Logon único e Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação da linguagem de marcação de declaração de segurança (SAML 2.0) é usado para fornecer autenticação de SSO entre a nuvem Webex e seu fornecedor da identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de SSO do navegador da web. No perfil de SSO do navegador da web, o aplicativo Webex suporta as seguintes associações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carrega do IdP, a primeira entrada é configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logoff único. No aplicativo Webex, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo SAML de logoff único para encerrar a sessão e confirmar que a finalizou com o IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com PingFederate


 

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração do nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarão para integração de SSO, mas estão fora do escopo da nossa documentação.

Configure esta integração para usuários em sua organização Webex (incluindo Webex App, Webex Meetings e outros serviços administrados no Control Hub). Se o seu site do Webex estiver integrado no Control Hub, o site do Webex herdará o gerenciamento de usuários. Se você não pode acessar o Webex Meetings dessa maneira e ele não é gerenciado no Control Hub, você deve fazer uma integração separada para habilitar o SSO para Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de você começar

No SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

Baixe os metadados do Webex para seu sistema local

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização e role até Autenticação e, em seguida, alterne para Logon único configuração para iniciar o assistente de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

 

As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex é idb-meta-<org-ID> -SP.xml .

Configurar uma nova conexão do provedor de serviços

1

Acesse o portal de Administração PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Em Conexões SP , selecione Criar novo .

3

Selecione o botão de opção Não usar um modelo para esta conexão e, em seguida, selecione Next .

4

Selecione Perfis de SSO do navegador , em seguida, clique em Next .

5

Selecione a guia Importar metadados .

6

Clique em Escolher arquivo para navegar e importar o arquivo de metadados que você baixou do Control Hub e, em seguida, clique em Próximo .

7

Revise as informações na guia Informações gerais e clique em Concluído .

Configurar o registro único do navegador

1

No portal de administração PingFederate, selecione Configurar SSO do navegador .

2

Marque a caixa de seleção SP-Iniciated SSO e clique em Next .

3

Selecione Configurar criação da declaração .

  1. Altere o formato NameID para Transient e marque a Incluir atributos além da caixa de seleção do identificador transitório .

  2. Estender os atributos do contrato adicionando mail e uid atributos no formato urn:oasis:names:tc:SAML:2.0:attrname-format-basic, em seguida, clique em Próximo .

  3. Selecione Mapear nova instância de adaptador para escolher um mecanismo de autenticação. Na lista suspensa INSTÂNCIA DO ADAPTADOR , selecione um dos mecanismos de autenticação configurados anteriormente e clique em Próximo .

  4. Selecione o Recuperar atributos adicionais de vários armazenamentos de dados usando um mapeamento botão de opção e clique em Próximo .

  5. Selecione Adicionar fonte de atributo para adicionar o controlador de domínio do Active Directory para o domínio e clique em Próximo .

  6. Especifique o Base DN e selecione a classe de objeto raiz <Show All="" Attributes="">. Na caixa de texto Filtrar, insira o filtro LDAP e clique em Próximo .

    A entrada deve conter o atributo que você espera que o usuário forneça. Ele também precisa conter o valor que mapeia nas fontes LDAP. Por exemplo, se o seu diretório ativo estiver definido para filtrar no atributo de logon do Windows, insira sAMAccountName=${Username}.

  7. Selecione a fonte e o valor para mapear os atributos de asserção com os atributos fornecidos pelo armazenamento de dados do AD. (Não insira nada para Critérios de Emissão.)

  8. Verifique se a configuração de declaração tem Mapeamento de identidade definido como Transitório, Contrato De Atributo definido como uid, e Instâncias de adaptador definido como 1...


     

    O atributo uid deve ser mapeado para o endereço de e-mail do usuário.

4

Selecione Configurar configurações de protocolo .

  1. Para Vinculações SAML Permitidas, marque apenas as caixas de seleção POST e Redirect .

  2. Para Política de assinatura, selecione Sempre assinar a declaração SAML .

    As configurações de protocolo devem ser semelhantes às seguintes.

  3. Selecione Configurar credenciais para configurar o certificado para a asserção.

  4. Selecione o certificado que já foi criado para asserções SAML.

5

Na tela Ativação e resumo, defina o Status da conexão para Ativo .

Exportar metadados do PingFederate

1

Na tela principal, clique em Gerenciar todos SP .

2

Encontre a conexão que você acabou de criar e clique em Exportar metadados .

3

Escolha o certificado a ser usado para assinar o arquivo exportado no menu suspenso.

4

Clique em Exportar.

Importar os metadados IdP e habilitar a logon único centralizada após um teste

Depois de exportar os metadados Webex , configurar seu IdP e baixar os metadados IdP para seu sistema local, você está pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de você começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne para a página de seleção de certificado do Control Hub no seu navegador e clique em Próximo .
  • Se o Control Hub não estiver mais aberto na guia do navegador, a partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e, em seguida, escolha Ações > Importar metadados .
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar o Mais seguro opção, se possível. Isso só será possível se o IdP tiver usado uma CA pública para assinar os metadados.

Em todos os outros casos, você deve usar o Menos seguro opção. Isso inclui se os metadados não são assinados, autoassinados ou assinados por uma CA privada.


 

O Okta não assina os metadados, portanto, você deve escolher Menos seguro para uma integração do Okta SSO.

3

Selecionar Testar a configuração do SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a configuração do SSO. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.


 

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falsos positivos devido a um token de acesso que pode estar em uma sessão existente em que você está conectado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ativar o SSO e clique em Próximo .
  • Se o teste não foi bem-sucedido, selecione Teste malsucedido. Desativar o SSO e clique em Próximo .

 

A configuração do SSO não entra em vigor na sua organização, a menos que você escolha o primeiro botão de opção de opção e ative o SSO.

O que fazer em seguida

Utilize os procedimentos em Sincronizar usuários Okta no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Okta para a nuvem Webex .

Utilize os procedimentos em Sincronizar os usuários do Azure Active Directory no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Azure AD para a nuvem Webex .

Você pode seguir o procedimento em Suprimir os e-mails automatizados para desabilitar os e-mails que são enviados para novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.