Eenmalige aanmelding en Cisco Webex Teams

Single Sign-on (SSO) is een sessie-of gebruikers verificatie proces waarmee een gebruiker referenties kan opgeven om toegang te krijgen tot een of meer toepassingen. Met dit proces worden gebruikers geverifieerd voor alle toepassingen waarvoor zij rechten hebben gekregen. Er worden geen verdere meldingen verwijderd wanneer gebruikers wisselen tussen toepassingen tijdens een bepaalde sessie.

Het SAML-Protocol van Security Assertion Markup Language (SAML 2,0) wordt gebruikt om SSO-verificatie tussen de Cisco Webex Cloud en uw identiteits provider (IDP) aan te bieden.

Profielen

Cisco Webex Teams alleen het SSO-Profiel van de webbrowser wordt ondersteund. In het SSO-Profiel van de webbrowser worden Cisco Webex Teams de volgende bindingen ondersteund:

  • SP gestart na >-POST binding

  • SP gestart omLEIDING-> na binden

Indeling NameID

Het SAML 2,0-protocol ondersteunt verschillende naMeid-indelingen voor communicatie over een specifieke gebruiker. Cisco Webex Teams ondersteunt de volgende naMeid-indelingen.

  • urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress

In de meta gegevens die u van uw IdP laadt, wordt de eerste vermelding geconfigureerd voor gebruik in Cisco Webex.

SingleLogout

Cisco Webex Teams ondersteunt het afzonderlijke afmeldings profiel. In de Cisco Webex Teams app kan een gebruiker zich afmelden bij de toepassing. deze gebruikt het SAML single afmeldings protocol om de sessie te beëindigen en om te bevestigen dat u zich afmeldt bij uw IDP. Zorg ervoor dat uw IdP is geconfigureerd voor SingleLogout.

Integreren Cisco Spark Control Hub met shibboleth voor eenmalige aanmelding


In de configuratie handleidingen wordt een specifiek voor beeld voor SSO-integratie weer gegeven, maar er wordt geen uitgebreide configuratie voor alle mogelijkheden geboden. Voor beelden van de integratie stappen voor NameID-indeling urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk worden gedocumenteerd. Andere indelingen, zoals urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified of urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress werkt alleen voor SSO-integratie, maar buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Cisco Webex organisatie (inclusief Cisco Webex Teams, Cisco Webex Meetingsen andere services die worden beheerd Cisco Spark Control Hub). Als uw Webex site is geïntegreerd in Cisco Spark Control Hub, Webex neemt de site het gebruikers beheer over. Als u op deze manier geen toegang kunt krijgen Cisco Webex Meetings en deze niet wordt beheerd in Cisco Spark Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO in te scha kelen Cisco Webex Meetings. (Zie Eenmalige aanmelding configureren voor WebEx voor meer informatie in de SSO-integratie in Sitebeheer.)

De integratie stappen verwijzen naar shibboleth 2.4.5 in CentOS 7 met Tomcat 7 als de webserver.

Voordat u begint

Voor SSO en Cisco Spark Control Hubmoet idp's voldoen aan de SAML 2,0-specificatie. Daarnaast moet Idp's op de volgende manier worden geconfigureerd:
  • Stel het kenmerk type naMeid in op urn: Oasis: names: TC: SAML: 2.0: NameID-Format:tijdelijk

  • Configureer een claim op de IdP om de naam van het UID-kenmerk op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikers kenmerk dat overeenkomt met het kenmerk dat is gekozen in de Cisco Webex-identiteitsservice. (Dit kenmerk kan E-mail adressen of UPN-namen zijn, bijvoorbeeld.) Raadpleeg de informatie over het aangepaste kenmerk in https://www.Cisco.com/go/Hybrid-Services-Directory voor hulp.

  • Gebruik een ondersteunde browser: We raden u aan de nieuwste versie van Mozilla Firefox of Google Chrome uit te voeren.

  • Schakel alle pop-upblokkering in uw browser uit.

De Cisco Webex meta gegevens naar uw lokale systeem downloaden

1

Ga vanuit de klant weergave in naar https://admin.webex.cominstellingenen blader vervolgens naar verificatie.

2

Klik op wijzigen, klik op een externe identiteits provider integreren. (Geavanceerd)en klik vervolgens op volgende.

3

Down load het bestand met meta gegevens.

De Cisco Webex meta gegevens naam is IDB-meta-<org-ID>-sp. XML.

Autorisatie in shibboleth-bestanden configureren

Nadat u shibboleth hebt geïnstalleerd, kunt u configuratie bestanden met voor beelden weer gegeven.

1

Ga naar de Directory- /opt/shibboleth-IDP/conf om toegang te krijgen tot de voorbeeld bestanden.

2

Bepaal welke autorisatie methode u wilt gebruiken, bijvoorbeeld LDAP-binding met Active Directory.

3

Bewerk het bestand handler. XML als volgt:

Opmerking opheffen

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn: Oasis: names: TC: SAML: 2.0: AC: klassen: PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Opmerking

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

Vul de details van uw Active Directory in om de verificatie mogelijk te maken. Geef de configuratie op bij het bestand login. config.

