싱글 사인온 및 Control Hub

싱글 사인온(SSO)은 사용자가 자격 증명을 제공하여 한 개 이상의 응용프로그램에 액세스할 수 있도록 허용하는 세션 또는 사용자 인증 프로세스입니다. 해당 프로세스는 사용 권한이 있는 모든 응용프로그램에 대한 사용자를 인증합니다. 이는 특정 세션 중에 사용자가 응용프로그램을 전환할 때 추가 프롬프트를 제거합니다.

SAML 2.0(Security Assertion Markup Language) 페더레이션 프로토콜은 Webex 클라우드와 ID 제공자(IdP) 간의 SSO 인증을 제공하기 위해 사용됩니다.

프로필

Webex 앱은 웹 브라우저 SSO 프로필만 지원합니다. 웹 브라우저 SSO 프로필에서 Webex 앱은 다음 바인딩을 지원합니다.

  • SP 시작한 POST -> POST 바인딩

  • SP 시작한 REDIRECT -> POST 바인딩

NameID 형식

SAML 2.0 프로토콜은 특정 사용자에 대한 통신의 목적으로 다양한 NameID 형식을 지원합니다. Webex 앱은 다음 NameID 형식을 지원합니다.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP로부터 로드한 메타데이터에서 Webex에서 사용할 첫 번째 항목이 구성됩니다.

싱글 로그아웃

Webex 앱은 싱글 로그아웃 프로필을 지원합니다. Webex 앱에서 사용자는 응용프로그램에서 로그아웃할 수 있으며, 이는 SAML 싱글 로그아웃 프로토콜을 사용하여 세션을 종료하고 IdP의 로그아웃을 확인합니다. IdP가 싱글 로그아웃에 대해 구성되어 있는지 확인합니다.

PingFederate에 Control Hub 통합


 

구성 안내서는 SSO 통합에 대한 특정 예제를 안내하지만, 모든 가능성에 대한 각각의 구성은 제공하지 않습니다. 예를 들어, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 에 대한 통합 단계가 문서화됩니다. 기타 형식(예: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)은 SSO 통합에 대해 작동하지만 설명서의 범위를 벗어납니다.

Webex 조직(Webex 앱, Webex Meetings 및 Control Hub에서 관리되는 기타 서비스 포함)에서 사용자에 대해 이 통합을 설정합니다. Control Hub에서 Webex 사이트가 통합된 경우, Webex 사이트는 사용자 관리를 상속받습니다. 이러한 방법으로 Webex Meetings에 액세스할 수 없으며 Control Hub에서 관리되지 않는 경우, 개별 통합을 실행하여 Webex Meetings에 대해 SSO를 활성화해야 합니다. (자세한 정보는 사이트 관리의 SSO 통합에서 Webex에 대해 싱글 사인온 구성을 참조)

시작하기 전에

SSO 및 Control Hub에 대해 IdP는 SAML 2.0 사양을 따라야 합니다. 또한 IdP는 다음 방법으로 구성되어야 합니다.

Webex 메타데이터를 로컬 시스템으로 다운로드

1

https://admin.webex.com의 고객 보기에서 관리 > 조직 설정으로 이동하고 인증으로 스크롤한 후 싱글 사인온 설정을 켜서 설정 마법사를 시작합니다.

2

귀 조직의 인증서 유형을 선택합니다.

  • Cisco 셀프 서명—이 선택을 권장합니다. 인증서에 서명합니다. 이 인증서는 5년에 한 번만 갱신하면 됩니다.
  • 공용 인증 기관에서 서명—더 안전하지만 메타데이터를 자주 업데이트해야 합니다(IdP 공급업체가 트러스트 앵커를 지원하는 경우 제외).

 

트러스트 앵커는 디지털 서명의 인증서를 확인하는 기관 역할을 하는 공개 키입니다. 자세한 정보는 IdP 설명서를 참조하십시오.

3

메타데이터 파일을 다운로드합니다.

