Logowanie jednokrotne i Webex Control Hub

Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Cisco Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Cisco Webex Teams obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Cisco Webex Teams obsługuje następujące powiązania:

  • Sp zainicjowane powiązanie POST -> POST

  • Sp zainicjowane powiązanie REDIRECT -> POST

NameID Format

Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Cisco Webex Teams obsługuje następujące formaty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Cisco Webex.

SingleLogout

Cisco Webex Teams obsługuje pojedynczy profil wylogowania. W aplikacji Cisco Webex Teams użytkownik może wylogować się z aplikacji, która używa protokołu pojedynczego wylogowania SAML do zakończenia sesji i potwierdzenia wylogowania przy użyciu usługodawcy tożsamości. Upewnij się, że twój IdP jest skonfigurowany dla SingleLogout.

Integracja F5 Big IP z Cisco Webex Control Hub na potrzeby logowania jednokrotnego


Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla formatu nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified lub urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Cisco Webex (w tym Cisco WebexTeams, Cisco Webex Meetingsi innych usług administrowanych w Cisco Webex ControlHub). Jeśli witryna Webex jest zintegrowana z Cisco Webex ControlHub, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Cisco Webex Meetings w ten sposób i nie jest on zarządzany w Cisco Webex Control Hub , musisz wykonaćoddzielną integrację, aby włączyć logowanie jednokrotne dla Cisco Webex Meetings. (Zobacz Konfigurowanie logowania jednokrotnego dla usługi Webex, aby uzyskać więcej informacji na temat integracji logowania jednokrotnego w administracji witryną.)

Przed rozpoczęciem

W przypadku logowania jednokrotnego i Cisco Webex Control Hubdostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawcy IdPs muszą być skonfigurowani w następujący sposób:

Pobierz metadane Cisco Webex do systemu lokalnego

1

Z widoku klienta w https://admin.webex.commenu przejdź do pozycji Ustawienia, a następnie przewiń do pozycjiUwierzytelnianie.

2

Kliknij przycisk Modyfikuj, kliknij pozycję Integruj dostawcę tożsamości 3rd-party. (Zaawansowane),a następnie kliknij przycisk Dalej.

3

Pobierz plik metadanych.

Nazwa pliku metadanych Cisco Webex to idb-meta-<org-ID>-SP.xml.

Konfigurowanie zewnętrznego dostawcy usług i dostawcy tożsamości

1

W interfejsie administracyjnym BIG-IP F5 przejdź do > zasad dostępu SAML > BIG-IP jako IdP.

2

W obszarze Zewnętrzne łączniki SPwybierz opcję Utwórz > z metadanych.

3

Wprowadź zrozumiałą nazwę usługodawcy, na przykład <yourorganizationname>.ciscowebex.com.

4

W obszarze Ustawienia zabezpieczeńzaznacz następujące pola wyboru:

  • Odpowiedź musi być podpisana
  • Potwierdzenie musi być podpisane
5

Wróć do zasad dostępu > SAML > BIG-IP jako IdP, a następnie utwórz nową usługę dostawcy tożsamości (IdP).

6

Wprowadź zrozumiałą nazwę usługi dostawcy identyfikatora, na przykład CI.

7

W przypadku identyfikatora jednostki dostawcy identyfikatora użyj nazwy FQDN serwera Big-IP z czymś z przodu — na przykład https://bigip0a.uc8sevtlab13.com/CI.

8

W obszarze Ustawienia potwierdzenia wybierz opcję Identyfikatorprzejściowy dla opcji Typpodmiotupotwierdzenia.

9

W polu Wartość podmiotu potwierdzenia zwraca wartość wiadomoście-mail użytkownika %{session.ad.last.attr.mail}.

10

Zwróć atrybuty mail i uid z wartością %{session.ad.last.attr.mail}.

11

W obszarze Ustawienia zabezpieczeńwybierz certyfikat, aby podpisać potwierdzenie.

12

Zapisz zmiany, a następnie powiąż utworzonego usługodawcę i dostawcę tożsamości.

Pobierz metadane F5 Big-IP

1

Wybierz opcję Eksportuj usługę dostawcy tożsamości.

