Registro único e Cisco Webex Teams

O registro único (SSO) é um processo de autenticação de sessão ou de usuário que permite que um usuário forneça credenciais para acessar um ou mais aplicativos. O processo autentica os usuários para todos os aplicativos aos quais eles recebem direitos. Ele elimina mais avisos quando os usuários trocam aplicativos durante uma sessão específica.

O protocolo de Federação Security Assertion Markup Language (SAML 2,0) é usado para fornecer autenticação SSO entre a Cisco Webex nuvem e seu provedor de identidade (IDP).

Perfis

Cisco Webex Teams suporta apenas o perfil de SSO do navegador da Web. No perfil de SSO do navegador da Web, Cisco Webex Teams suporta as seguintes associações:

  • SP iniciou a ligação POST-> POST

  • SP iniciou reDIRECIONAmento de POSTAgem >

Formato da ID do nome

O protocolo SAML 2,0 suporta vários formatos NameID para comunicação sobre um usuário específico. Cisco Webex Teams suporta os seguintes formatos NameID.

  • urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitório

  • urn: Oasis: names: TC: SAML: 1.1: NameID-formato: não especificado

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress

Nos metadados que você carrega de seu IdP, a primeira entrada é configurada para uso em Cisco Webex.

SingleLogout

Cisco Webex Teams suporta o perfil de logoff único. No Cisco Webex Teams aplicativo, um usuário pode sair do aplicativo, que usa o protocolo de logoff único SAML para terminar a sessão e confirmar que você deve sair com o seu IDP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre Cisco Webex Control Hub com o Shibboleth para registro único


Os guias de configuração mostram um exemplo específico para integração SSO, mas não fornecem configuração exaustiva para todas as possibilidades. Por exemplo, as etapas de integração para NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitório está documentado. Outros formatos, como urn: Oasis: names: TC: SAML: 1.1: NameID-Format: não especificado ou urn: Oasis: names: TC: SAML: 1.1: NameID-Format: EmailAddress funcionará para a integração de SSO, mas está fora do escopo da nossa documentação.

Configure esta integração para usuários na sua Cisco Webex organização (incluindo Cisco Webex Teams, Cisco Webex Meetingse outros serviços administrados em Cisco Webex Control Hub). Se o seu Webex site estiver integrado Cisco Webex Control Hub, o Webex site herda o gerenciamento de usuários. Se você não conseguir acessar Cisco Webex Meetings desta forma e não for gerenciada no Cisco Webex Control Hub, você deve fazer uma integração separada para habilitar o SSO Cisco Webex Meetingspara. (Consulte Configure o registro único para WebEx para obter mais informações na integração SSO no administração do site.)

As etapas de integração referem-se a Shibboleth 2.4.5 no CentOS 7 com o Tomcat 7 como o servidor Web.

Antes de Iniciar

Para SSO e Cisco Webex Control Hub, IDPs devem estar de acordo com a especificação SAML 2,0. Além disso, o IdPs deve ser configurado da seguinte maneira:
  • Defina o atributo de formato NameID como urn: Oasis: names: TC: SAML: 2.0: NameID-Format:transitório

  • Configure uma declaração no IdP para incluir o nome do atributo UID com um valor que é mapeado para o atributo escolhido no Cisco conector de diretórios ou o atributo de usuário que corresponde ao que foi escolhido no cisco WebEx serviço de identidade. (Este atributo pode ser endereços de E-mail ou nome principal de usuário, por exemplo.) Consulte as informações sobre o atributo personalizado no https://www.Cisco.com/go/Hybrid-Services-Directory para obter orientação.

  • Use um navegador compatível: Recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.

  • DesAtive qualquer bloqueador de pop-up no seu navegador.

Baixar os Cisco Webex metadados para o seu sistema local

1

Na exibição do cliente em https://admin.webex.com, vá para configuraçõese, em seguida, role até autenticação.

2

Clique em Modificar, clique em integrar um provedor de identidade de terceiros. (Avançado)e clique em próximo.

3

Baixar o arquivo de metadados.

O Cisco Webex nome do arquivo de metadados é idb-meta-<org-ID>-SP. XML.

Configurar a autorização em arquivos Shibboleth

Depois de instalar o Shibboleth, você receberá arquivos de configuração com exemplos.

1

Vá para o diretório /opt/Shibboleth-IDP/conf para acessar os arquivos de exemplo.

2

Decidir qual método de autorização usar — por exemplo, LDAP BIND to Active Directory.