Webex 메타데이터 파일명은 idb-meta--SP.xml입니다.<org-ID>

새로운 서비스 공급자 연결 구성

1

PingFederate 관리 포털로 이동합니다( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

SP 연결 아래에서 새로 만들기를 선택합니다.

3

이 연결에 대해 템플릿 사용하지 않기 라디오 버튼을 선택한 후 다음을 선택합니다.

4

브라우저 SSO 프로필을 선택한 후 다음을 클릭합니다.

5

메타데이터 가져오기 탭을 선택합니다.

6

파일 선택을 클릭하여 Control Hub에서 다운로드한 메타데이터 파일을 찾아보고 가져온 후 다음을 클릭합니다.

7

일반 정보 탭에 있는 정보를 확인한 후 완료를 클릭합니다.

브라우저 싱글 사인온 구성

1

PingFederate 관리 포털에서 브라우저 SSO 구성을 선택합니다.

2

SP-시작한 SSO 체크 박스를 체크한 후 다음을 클릭합니다.

3

어설션 만들기 구성을 선택합니다.

  1. NameID-형식을 일시로 변경하고 일시 식별자에 속성 포함 체크 박스를 체크합니다.

  2. 형식으로 메일uid 속성을 추가하여 계약 속성을 확장 urn:oasis:names:tc:SAML:2.0:attrname-format-basic 을 클릭한 후 다음을 클릭합니다.

  3. 새 어댑터 인스턴스 맵을 선택하여 인증 메커니즘을 선택합니다. ADAPTER INSTANCE 드롭다운에서 이전에 구성한 인증 메커니즘 중 한 개를 선택한 후 다음을 클릭합니다.

  4. 한 개의 매핑을 사용하여 다수의 데이터 스토어에서 추가 속성 검색 라디오 버튼을 선택한 후 다음을 클릭합니다.

  5. 속성 리소스 추가를 선택하여 도메인에 대해 Active Directory 도메인 컨트롤러를 추가한 후 다음을 클릭합니다.

  6. 기본 DN을 지정하고 루트 개체 클래스 <Show All="" Attributes="">을(를) 선택합니다. 필터 입력란에 LDAP 필터를 입력한 후 다음을 클릭합니다.

    입력값에는 사용자가 제공하도록 할 속성을 포함해야 합니다. 또한 LDAP 리소스에서 매핑한 값을 포함해야 합니다. 예를 들어, Windows 로그인 속성에 Active Directory가 필터로 설정된 경우, sAMAccountName=${Username}을 입력합니다.

  7. AD 데이터스토어에서 제공하는 속성으로 어설션 속성을 매핑할 소스 및 값을 선택합니다. (발급 기준에 대해서는 아무 것도 입력하지 마십시오.)

  8. 어설션 구성에 ID 매핑일시로 설정되었는지, 속성 계약uid로 설정되었는지, 어댑터 인스턴스1로 설정되었는지 확인합니다.


     

    uid 속성은 사용자의 이메일 주소에 매핑되어야 합니다.

4

프로토콜 설정 구성을 선택합니다.

  1. 허용할 수 있는 SAML 바인딩에 대해 POSTRedirect 확인란만 체크합니다.

  2. 서명 정책에 대해 항상 SAML 어설션 서명을 선택합니다.

    프로토콜 설정은 다음과 같아야 합니다.

  3. 어설션에 대한 인증서를 구성하려면 구성 자격 증명을 선택합니다.

  4. SAML 어설션에 대해 이미 작성된 인증서를 선택합니다.

5

활성화 및 요약 화면에서 연결 상태활성으로 설정합니다.

PingFederate에서 메타데이터 내보내기

1

기본 페이지에서 모든 SP 관리를 클릭합니다.

2

방금 만든 연결을 찾고 메타데이터 내보내기를 클릭합니다.

3

드롭다운에서 내보내기한 파일에 서명하기 위해 사용할 인증서를 선택합니다.

4

내보내기를 클릭합니다.