2

Upewnij się, że wartość Sign Metadata (Podpisz metadane) to Yes (Tak).

3

Pobierz plik metadanych na pulpit lub do łatwej lokalizacji.

Dodawanie zasad dostępu

1

Przejdź do strony Zasady dostępu > profili dostępu > SAML i utwórz zasób SAML dla utworzonego dostawcy tożsamości.

2

Przejdź do swojego profilu dostępu i edytuj zasady dostępu używane dla CAS programu WebEx Messenger.

3

Dodaj nowy element na karcie Logowanie o nazwie Strona logowania i pozostaw wartości domyślne.

4

Dodaj nowy element na karcie Uwierzytelnianie o nazwie Ad Auth i określ usługę Active Directory jako serwer.

5

W gałęzi, która powiodła się, dodaj zapytanie AD z karty Uwierzytelnianie

6

Przejdź do reguł oddziałów i zmienił ją na AD Query is Passed .

7

W udanej gałęzi zapytania AD dodaj zaawansowane przypisywanie zasobów na karcie Przydział.

8

Kliknij Dodaj/Usuń i dodaj dwa zasoby SAML ze wszystkimi zasobami SAML i utworzonym webtopem.

9

W obszarze Wybierz zakończeniewybierz opcję Zezwalaj.

Polityka dostępu powinna wyglądać jak na tym zrzucie ekranu:

Kojarzenie profilu dostępu z serwerem wirtualnym

Profil dostępu należy skojarzyć z utworzonym serwerem wirtualnym.

1

Przejdź do obszaru Ruch lokalny > serwerów wirtualnych.

2

Otwórz profile dostępu, aby potwierdzić, że żaden serwer wirtualny nie jest skojarzony z profilem.

3

Wybierz opcję Zaawansowane przypisywanie zasobów.

4

Wybierz pozycję Dodaj/usuń, aby dodać nowy zasób SAML.

5

Zamknij okna projektu zasad dostępu i zastosuj nowe zasady dostępu.

Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście

Po wyeksportowaniu metadanych Cisco Webex, skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Cisco Webex z centrum ControlHub.

Przed rozpoczęciem

Nie testuj integracji logowania jednokrotnego z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy inicjowane przez dostawcę usług (inicjowane przez dostawcę usług), więc do tej integracji należy użyć testu logowania jednokrotnego usługi Control Hub.

1

Wybierz jedną z nich:

  • Wróć do strony Cisco Webex Control Hub — Eksportuj metadane katalogu w przeglądarce, a następnie kliknij przycisk Dalej.
  • Jeśli centrum sterowania nie jest już otwarte na karcie przeglądarki, w widoku klienta w menu https://admin.webex.comPrzejdź do pozycjiUstawienia, przewiń do pozycji Uwierzytelnianie, wybierz pozycję Zintegruj zewnętrznego dostawcę tożsamości (Zaawansowane),a następnie kliknij przycisk Dalej na stronie zaufanego pliku metadanych (ponieważ zostało to już zrobione wcześniej).
2

Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przekazać plik metadanych. Kliknij przycisk Dalej.

Jeśli metadane nie są podpisane, są podpisane certyfikatem z podpisem własnym lub są podpisane za pomocą prywatnego urzędu certyfikacji przedsiębiorstwa, zalecamy użycie polecenia Wymagaj certyfikatu podpisanego przez urząd certyfikacji w obszarze Metadane (bezpieczniejsze). Jeśli certyfikat jest podpisany samodzielnie, należy wybrać mniej bezpieczną opcję.

3

Wybierz pozycję Testuj połączenie logowaniajednokrotnego, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu usługodawcy tożsamości, logując się.


 

Jeśli zostanie wyświetlony błąd uwierzytelniania, może to być problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd Webex Teams zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

4

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz opcję Ten test zakończył się pomyślnie. Włącz opcję logowania jednokrotnego i kliknij przycisk Dalej.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Ten test zakończył się niepowodzeniem. Wyłącz opcję logowania jednokrotnego i kliknij przycisk Dalej.

Co dalej?

Możesz wykonać procedurę opisaną w temacie Pomijanie automatycznych wiadomości e-mail, aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników usługi Webex Teams w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.