Registro único e Webex Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou de usuário que permite que um usuário forneça credenciais para acessar um ou mais aplicativos. O processo autentica os usuários para todos os aplicativos para os quais eles recebem direitos. Ela elimina mais solicitações quando os usuários alternam os aplicativos durante uma sessão específica.

O protocolo de Federação do Security Assertion Markup Language (SAML 2,0) é usado para fornecer SSO autenticação entre o Cisco Webex Cloud e seu provedor de identidade (IdP).

Perfis

Cisco Webex Teams suporta apenas o perfil de SSO do navegador da Web. No perfil de SSO do navegador da Web, Cisco Webex Teams suporta as seguintes associações:

  • SP iniciou a ligação de post->

  • SP iniciado redirecionar > publicar ligação

Formato da ID do nome

O protocolo SAML 2,0 suporta vários formatos NameID para a comunicação sobre um usuário específico. Cisco Webex Teams suporta os seguintes formatos de NameID.

  • urn: Oasis: nomes: TC: SAML: 2.0: NameID-Format: transitório

  • urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: Unspecified

  • urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: emailAddress

Nos metadados que você carrega do seu IdP, a primeira entrada é configurada para uso em Cisco Webex.

SingleLogout

Cisco Webex Teams suporta o perfil de logoff único. No aplicativo Cisco Webex Teams, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo de logoff único SAML para encerrar a reunião e confirmar que você pode sair com o seu IdP. Certifique-se de que seu IdP está configurado para SingleLogout.

Integre Cisco Webex Control Hub com o PingFederate para registro único


Os guias de configuração mostram um exemplo específico para SSO integração, mas não fornecem configuração exaustiva para todas as possibilidades. Por exemplo, as etapas de integração para NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitório está documentado. Outros formatos, como urn: Oasis: names: TC: SAML: 1.1: nomeid-Format: Unspecified ou urn: Oasis: names: TC: SAML: 1.1: NameID-Format: EmailAddress funcionará para a integração do SSO, mas está fora do escopo da nossa documentação.

Configurar essa integração para usuários na sua organização Cisco Webex (incluindo Cisco Webex Teams, Cisco Webex Meetings e outros serviços administrados no Cisco Webex Control Hub). Se seu site Webex estiver integrado no Cisco Webex Control Hub, o site Webex herdará o gerenciamento de usuários. Se você não conseguir acessar Cisco Webex Meetings dessa forma e ele não for gerenciado no Cisco Webex Control Hub, você deverá fazer uma integração separada para habilitar o SSO para Cisco Webex Meetings. (Consulte Configure o registro único para Webex para obter mais informações na integração do SSO em administração do site.)

Antes de Iniciar

Para SSO e Cisco Webex Control Hub, o IdPs deve estar de acordo com a especificação SAML 2,0. Além disso, o IdPs deve ser configurado da seguinte maneira:
  • Defina o atributo de formato NameID para urn: Oasis: names: TC: SAML: 2.0: NameID-Format:transitório

  • Configure uma declaração no IdP para incluir o nome do atributo UID com um valor que é mapeado para o atributo escolhido no Cisco conector de diretórios ou o atributo de usuário que corresponde ao que foi escolhido na Cisco Webex serviço de identidade. (Este atributo pode ser endereço de E-mail ou nome principal do usuário, por exemplo). Consulte as informações do atributo personalizado no https://www.Cisco.com/go/Hybrid-Services-Directory para obter orientação.

  • Use um navegador compatível: Recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.

  • Desative todos os bloqueadores de pop-ups no seu navegador.

Baixar os Cisco Webex metadados para o seu sistema local

1

Na exibição do cliente em https://admin.webex.com, vá para configuraçõese role até a autenticação.

2

Clique em Modificar, clique em integrar um provedor de identidade de terceiros. (Avançado)e, em seguida, clique em próximo.

3

Baixe o arquivo de metadados.

O nome de arquivo de metadados Cisco Webex é idb-meta-<org-ID>-SP. XML.

Configurar uma nova conexão provedor de serviços

1

Vá para o portal de administração do PingFederate (https://<FQDN of="" PingFederate="">: 9999/PingFederate/app).

2

Em conexões SP, selecione criar novo.

3

Selecione a não usar um modelo para esta conexão botão de opção, em seguida, selecione próximo.

4

Selecione navegador SSO perfise, em seguida, clique em próximo.

5

Selecione a guia importar metadados .

6

Clique em escolher arquivo para procurar e importar o arquivo de metadados que você baixou de Cisco Webex Control Hub e, em seguida, clique em próximo.

7

Revise as informações na guia informações gerais e, em seguida, clique em concluído.

