーのメール アドレスにマッピングする Cisco Webex に提供します。

例:

uid 属性を Cisco Webex の SP 合意にリリースします。

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

attribute-resolver.xml で作成したルールは、mail-attr 属性を Cisco Webex と一致する EntityID に対してリリースするポリシーを持つ必要があります。

5

/opt/shibboleth-idp/metadata の Shibboleth サーバーからメタデータ ファイルをダウンロードします。 ファイル名は idp-metadata.xml です。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードします。これでお使いの Cisco Webex 組織に Control Hub からインポートする準備ができました。

1

いずれか 1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub– ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前、それを行っているため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関 (CA) により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、[安全性が低い] オプションを選択する必要があります。

3

[SSO 接続のテスト]を選択して、新しいブラウザ タブが開いたら、サインインすることによって、IdP で認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、[このテストは成功しました] を選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックします。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックします。

次のタスク

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。