Você pode configurar uma integração de Single Sign-On (SSO) entre o Control Hub e uma implantação que usa o Shibboleth como um provedor de identidade (IdP).
Hub de controle e assinatura única
O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.
O protocolo de federação Security Assertion Markup Language (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).
Perfis
O aplicativo Webex suporta apenas o perfil de usuário SSO navegador da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:
POST iniciado por SP -> vinculação de POST
REDIRECIONAMENTO iniciado por SP -> vinculação de POST
Formato IDNome
O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.
SingleLogout
O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex, um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para finalizar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.
Integre o Control Hub com o Shibboleth
Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação. |
Configurar esta integração para usuários na sua organização Webex ( incluindo Aplicativo Webex, Webex Meetingse outros serviços administrados no Control Hub). Se seu site Webex estiver integrado no Control Hub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)
As etapas da integração se refere ao Shibboleth 2.4.5 no CentOS 7 com o Tomcat 7 como o servidor da web.
Antes de começar
Para SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:
Baixe os metadados Webex para o seu sistema local
1 | Na exibição do cliente https://admin.webex.comem , Configurações da organização,role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente de configuração. |
||
2 | Escolha o tipo de certificado para sua organização:
|
||
3 | Baixe o arquivo de metadados. O nome do arquivo de metadados Webex é idb-meta-SP.xml<org-ID>. |
Configurar a autorização nos arquivos do Shibboleth
Depois de instalar o Shibboleth, será fornecido a você arquivos de configuração com exemplos.
1 | Vá para o diretório /opt/shibboleth-idp/conf para acessar os arquivos de exemplo. |
2 | Decida qual método de autorização usar - por exemplo, o LDAP se vincula ao Active Directory. |
3 | Edite o arquivo handler.xml da seguinte forma: Descomente
Comentário
|
4 | Preencha os detalhes do seu e Active Directory para permitir a autenticação. Forneça a configuração para o logon de arquivo.config. Exemplo:
|
Configurar componentes do provedor de serviço Shibboleth para a assfirmação SAML
1 | Adicione o arquivo que você baixou do SP Webex ao diretório /opt/shibboleth-idp/metadados. |
2 | Edite o arquivolying-party.xml ; após a tag DefaultRelyingParty, adicione os detalhes da asserção SAML do Webex.
Para id, você deve usar o valor EntityID do arquivo de metadados Webex . Substitua a ID do exemplo pelo EntityID da sua organização. |
3 | Dentro da tag Metadados:MetadadosProvider, adicione o local do arquivo:
Os metadados SP vêm de um arquivo no sistema de arquivo Shibboleth, no local onde você carregou os metadados da sua organização Webex . |
Configurar os atributos de ass declaração
1 | Na seção Conector de dados, especifique onde recuperar atributos sobre seus usuários. Exemplo:Active Directory, com uma ID do MyLDAP.
|
2 | Na seção Definição de atributo, mantenha o que já está na configuração para transitórioID. |
3 | Adicione o atributo extra que o SP está esperando e defina o que ele mapeia na fonte do atributo. Exemplo:
|
4 | Definir qual atributo fornecer para cada acordo SP no arquivo attribute-filter.xml . Forneça o atributo uid ao Webex que mapeia o endereço de e-mail do usuário. Exemplo:Solte o uid do atributo no acordo SP com o Webex.
A regra que você criou no atributo-resolver.xml deve ter uma política para liberar o atributo mail-attr ao ID da Entidade que corresponde ao Webex. |
5 | Baixe o arquivo de metadados do servidor do Shibboleth em /opt/shibboleth-idp/metadados. O nome do arquivo é idp-metadados.xml. |
Importar os metadados IdP e habilitar registro único um teste
Depois de exportar os metadados Webex , configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para sua organização Webexa partir do Control Hub.
Antes de começar
Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.
1 | Escolha uma das opções:
|
||||
2 | Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo. Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados. Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada. |
||||
3 | Selecione Testar SSO configuraçãoe, quando uma nova guia do navegador for aberta, autentcule-se com o IdP iniciando sessão.
|
||||
4 | Volte para a guia do navegador do Control Hub.
|
O que fazer em seguida
Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar e-mails que são enviados para novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.