Configurar navegador de registro único

1

No portal de administração do PingFederate, selecione Configurar navegador SSO.

2

Marque a caixa de seleção SSO iniciadas pelo SP e clique em próximo.

3

Selecione Configurar criação de Declaração.

  1. Altere o NameID-Format para transitório e marque a caixa de seleção incluir atributos além da identificação transitória .

  2. Estenda os atributos do contrato adicionando atributos de e-mail e UID no formato urn: Oasis: names: TC: SAML: 2.0: attrName-Format-Basic, depois clique em próximo.

  3. Selecione mapear nova ocorrência de adaptador para escolher um mecanismo de autenticação. No menu suspenso ocorrência do adaptador, selecione um dos mecanismos de autenticação configurados anteriormente e clique em próximo.

  4. Selecione recuperar atributos adicionais de vários armazenamentos de dados usando um mapeamento botão de opção, em seguida, clique em próximo.

  5. Selecione Adicionar fonte de atributo para adicionar o Active Directory controlador de domínio para o domínio e clique em próximo.

  6. Especifique o DN base e selecione a classe do objeto raiz <Show All="" Attributes="">. Na caixa de texto filtro, insira o filtro LDAP e clique em próximo.

    A entrada deve conter o atributo que você espera que o usuário forneça. Ela também precisa conter o valor que ele mapeia nas fontes LDAP. Por exemplo, se o seu Active Directory estiver definido para filtrar no atributo de logon do Windows, insira sAMAccountName = $ {username}.

  7. Selecione a fonte e o valor para mapear os atributos de declaração com os atributos fornecidos pelo armazenamento de dados do AD. (Não insira nada para os critérios de emissão.)

  8. Verifique se a configuração de declaração tem o mapeamento de identidade definido como transitório, atributo de contrato definido para UID, e as instâncias do adaptador definidas para 1.


     

    O atributo UID deve ser mapeado para o endereço de e-mail do usuário.

4

Selecione Configurar definições de protocolo.

  1. Para associações SAML permitidas, marque apenas as caixas de seleção Enviar e redirecionar .

  2. Para política de assinatura, selecione sempre assinar a ASSERÇÃO SAML.

    As configurações do protocolo devem ter a aparência a seguir.

  3. Selecione configurar credenciais para configurar o certificado para a declaração.

  4. Selecione o certificado que já foi criado para asserções SAML.

5

Na tela de ativação e resumo, defina o status da conexão como ativo.

Exportar metadados do PingFederate

1

Na tela principal, clique em gerenciar todo o SP.

2

Encontre a conexão que você acabou de criar e clique em Exportar metadados.

3

Escolha o certificado a ser usado para assinar o arquivo exportado da lista suspensa.

4

Clique em Exportar.

Importar os metadados IdP e habilitar o registro único após um teste

Depois de exportar os Cisco Webex metadados, configurar seu IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-lo para a sua organização de Cisco Webex do Control Hub.

Antes de Iniciar

Não teste a integração SSO da interface do provedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.

1

Escolha uma das opções:

  • Retorne à página Cisco Webex Control Hub – exportar metadados do diretório no seu navegador e, em seguida, clique em próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para configurações, role até autenticação, escolha integrar um provedor de identidade de terceiros (avançado)e, em seguida, clique em próximo na página de arquivos de metadados confiáveis (porque você já fez isso antes).
2

Na página importar metadados IdP, arraste e solte o arquivo de metadados IdP na página ou use a opção navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próxima.

Se os metadados não são assinados, são assinados com um certificado autoassinado, ou assinados com uma autoridade de certificação corporativa privada (CA), recomendamos que você use o certificado necessário assinado por uma autoridade de certificação em metadados (mais seguro). Se o certificado for auto-assinado, você precisará escolher a opção menos segura .

3

Selecione testar SSO conexãoe quando uma nova guia do navegador abrir, autentique com o IdP entrando em sessão.


 

Se você receber um erro de autenticação, poderá haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro Webex Teams normalmente significa um problema com a configuração do SSO. Neste caso, percorra as etapas novamente, especialmente as etapas onde você copia e cola os metadados do Control Hub na configuração do IdP.

4

Retornar para a guia do navegador do Control Hub.

  • Se o teste foi bem sucedido, selecione este teste foi bem sucedido. Ative a opção de registro único e clique em próximo.
  • Se o teste não foi bem-sucedido, selecione este teste não foi bem-sucedido. Desative a opção de registro único e clique em próximo.

O que Fazer Depois

Você pode seguir o procedimento em suprime E-mails automatizados para desativar e-mails que são enviados para novos usuários do Webex Teams na sua organização. O documento também contém as melhores práticas para enviar comunicações para usuários na sua organização.