3

Edite o arquivo handler. XML da seguinte maneira:

Não comentar

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn: Oasis: names: TC: SAML: 2.0: AC: classes: PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Comentário

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

Preencha os detalhes do seu Active Directory para permitir a autenticação. Forneça a configuração para o arquivo logon. config.

Exemplo:

ShibUserPassAuth {edu. VT. middleware. LDAP. JAAS. LdapLoginModule necessário ldapUrl = "LDAP://ad0a.Cisco.net: 389" SSL = "falso" TLS = "falso" baseado em = "CN = usuários, DC = Cisco, DC = net" subtreeSearch = "true" userFilter = "sAMAccountName ={0}" bindDn = "CN = Administrador, CN = usuários, DC = Cisco, DC = net "bindCredential =" a senha "; };

Configurar Shibboleth provedor de serviços Cobmponents para Asserção SAML

1

Adicione o arquivo que você baixou de CI para o diretório /opt/Shibboleth-IDP/Metadata.

2

Editar o Relying-Party. xml arquivo após a tag DefaultRelyingParty, adicione os detalhes da Asserção SAML para Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Para ID, você deve usar o valor ID da entidade a partir do Cisco Webex arquivo de metadados. Substitua a ID do exemplo pela EntityId da sua organização.

3

Dentro da tag Metadata: MetadataProvider, adicione o local do arquivo:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

Os metadados do SP vêm de um arquivo no sistema de arquivos Shibboleth, no local onde você carregou os metadados da sua Cisco Webex organização.

Configurar os atributos de asserção

1

Na seção conector de dados, especifique onde recuperar atributos sobre seus usuários.

Exemplo:

Active Directory, com uma ID de meu LDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

Na seção definição de atributo, mantenha o que já está na configuração para transitóriaid.

3

Adicione o atributo extra que o SP está esperando e defina o que ele mapeia na origem do atributo.

Exemplo:

Mapeie o e-mail de atributo (atributo de endereço de e-mail em Active Directory) para UID (UserID in Cisco Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Defina qual atributo fornecer a cada acordo de SP no arquivo Attribute-Filter. XML .

Forneça o atributo UID a ser Cisco Webex mapeado para o endereço de e-mail do usuário.

Exemplo:

Libere o atributo UID para o contrato de SP com Cisco Webex.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

A regra que você criou no Attribute-resolver. XML deve ter uma política para liberar o atributo mail-attr para o EntityId correspondente Cisco Webex.

5

Baixe o arquivo de metadados do servidor shibboleth em /opt/Shibboleth-IDP/Metadata. O nome do arquivo é IDP-Metadata. XML.

Importar os metadados IdP e habilitar o registro único após um teste

Depois de exportar os Cisco Webex metadados, configurar o IDP e baixar os metadados do IDP para o seu sistema local, você estará pronto para importá-lo para a sua Cisco Webex organização a partir de Hub de controle.

1

Escolha uma das opções:

  • Volte para a Cisco Webex Control Hub página – Exportar metadados do diretório no seu navegador e clique em próximo.
  • Se Hub de controle não estiver mais aberta na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para configurações, role até autenticação, escolha integrar um provedor de identidade de terceiros (avançado)e clique em próximo em confiável página arquivo de metadados (porque você já fez isso antes).
2

Na página importar metadados do IdP, arraste e solte o arquivo de metadados IdP na página ou use a opção navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Se os metadados não forem assinados, forem assinados com um certificado auto-assinado ou assinados com uma autoridade de certificação corporativa privada (CA), recomendamos que você use o certificado necessário assinado por uma autoridade de certificação em metadados (mais seguro). Se o certificado for auto-assinado, você precisará escolher a opção menos segura .

3

Selecione testar conexão SSOe quando uma nova aba do navegador abrir, autentique com o IdP entrando em sessão.


 

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um Webex Teams erro normalmente significa um problema com a configuração SSO. Neste caso, percorra as etapas novamente, especialmente as etapas onde você copia e cola os Hub de controle metadados na configuração IDP.

4

Retornar à Hub de controle Guia do navegador.

  • Se o teste tiver sido bem-sucedido, selecione este teste foi bem-sucedido. Ative a opção de registro único e clique em próximo.
  • Se o teste não foi bem-sucedido, selecione este teste não foi bem-sucedido. DesAtive a opção de registro único e clique em próximo.

O que Fazer Depois

Você pode seguir o procedimento em suprimir E-mails automatizados para desativar e-mails que são enviados para novos Webex Teams usuários na sua organização. O documento também contém as melhores práticas para enviar comunicações para os usuários na sua organização.