Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de Federação de Linguagem de Aumento da Segurança da Declaração (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário e SSO da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex , um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para terminar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com F5 Big-IP

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex (incluindo Webex App, Webex Meetings e outrosserviçosadministrados no Control Hub). Se seu site Webex estiver integrado no ControlHub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar o Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de começar

Para SSO e ControlHub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

Baixe os metadados Webex para o seu sistema local

1

Na exibição do cliente em , vá para Gerenciamento > Da organização e role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente https://admin.webex.com de configuração.
2

Escolha o tipo de certificado para sua organização:

  • Auto assinado pela Cisco— Recomendamos essa opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública — Mais seguro, mas você precisará atualizar com frequência os metadados (a menos que o fornecedorIdP suporte âncoras de confiança).

 

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.
3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex éidb-meta--SP.xml<org-ID>.

Configure o provedor de serviços externos e o provedor de identidade

1

A partir da sua interface de administração BIG-IP F5, vá para Política de Acesso > SAML > GRANDE IP como IdP.
2

Nos conectores SPexternos, selecione Criar > a partir de metadados.
3

Insira um nome significativo para o nome do prestador de serviços, como <yourorganizationname>.ciscowebex.com.
4

Em Configurações desegurança, marque as seguintes caixas de seleção:

  • A resposta deve ser assinada
  • A declaração deve ser assinada
5

Retorne à Política de > SAML > GRANDE IP como IdP e, em seguida, crie um novo serviço de provedor de identidade (IdP).
6

Insira um nome significativo para o nome do serviço IdP, como CI.
7

Para a ID da Entidade IdP, use a FQDN do servidor Big-IP com algo na frente — por exemplo, https://bigip0a.uc8sevtlab13.com/CI.
8

Em Configurações dedeclaração, selecione Identificador transitório para tipo de assunto da declaração .
9

Para Valor do Assunto da Declaração , retorne o valor do e-mail do usuário %{session.ad.last.attr.mail}.
10

Retorne o e-mail de atributos e o uid com o valor%{session.ad.last.attr.mail}.
11

Em Configurações desegurança, escolha um certificado para assinar a afirmação.
12

Salve suas alterações e, em seguida, binde o provedor de serviços e o provedor de identidade que você criou.

Baixe os metadados F5 Big-IP

1

Selecione Exportar serviço IDP.
2

Certifique-se de que o valor Assinar metadados seja Sim.
3

Baixe o arquivo de metadados no seu desktop ou em um local fácil de encontrar.

Adicionar uma política de acesso

1

Vá para Política de Acesso > Perfis de > SAML e crie um Recurso SAML para o IdP que você criou.
2

Vá para seu Perfil de Acesso e edite a política de acesso que você usa para CAS do Webex Messenger.
3

Adicione um novo item na guia Logon com o nome da Página de logon e deixe os valores padrão.
4

Adicione um novo item na guia de Autenticação com o nome AD Auth e especifique sua Active Directory como o servidor.
5

No filial bem-sucedido, adicione Consulta AD na guia de Autenticação
6

Vá para Regras de regras de filiais e altere-as para Consulta AD éaprovada.
7

No campo bem-sucedido da Consulta AD, adicione Recursos Avançados Atribuir a partir da guia Atribuição.
8

Clique em Adicionar/Excluir e adicione dois recursos SAML com todos os recursos SAML e oWebtop que você criou.
9

Para selecionarTerminar, selecione Permitir .

A política de acesso deve ser parecido com esta captura de tela:

Associe o perfil de acesso com o servidor virtual

Você deve associar o perfil de acesso com o servidor virtual que você criou.

1

Vá para Tráfego local e > virtuais .
2

Abra perfis de acesso para confirmar que nenhum servidor virtual está associado ao perfil.
3

Selecione Recursos avançados Atribuir.
4

Clique em Adicionar/excluir para adicionar o novo recurso SAML.
5

Feche as janelas de design da Política de Acesso e aplique a nova política de acesso.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex, configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para a organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne ao Control Hub - página de seleção de certificados no navegador e, em seguida, clique em Próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em , vá para Gerenciamento > Configurações da https://admin.webex.comorganização, role até Autenticação e escolha Ações > Importar metadados .
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.
3

Selecione Testar SSO configuração e, quando uma nova guia do navegador for aberta, autentcule-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

 

Para ver a SSO de início de vida diretamente, você também pode clicar em Copiar URL para a área de transferência desta tela e colar em uma janela de navegador privado. A partir daí, você pode entrar com o SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.
4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ligue o SSO e clique em Próximo.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo.

 

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative SSO.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar e-mails que são enviados para novos usuários do aplicativoWebex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.