Engangspålogging og Cisco Webex Teams

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

Sammenslutningsprotokoll for SAML 2.0 (Security Assertion Markup Language) brukes til å gi SSO-autentisering mellom Cisco Webex-skyen og identitetsleverandøren (IdP).

Profiler

Cisco Webex Teams støtter bare SSO-profilen for nettleseren. Cisco Webex Teams støtter følgende bindinger i SSO-profilen for nettleseren:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

Navn-ID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Cisco Webex Teams støtter følgende Navn-ID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Cisco Webex.

Engangsutlogging

Cisco Webex Teams støtter engangsutlogging-profilen. I Cisco Webex Teams-appen kan en bruker logge av programmet, som bruker SAML-protokollen for engangsutlogging til å avslutte økten og bekrefte at du logger av med IdP-en din. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrere Cisco Webex Control Hub med Shibboleth for engangspålogging


Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Cisco Webex-organisasjonen (inkludert Cisco Webex Teams, Cisco Webex Meetings og andre tjenester som administreres i Cisco Webex Control Hub). Hvis Webex-nettstedet er integrert i Cisco Webex Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Cisco Webex Meetings på denne måten, og det ikke administreres i Cisco Webex Control Hub, må du utføre en separat integrering for å aktivere SSO for Cisco Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Integreringstrinnene refererer til Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som nettserver.

Før du starter

IdP-er må være i samsvar med SAML 2.0-spesifikasjonen for SSO og Cisco Webex Control Hub. IdP-er må også konfigureres på følgende måte:
  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP så det inkluderer uid-attributtnavnet med en verdi som er kartlagt til attributtet som er valgt i Cisco-registerkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Cisco Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.) Se informasjonen om egendefinerte attributter i https://www.cisco.com/go/hybrid-services-directory hvis du vil ha veiledning.

  • Bruk en nettleser som støttes: vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.

  • Deaktiver eventuelle popup-blokkeringer i nettleseren din.

Laste ned Cisco Webex-metadata til ditt lokale system

1

Fra kundevisningen i https://admin.webex.com går du til Innstillinger og blar deretter til Autentisering.

2

Klikk på Endre, klikk på Integrer en tredjeparts identitetsleverandør. (Avansert), og klikk deretter på Neste.

3

Last ned metadatafilen.

Cisco Webex-metadatafilnavnet er idb-meta-<org-ID>-SP.xml.

Konfigurere autorisasjon i Shibboleth-filer

Når du har installert Shibboleth, får du konfigurasjonsfiler med eksempler.

1

Gå til katalogen /opt/shibboleth-idp/conf for å få tilgang til eksempelfilene.

2

Bestem hvilken autorisasjonsmetode som skal brukes, for eksempel LDAP-binding til Active Directory.

3

Rediger handler.xml-filen på følgende måte:

Fjern kommentar

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Fyll inn informasjon for Active Directory for å tillate godkjenning. Angi konfigurasjonen til login.config-filen.

Eksempel:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurere komponenter for SAML-deklarasjon fra Shibboleth-tjenesteleverandøren

1

Legg til filen du lastet ned fra CI, i katalogen /opt/shibboleth-idp/metadata.

2

Rediger relying-party.xml-filen; legg til informasjon for SAML-deklarasjonen for Cisco Webex etter DefaultRelyingParty-taggen.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Du må bruke EntityID-verdien fra Cisco Webex-metadatafilen for ID. Erstatt ID-en for eksemplet med EntityID for organisasjonen.

3

Legg til plasseringen til filen i metadata:MetadataProvider-taggen:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP-metadataene kommer fra en fil i Shibboleth-filsystemet, på stedet der du lastet opp metadataene for Cisco Webex-organisasjonen.

Konfigurere deklarasjonsattributtene

1

Angi hvor du skal hente attributter om brukerne dine i Datatilkobling-delen.

Eksempel:

Active Directory, med en MyLDAP-ID.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

Behold det som allerede finnes i konfigurasjonen for transientID i Attributtdefinisjon-delen.

3

Legg til det ekstra attributtet som SP forventer, og definer hva det tilordnes til i attributtkilden.

Eksempel:

Tilordne attributt-e-posten (e-postadresseattributt i Active Directory) til uid (UserID i Cisco Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definer hvilket attributt som skal oppgis til hver SP-avtale i attributtfilteret.xml-filen.

Oppgi uid-attributtet til Cisco Webex som tilordnes e-postadressen til brukeren.

Eksempel:

Frigi attributtet uid til SP-avtalen med Cisco Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Regelen du opprettet i attribute-resolver.xml bør ha en policy for å frigi attributtet mail-attr til EntityID-en som samsvarer med Cisco Webex.

5

Last ned metadatafilen fra Shibboleth-serveren i /opt/shibboleth-idp/metadata. Filnavnet er idp-metadata.xml.

Importere IdP-metadataene og aktivere engangspålogging etter en test

Når du har eksportert Cisco Webex-metadataene, konfigurert idP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Cisco Webex-organisasjonen fra Control Hub.

1

Velg én:

  • Gå tilbake til Cisco Webex Control Hub – Eksporter katalogmetadata-siden i nettleseren, og klikk på Neste.
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, går du til Innstillinger i kundevisningen i https://admin.webex.com, blar til Autentisering, velger Integrer en tredjeparts identitetsleverandør (avansert) og klikker deretter på Neste på siden for klarerte metadatafiler (fordi du har gjort det allerede).
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Hvis metadataene ikke er signert, er signert med et egensignert sertifikat eller er signert med en privat bedrifts sertifiseringsinstans (CA), anbefaler vi at du bruker krever sertifikat signert av en sertifiseringsautoritet i metadata (sikrere). Hvis sertifikatet er egensignert, må du velge det mindre sikre alternativet.

3

Velg Test SSO-tilkobling, og når en ny nettleserfane åpnes, autentiserer du den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex Teams-feil betyr vanligvis at det er et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.

4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Denne testen var vellykket. Aktiver alternativet for engangspålogging, og klikk på Neste.
  • Hvis testen mislyktes, velger du Denne testen var mislykket. Deaktiver alternativet for engangspålogging, og klikk på Neste.

Hva nå?

Du kan følge fremgangsmåten i Stopp automatiserte e-poster for å deaktivere e-poster som sendes til nye Webex Teams-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.