Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação Security Assertion Markup Language (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário SSO navegador da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex, um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para finalizar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com F5 Big-IP

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex ( incluindo Aplicativo Webex, Webex Meetingse outros serviços administrados no Control Hub). Se seu site Webex estiver integrado no Control Hub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de começar

No SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

Baixe os metadados Webex para o seu sistema local

1

Na exibição do cliente https://admin.webex.comem , vá para Gerenciamento > Configurações da organização, role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco —Recomendamos essa escolha. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor IdP ofereça suporte a âncoras de confiança).

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex é idb-meta--SP.xml .

Configure o provedor de serviços externos e o provedor de identidade

1

Na interface de administração BIG-IP F5, vá para Política de acesso > SAML > BIG-IP como IdP .

2

De Conectores SP externos , selecione Criar > De metadados .

3

Insira um nome significativo para o nome do provedor de serviços, como .ciscowebex.com .

4

Em Configurações desegurança, marque as seguintes caixas de seleção:

  • A resposta deve ser assinada
  • A declaração deve ser assinada
5

Retorne à Política de acesso > SAML > BIG-IP como IdP e, em seguida, crie um novo serviço de provedor de identidade (IdP).

6

Insira um nome significativo para o nome do serviço IdP, como CI.

7

Para a ID da Entidade IdP, use a FQDN do servidor Big-IP com algo na frente — por exemplo, https://bigip0a.uc8sevtlab13.com/CI.

8

Em Configurações dedeclaração, selecione Identificador transitório para tipo de assunto da declaração .

9

Para Valor do Assunto da Declaração , retorne o valor do e-mail do usuário %{session.ad.last.attr.mail}.

10

Retorne o e-mail de atributos e o uid com o valor %{session.ad.last.attr.mail}.

11

Em Configurações desegurança, escolha um certificado para assinar a afirmação.

12

Salve suas alterações e, em seguida, binde o provedor de serviços e o provedor de identidade que você criou.

Baixe os metadados F5 Big-IP

1

Selecione Exportar serviço IDP.

2

Certifique-se de que o valor Assinar metadados seja Sim .

3

Baixe o arquivo de metadados no seu desktop ou em um local fácil de encontrar.

Adicionar uma política de acesso

1

Vá para Política de Acesso > Perfis de > SAML e crie um Recurso SAML para o IdP que você criou.

2

Vá para seu Perfil de Acesso e edite a política de acesso que você usa para CAS do Webex Messenger.

3

Adicione um novo item na guia Logon com o nome da Página de logon e deixe os valores padrão.

4

Adicione um novo item na guia de Autenticação com o nome AD Auth e especifique sua Active Directory como o servidor.

5

No filial bem-sucedido, adicione Consulta AD na guia de Autenticação

6

Vá para Regras de regras de filiais e altere-as para Consulta AD éaprovada.

7

No campo bem-sucedido da Consulta AD, adicione Recursos Avançados Atribuir a partir da guia Atribuição.

8

Clique em Adicionar/Excluir e adicione dois recursos SAML com todos os recursos SAML e o Webtop que você criou.

9

Para selecionarTerminar, selecione Permitir .

A política de acesso deve ser parecido com esta captura de tela:

Associe o perfil de acesso com o servidor virtual

Você deve associar o perfil de acesso com o servidor virtual que você criou.

1

Vá para Tráfego local > Servidores virtuais .

2

Abra perfis de acesso para confirmar que nenhum servidor virtual está associado ao perfil.

3

Selecione Recursos avançados Atribuir.

4

Clique em Adicionar/excluir para adicionar o novo recurso SAML.

5

Feche as janelas de design da Política de Acesso e aplique a nova política de acesso.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex , configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.

1

Escolha uma das opções:

  • Retorne ao Control Hub - página de seleção de certificado em seu navegador e, em seguida, clique em Next .
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Autenticaçãoe então escolha Ações > Importar metadados...
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.

Okta não assina os metadados, então você deve escolher Menos seguro para uma integração okta SSO.

3

Selecione Testar configuração de SSO , e quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. A ligue SSO e clique em Próximo.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo.

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

O que fazer em seguida

Use os procedimentos em Sincronizar usuários okta em Cisco Webex Control Hub se você quiser fazer provisionamento de usuário fora do Okta na nuvem Webex.

Use os procedimentos em Sincronizar os Active Directory Azure em Cisco Webex Control Hub se você quiser fazer o provisionamento de usuário do Azure AD na nuvem Webex.

Você pode seguir o procedimento em Suprimir e-mails automáticos para desativar os e-mails enviados aos novos usuários do aplicativo Webex em sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.