Logon único e Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação da linguagem de marcação de declaração de segurança (SAML 2.0) é usado para fornecer autenticação de SSO entre a nuvem Webex e seu fornecedor da identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de SSO do navegador da web. No perfil de SSO do navegador da web, o aplicativo Webex suporta as seguintes associações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carrega do IdP, a primeira entrada é configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logoff único. No aplicativo Webex, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo SAML de logoff único para encerrar a sessão e confirmar que a finalizou com o IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com F5 Big-IP


 

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração do nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarão para integração de SSO, mas estão fora do escopo da nossa documentação.

Configure esta integração para usuários em sua organização Webex (incluindo Webex App, Webex Meetings e outros serviços administrados no Control Hub). Se o seu site do Webex estiver integrado no Control Hub, o site do Webex herdará o gerenciamento de usuários. Se você não pode acessar o Webex Meetings dessa maneira e ele não é gerenciado no Control Hub, você deve fazer uma integração separada para habilitar o SSO para Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de você começar

No SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

Baixe os metadados do Webex para seu sistema local

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização e role até Autenticação e, em seguida, alterne para Logon único configuração para iniciar o assistente de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

 

As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex é idb-meta-<org-ID> -SP.xml .

Configurar o provedor de serviços externos e o provedor de identidade

1

Na interface de administração BIG-IP F5, vá para Política de acesso > SAML > BIG-IP as IdP ...

2

Em Conectores SP externos , selecione Criar > De metadados ...

3

Insira um nome significativo para o nome do provedor de serviços, como <yourorganizationname>.ciscowebex.com .

4

Em Configurações de segurança , marque as seguintes caixas de seleção:

  • A resposta deve ser assinada
  • A declaração deve ser assinada
5

Retornar para Política de acesso > SAML > BIG-IP as IdP e, em seguida, crie um novo serviço de provedor de identidade (IdP).

6

Insira um nome significativo para o nome do serviço IdP, como CI .

7

Para o ID da entidade IdP, use o FQDN do servidor Big-IP com algo na frente — por exemplo, https://bigip0a.uc8sevtlab13.com/CI.

8

Em Configurações de declaração , selecione Identificador Transitório para Tipo de assunto de declaração .

9

Para Valor do assunto da declaração , retorne o valor do e-mail do usuário %{session.ad.last.attr.mail}.

10

Retorne os atributos mail e uid com o valor %{session.ad.last.attr.mail}.

11

Em Configurações de segurança , escolha um certificado para assinar a declaração.

12

Salve as alterações e vincule o provedor de serviços e o provedor de identidade que você criou.

Baixar os metadados do F5 Big-IP

1

Selecione Exportar serviço IDP .

2

Certifique-se de que o valor Sign Metadata seja Yes .

3

Baixe o arquivo de metadados no seu desktop ou em um local que seja fácil de encontrar.

Adicionar uma política de acesso

1

Vá para Política de acesso > Perfis de acesso > SAML e crie um recurso SAML para o IdP que você criou.

2

Vá para seu Perfil de acesso e edite a política de acesso que você usa para o Webex Messenger CAS.

3

Adicione um novo item na guia Logon com o nome Página de logon e deixe os valores padrão.

4

Adicione um novo item na guia Autenticação com o nome AD Auth e especifique seu Active Directory como servidor.

5

Na ramal bem-sucedida, adicione Consulta AD da guia Autenticação

6

Vá para Regras da ramificação e a alterou para Consulta AD foi aprovada .

7

No ramo bem-sucedido da consulta AD, adicione Advanced Resource Assign da guia Assignment .

8

Clique em Adicionar/Excluir e adicione dois recursos SAML com todos os recursos SAML e o Webtop que você criou.

9

Para Selecionar Encerramento , selecione Permitir .

A política de acesso deve se parecer com esta captura de tela:

Associe o perfil de acesso ao servidor virtual

Você deve associar o perfil de acesso ao servidor virtual que você criou.

1

Ir para Tráfego local > Servidores virtuais ...

2

Perfis de acesso aberto para confirmar que nenhum servidor virtual está associado ao perfil.

3

Selecione Atribuição avançada de recursos .

4

Selecione Adicionar/excluir para adicionar o novo recurso SAML.

5

Feche as janelas de design da Política de acesso e aplique a nova política de acesso.

Importar os metadados IdP e habilitar a logon único centralizada após um teste

Depois de exportar os metadados Webex , configurar seu IdP e baixar os metadados IdP para seu sistema local, você está pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de você começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne para a página de seleção de certificado do Control Hub no seu navegador e clique em Próximo .
  • Se o Control Hub não estiver mais aberto na guia do navegador, a partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e, em seguida, escolha Ações > Importar metadados .
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar o Mais seguro opção, se possível. Isso só será possível se o IdP tiver usado uma CA pública para assinar os metadados.

Em todos os outros casos, você deve usar o Menos seguro opção. Isso inclui se os metadados não são assinados, autoassinados ou assinados por uma CA privada.


 

O Okta não assina os metadados, portanto, você deve escolher Menos seguro para uma integração do Okta SSO.

3

Selecionar Testar a configuração do SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a configuração do SSO. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.


 

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falsos positivos devido a um token de acesso que pode estar em uma sessão existente em que você está conectado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ativar o SSO e clique em Próximo .
  • Se o teste não foi bem-sucedido, selecione Teste malsucedido. Desativar o SSO e clique em Próximo .

 

A configuração do SSO não entra em vigor na sua organização, a menos que você escolha o primeiro botão de opção de opção e ative o SSO.

O que fazer em seguida

Utilize os procedimentos em Sincronizar usuários Okta no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Okta para a nuvem Webex .

Utilize os procedimentos em Sincronizar os usuários do Azure Active Directory no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Azure AD para a nuvem Webex .

Você pode seguir o procedimento em Suprimir os e-mails automatizados para desabilitar os e-mails que são enviados para novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.