Logowanie jednokrotne i Cisco Webex Teams

Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Cisco Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Cisco Webex Teams obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Cisco Webex Teams obsługuje następujące powiązania:

  • Sp zainicjowane powiązanie POST -> POST

  • Sp zainicjowane powiązanie REDIRECT -> POST

NameID Format

Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Cisco Webex Teams obsługuje następujące formaty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Cisco Webex.

SingleLogout

Cisco Webex Teams obsługuje pojedynczy profil wylogowania. W aplikacji Cisco Webex Teams użytkownik może wylogować się z aplikacji, która używa protokołu pojedynczego wylogowania SAML do zakończenia sesji i potwierdzenia wylogowania przy użyciu usługodawcy tożsamości. Upewnij się, że twój IdP jest skonfigurowany dla SingleLogout.

Integracja Cisco Webex Control Hub z SimpleSAML na potrzeby logowania jednokrotnego


Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla formatu nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified lub urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Cisco Webex (w tym Cisco WebexTeams, Cisco Webex Meetingsi innych usług administrowanych w Cisco Webex ControlHub). Jeśli witryna Webex jest zintegrowana z Cisco Webex ControlHub, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Cisco Webex Meetings w ten sposób i nie jest on zarządzany w Cisco Webex Control Hub , musisz wykonaćoddzielną integrację, aby włączyć logowanie jednokrotne dla Cisco Webex Meetings. (Zobacz Konfigurowanie logowania jednokrotnego dla usługi Webex, aby uzyskać więcej informacji na temat integracji logowania jednokrotnego w administracji witryną.)

Przed rozpoczęciem

W przypadku logowania jednokrotnego i Cisco Webex Control Hubdostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawcy IdPs muszą być skonfigurowani w następujący sposób:
  • Ustaw atrybut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Skonfiguruj oświadczenie dostawcy tożsamości, aby zawierało nazwę atrybutu uid z wartością zamapowaną na atrybut wybrany w Cisco Directory Connector lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Cisco Webex. (Tym atrybutem mogą być na przykład E-mail-Addresses lub User-Principal-Name). Zobacz informacje o atrybutach niestandardowych, aby https://www.cisco.com/go/hybrid-services-directory uzyskać wskazówki.

  • Użyj obsługiwanej przeglądarki: zalecamy najnowszą wersję przeglądarki Mozilla Firefox lub Google Chrome.

  • Wyłącz wszelkie blokady wyskakujących okienek w przeglądarce.

Pobierz metadane Cisco Webex do systemu lokalnego

1

Z widoku klienta w https://admin.webex.commenu przejdź do pozycji Ustawienia, a następnie przewiń do pozycjiUwierzytelnianie.

2

Kliknij przycisk Modyfikuj, kliknij pozycję Integruj dostawcę tożsamości 3rd-party. (Zaawansowane),a następnie kliknij przycisk Dalej.

3

Pobierz plik metadanych.

Nazwa pliku metadanych Cisco Webex to idb-meta-<org-ID>-SP.xml.

Konwertuj metadane

1

Otwórz wyeksportowany plik metadanych Cisco Webex w edytorze tekstu.

2

W przeglądarce otwórz stronę główną simpleSAML i zaloguj się przy użyciu poświadczeń administratora.

Lokalizacja strony głównej jest różna, ale zazwyczaj jest podobna do tego przykładowego adresu URL: https://yourcompany.yourdomain.com/simplesaml.

3

Na stronie głównej kliknij opcję Federacja.

4

W obszarze narzędzia wykonaj konwersję XML na prosty SAML XML.

5

Skopiuj metadane Cisco Webex z edytora tekstu, a następnie wklej je do pola konwersji XML.

6

Kliknij przycisk Parse.

Pojawią się przekonwertowane metadane. Dane te zostaną dodanej do zdalnego pliku tekstowego SP.

Tworzenie pliku metadanych zdalnego usługodawcy

Te kroki mają być przykładem. Katalog metadanych i host dostawcy tożsamości różnią się w zależności od konfiguracji klienta.

Przed rozpoczęciem

Należy pamiętać o atrybutach, które należy odpowiednio przekazać i zmapować, edytując plik metadanych saml20-idp-hosted.php pliku. (Na przykład uid, poczta, e-mail i tak dalej). Zobacz przykładowe metadane:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

W konfiguracji SimpleSAML na hoście przejdź do katalogu metadanych.

2

Za pomocą edytora tekstu wklej przeanalizowane dane na końcu saml20-sp-remote.php i zapisz plik.

3

Wróć do strony głównej SimpleSAML, kliknij pozycję Federacja, a następnie pokaż metadane dostawcy tożsamości.

4

Wklej dane do nowego pliku tekstowego.

5

Zapisz zaktualizowany plik na pulpicie pod zrozumiałą nazwą, taką jak simplesaml-metadata.xml.

Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście

Po wyeksportowaniu metadanych Cisco Webex, skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Cisco Webex z centrum ControlHub.

1

Wybierz jedną z nich:

  • Wróć do strony Cisco Webex Control Hub — Eksportuj metadane katalogu w przeglądarce, a następnie kliknij przycisk Dalej.
  • Jeśli centrum sterowania nie jest już otwarte na karcie przeglądarki, w widoku klienta w menu https://admin.webex.comPrzejdź do pozycjiUstawienia, przewiń do pozycji Uwierzytelnianie, wybierz pozycję Zintegruj zewnętrznego dostawcę tożsamości (Zaawansowane),a następnie kliknij przycisk Dalej na stronie zaufanego pliku metadanych (ponieważ zostało to już zrobione wcześniej).
2

Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przekazać plik metadanych. Kliknij przycisk Dalej.

Jeśli metadane nie są podpisane, są podpisane certyfikatem z podpisem własnym lub są podpisane za pomocą prywatnego urzędu certyfikacji przedsiębiorstwa, zalecamy użycie polecenia Wymagaj certyfikatu podpisanego przez urząd certyfikacji w obszarze Metadane (bezpieczniejsze). Jeśli certyfikat jest podpisany samodzielnie, należy wybrać mniej bezpieczną opcję.

3

Wybierz pozycję Testuj połączenie logowaniajednokrotnego, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu usługodawcy tożsamości, logując się.


 

Jeśli zostanie wyświetlony błąd uwierzytelniania, może to być problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd Webex Teams zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

4

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz opcję Ten test zakończył się pomyślnie. Włącz opcję logowania jednokrotnego i kliknij przycisk Dalej.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Ten test zakończył się niepowodzeniem. Wyłącz opcję logowania jednokrotnego i kliknij przycisk Dalej.

Co dalej?

Możesz wykonać procedurę opisaną w temacie Pomijanie automatycznych wiadomości e-mail, aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników usługi Webex Teams w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.