Eenmalige aanmelding en Control Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het Federation-protocol Security Assertion Markup Language (SAML 2.0) wordt gebruikt om SSO -verificatie te bieden tussen de Webex -cloud en uw Identiteitsprovider (IdP).

Profielen

Webex -app ondersteunt alleen het SSO -profiel van de webbrowser. In het SSO -profiel van de webbrowser ondersteunt de Webex -app de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling naam-ID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. Webex -app ondersteunt de volgende NameID-indelingen.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u laadt vanaf uw IdP, wordt het eerste item geconfigureerd voor gebruik in Webex.

Eenmalige afmelding

De Webex-app ondersteunt het profiel voor eenmalige afmelding. In de Webex-app kan een gebruiker zich afmelden bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalige afmelding om de sessie te beëindigen en die afmelding te bevestigen met uw IdP. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.

Control Hub integreren met Shibboleth


 

De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor bijvoorbeeld nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient zijn gedocumenteerd. Andere indelingen zoals urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Webex organisatie (inclusief de Webex app, Webex Meetings en andere services die worden beheerd in Control Hub). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en het niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO voor Webex Meetings in te schakelen. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

De integratiestappen verwijzen naar Shibboleth 2.4.5 in CentOS 7 met Tomcat 7 als webserver.

Voordat u begint

Voor SSO en Control Hub moeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manier worden geconfigureerd:

De Webex -metagegevens downloaden naar uw lokale systeem

1

Vanuit de klantweergave inhttps://admin.webex.com , ga naar Beheer > Organisatie-instellingen en blader vervolgens naar Verificatie en schakel vervolgens de Eenmalige aanmelding instelling om de installatiewizard te starten.

2

Kies het certificaattype voor uw organisatie:

  • Zelfondertekend door Cisco —We raden deze keuze aan. Laat ons het certificaat ondertekenen, zodat u het slechts eens in de vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie —Veiliger, maar u moet de metagegevens regelmatig bijwerken (tenzij uw IdP-leverancier trust anchors ondersteunt).

 

Vertrouwde ankers zijn openbare sleutels die fungeren als autoriteit om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

3

Download het bestand met metagegevens.

De bestandsnaam van de Webex metagegevens is idb-meta-<org-ID> -SP.xml .

Autorisatie configureren in Shibboleth-bestanden

Nadat u Shibboleth hebt geïnstalleerd, krijgt u configuratiebestanden met voorbeelden.

1

Ga naar de directory /opt/shibboleth-idp/conf om toegang te krijgen tot de voorbeeldbestanden.

2

Bepaal welke autorisatiemethode u wilt gebruiken, bijvoorbeeld LDAP-binding met Active Directory.

3

Bewerk het bestand handler.xml als volgt:

Geen commentaar geven

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Opmerking

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Vul de gegevens van uw Active Directory in om de verificatie toe te staan. Geef de configuratie op aan het bestand login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Shibboleth-serviceprovidercomponenten configureren voor SAML-assertie

1

Voeg het bestand dat u hebt gedownload van de Webex SP toe aan de map /opt/shibboleth-idp/metadata.

2

Bewerk de rely-party.xml bestand; voeg na de tag DefaultRelyingParty de details van de SAML-verklaring voor Webex toe.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Voor id moet u de entiteits-id-waarde uit het Webex-metagegevensbestand gebruiken. Vervang de id van het voorbeeld door de entiteits-id van uw organisatie.

3

In de metadata:MetadataProvider tag, voeg de locatie van het bestand:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

De SP-metagegevens zijn afkomstig van een bestand in het Shibboleth-bestandssysteem, op de locatie waar u de metagegevens voor uw Webex-organisatie hebt geüpload.

De assertiekenmerken configureren

1

Geef in het gedeelte Gegevensconnector op waar u attributen over uw gebruikers wilt ophalen.

Active Directory, met een id van MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

Bewaar in de sectie Kenmerkdefinitie wat zich al in de configuratie voor transientID bevindt.

3

Voeg het extra attribuut toe dat de SP verwacht en definieer wat het toewijst in de attribuutbron.

Wijs de attribuutmail (e-mailadres attribuut in Active Directory) toe aan uid (UserID in Webex).

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definieer welk attribuut u aan elke SP-overeenkomst wilt opgeven in het bestand attribute-filter.xml.

Geef het uid-kenmerk op aan Webex dat wordt toegewezen aan het e-mailadres van de gebruiker.

Laat de attribuut-UID los aan de SP-overeenkomst met Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

De regel die u hebt gemaakt in attribute-resolver.xml moet een beleid hebben om het kenmerk mail-attr vrij te geven aan de entiteits-id die overeenkomt met Webex.

5

Download het metagegevensbestand van de Shibboleth-server in /opt/shibboleth-idp/metadata. De bestandsnaam is idp-metadata.xml.

De IdP-metagegevens importeren en eenmalige aanmelding na een test

Nadat u de Webex -metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens hebt gedownload naar uw lokale systeem, bent u klaar om deze vanuit Control Hub in uw Webex -organisatie te importeren.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door de serviceprovider gestarte (SP-gestarte) stromen, dus u moet de SSO-test van Control Hub gebruiken voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Control Hub – certificaatselectie in uw browser en klik vervolgens op Volgende .
  • Als Control Hub niet meer is geopend in het browsertabblad, vanuit de klantweergave inhttps://admin.webex.com , ga naar Beheer > Organisatie-instellingen , blader naar Verificatie en kies vervolgens Acties > Metagegevens importeren .
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

U moet de . gebruiken Veiliger optie, als u kunt. Dit is alleen mogelijk als uw IdP een openbare CA heeft gebruikt om de metagegevens te ondertekenen.

In alle andere gevallen moet u de Minder veilig optie. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfondertekend zijn of zijn ondertekend door een privé-CA.


 

Okta ondertekent de metagegevens niet, dus u moet kiezen Minder veilig voor een Okta SSO -integratie.

3

Selecteren SSO -configuratie testen en wanneer een nieuw browsertabblad wordt geopend, kunt u zich verifiëren met de IdP door u aan te melden.


 

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Webex app-fout betekent meestal een probleem met de SSO configuratie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider.


 

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Met deze stap worden valse positieven gestopt vanwege een toegangstoken dat zich mogelijk in een bestaande sessie bevindt nadat u zich hebt aangemeld.

4

Keer terug naar het Control Hub-browsertabblad.

  • Als de test is geslaagd, selecteert u Succesvolle test. SSO inschakelen en klik op Volgende .
  • Als de test is mislukt, selecteert u Test is mislukt. SSO uitschakelen en klik op Volgende .

 

De SSO -configuratie wordt pas van kracht in uw organisatie als u het eerste radioknop kiest en SSO activeert.

De volgende stappen

Gebruik de procedures in Okta-gebruikers synchroniseren met Cisco Webex Control Hub als u gebruikersregistratie vanuit Okta wilt uitvoeren in de Webex cloud.

Gebruik de procedures in Azure Active Directory -gebruikers synchroniseren met Cisco Webex Control Hub als u vanuit Azure AD gebruikers wilt inrichten in de Webex cloud.

U kunt de procedure volgen in: Geautomatiseerde e-mails onderdrukken om e-mails uit te schakelen die worden verzonden naar nieuwe gebruikers van de Webex app in uw organisatie. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.