IdP 메타데이터 가져오기 및 테스트 후에 싱글 사인온 활성화

Webex 메타데이터를 내보낸 후 IdP를 구성하고 해당 IdP 메타데이터를 로컬 시스템으로 다운로드하면 Control Hub에서 Webex 조직으로 가져올 준비가 됩니다.

시작하기 전에

ID 제공자(IdP) 인터페이스에서 SSO 통합을 테스트하지 마십시오. 저희는 서비스 공급자가 시작한(SP-시작) 흐름만 지원하므로 이 통합에 대해 Control Hub SSO 테스트를 사용해야 합니다.

1

다음 중 하나를 선택합니다.

  • 브라우저에서 Control Hub – 인증서 선택 페이지로 돌아간 후 다음을 클릭합니다.
  • Control Hub가 브라우저 탭에서 더 이상 열려 있지 않으면 의 고객 보기에서, 관리 > 조직 설정으로 이동하고 인증으로 스크롤한 후 작업 > 메타데이터 가져오기를 선택합니다.https://admin.webex.com
2

IdP 메타데이터 가져오기 페이지에서 IdP 메타데이터 파일을 페이지로 드래그하고 드롭하거나, 파일 찾아보기 옵션을 사용하여 메타데이터 파일을 찾고 업로드합니다. 다음을 클릭합니다.

가능하면 보안 수준 높음 옵션을 사용해야 합니다. 이는 IdP에서 메타데이터에 서명하기 위해 공용 CA를 사용한 경우에만 가능합니다.

다른 모든 경우에는 보안 수준 낮음 옵션을 사용해야 합니다. 여기에는 메타데이터가 서명되지 않은 경우, 셀프 서명된 경우 또는 개인 CA에서 서명한 경우가 포함됩니다.


 

Okta는 메타데이터에 서명하지 않기 때문에 Okta SSO 통합에 대해 보안 수준 낮음을 선택해야 합니다.

3

SSO 설정 테스트 를 선택하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.


 

인증 오류를 수신하는 경우, 자격 증명과 관련된 문제일 수 있습니다. 사용자이름 및 비밀번호를 확인한 후 다시 시도하십시오.

Webex 앱 오류는 일반적으로 SSO 설정과 관련된 문제를 의미합니다. 이러한 경우, 해당 단계를 다시 실행합니다. 특히 Control Hub 메타데이터를 IdP 설정에 복사하고 붙여넣는 단계를 주의하십시오.


 

SSO 로그인 경험을 직접 보려면 이 화면에서 클립보드에 URL 복사를 클릭하고 개인 브라우저 창에 붙여넣을 수도 있습니다. 여기서 SSO로 로그인하는 과정을 진행할 수 있습니다. 이 단계는 로그인 중인 기존 세션에 있을 수 있는 액세스 토큰으로 인한 가양성을 중지합니다.

4

Control Hub 브라우저 탭으로 돌아갑니다.

  • 테스트가 성공적이면 테스트 성공을 선택합니다. SSO를 켜고 다음을 클릭합니다.
  • 테스트가 실패했으면 테스트 실패를 선택합니다. SSO를 끄고 다음을 클릭합니다.

 

첫 번째 라디오 버튼을 선택하고 SSO를 활성화한 경우가 아니면 SSO 구성이 귀 조직에 적용되지 않습니다.

다음에 수행할 작업

Webex 클라우드에 Okta 사용자 구축을 실행하려면 Cisco Webex Control Hub에 Okta 사용자 동기화에 설명된 절차를 사용하십시오.

Webex 클라우드에 Azure AD 사용자 구축을 실행하려면 Cisco Webex Control Hub에 Azure Active Directory 사용자 동기화에 설명된 절차를 사용하십시오.

자동 이메일 표시하지 않기에 있는 절차를 따라 조직에서 새로운 Webex 앱 사용자에게 발송하는 이메일을 비활성화할 수 있습니다. 해당 문서에는 조직에 있는 사용자에게 통신문을 발송하는 모범 사례도 포함됩니다.