Voorbeeld:

ShibUserPassAuth {edu. VT. middleware. LDAP. JAAS. LdapLoginModule vereist ldapUrl = "LDAP://ad0a.Cisco.net: 389" SSL = "false" TLS = "false" baseDions = "CN = Users, DC = Cisco, DC = net" subtreeSearch = "True" userFilter = "sAMAccountName ={0}" bindDn = "CN = Beheerder, CN = gebruikers, DC = Cisco, DC = net "bindCredential =" ThePassword "; };

Shibboleth serviceprovider Cobmponents configureren voor SAML-Assertie

1

Voeg het bestand dat u hebt gedownload van CI toe aan de Directory- /opt/shibboleth-IDP/metadata.

2

De Relying-Party. xml bewerken Cabinet Voeg na de DefaultRelyingParty-tag de details van de SAML-Assertie toe voor Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Voor id moet u de entiteit-waarde van het Cisco Webex meta gegevens bestand gebruiken. Vervang de ID van het voor beeld met de entiteit van uw organisatie.

3

Voeg de locatie van het bestand toe in de meta data provider-tag:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

De SP-meta gegevens worden opgehaald uit een bestand in het shibboleth-bestands systeem, op de locatie waar u de meta gegevens voor uw organisatie hebt geüpload Cisco Webex .

De Assertie kenmerken configureren

1

Geef in het gedeelte data connector aan waar de attributen voor uw gebruikers moeten worden opgehaald.

Voorbeeld:

Active Directory, met een id van MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

In het gedeelte kenmerk definitie wordt bijgehouden wat al aanwezig is in de configuratie voor transientID.

3

Voeg het extra kenmerk toe dat de SP verwacht en Definieer wat er wordt toegewezen aan de kenmerk bron.

Voorbeeld:

Koppel de kenmerk mail (e-mailadres kenmerk in Active Directory) aan UID (UserID in Cisco Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Definieer welk kenmerk moet worden verstrekt aan elke SP-overeenkomst in het bestand attribute-filter. XML .

Geef het UID-kenmerk op Cisco Webex dat is toegewezen aan het e-mail adres van de gebruiker.

Voorbeeld:

De attribuut-UID vrijgeven aan de SP-overeenkomst met Cisco Webex.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

De regel die u hebt gemaakt in Attribute-resolver. XML moet een beleid hebben om het kenmerk mail-attr te kunnen vrijgeven aan de entiteit die overeenkomen Cisco Webex.

5

Down load het bestand met meta gegevens van de shibboleth-server in /opt/shibboleth-IDP/metadata. De bestands naam is IDP-metadata. XML.

De IdP-meta gegevens importeren en eenmalige aanmelding inschakelen na een test

Nadat u de Cisco Webex meta gegevens hebt geëxporteerd, configureert u uw IDP en downloadt u de IDP-meta gegevens naar uw lokale systeem, kunt u deze in uw Cisco Webex organisatie importeren Control Hub.

1

Kies een van de opties:

  • Keer terug naar de Cisco Spark Control Hub pagina AD-meta gegevens exporteren in uw browser en klik vervolgens op volgende.
  • Als dit Control Hub niet langer is geopend op het tabblad browser, gaat u naar instellingen in de weer gave klant https://admin.webex.com, kiest u naar verificatie, vervolgens integreert ueen externe identiteits provider (Geavanceerd)en klikt u op volgende op vertrouwd meta data-bestands pagina (omdat u deze al eerder hebt).
2

Sleep op de pagina IdP meta gegevens importeren de Bestand met metagegevens van identiteitsprovider naar de pagina of gebruik de optie bestands browser om het meta gegevensbestand te vinden en te uploaden. Klik op Volgende.

Als de meta gegevens niet zijn ondertekend, is ondertekend met een zelfondertekend certificaat of is ondertekend met een privé-ondernemings certificerings instantie (CA), raden we u aan gebruik te maken van certificaat dat is ondertekend door een certificerings instantie in meta gegevens (veiliger). Als het certificaat zelf is ondertekend, moet u de optie minder veilig kiezen .

3

SSO-verbinding testen selecterenen wanneer een nieuw browser tabblad wordt geopend, verifieert u met de IdP door u aan te melden.


 

Als er een verificatie fout wordt weer gegeven, is er mogelijk een probleem met de referenties. Controleer de gebruikers naam en het wacht woord en probeer het opnieuw.

Een Webex Teams fout betekent doorgaans een probleem met de SSO-configuratie. In dat geval kunt u de stappen opnieuw door lopen, vooral de stappen waar u de meta gegevens kopieert en plakt Control Hub in de IDP-instelling.

4

Keer terug naar het Control Hub browser tabblad.

  • Als de test is geslaagd, selecteert u deze test is gelukt. Schakel de optie voor eenmalige aanmelding in en klik op volgende.
  • Als de test niet kon worden uitgevoerd, selecteert u deze test is mislukt. Schakel de optie voor eenmalige aanmelding uit en klik op volgende.

Volgende stappen

U kunt de procedure in automatische E-mails onderdrukken volgen om e-mail berichten die naar nieuwe Webex Teams gebruikers in uw organisatie worden verzonden, uit te scha kelen. Het document bevat ook de beste werk wijzen voor het verzenden van communicatie naar gebruikers in uw organisatie.