Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de Federação de Linguagem de Aumento da Segurança da Declaração (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário e SSO da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex , um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para terminar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com o SimpleSAML

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex (incluindo Aplicativo Webex, Webex Meetings e outrosserviços administrados no Control Hub). Se seu site Webex estiver integrado no ControlHub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar o Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de começar

Para SSO e ControlHub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

Baixe os metadados Webex para o seu sistema local

1

Na exibição do cliente em , vá para Gerenciamento > Configurações da organização e role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente https://admin.webex.com de configuração.
2

Escolha o tipo de certificado para sua organização:

  • Auto assinado pela Cisco— Recomendamos essa opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública — Mais seguro, mas você precisará atualizar com frequência os metadados (a menos que o fornecedorIdP suporte âncoras de confiança).

 

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.
3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex éidb-meta--SP.xml<org-ID>.

Converter metadados

1

Abra o arquivo de metadados Webex exportado em um editor de texto.
2

No seu navegador, abra a página inicial simplesSAML e entre com as suas credenciais de administrador.

A localização da página inicial varia, mas normalmente é semelhante a esta URL de exemplo: https://yourcompany.yourdomain.com/simplesaml.
3

Na página principal, clique em Federação.
4

Em ferramentas, faça um XML para conversão do XML SAML simples.
5

Copie os metadados Webex do editor de texto e depois os colará no campo de conversão de XML.
6

Clique em Analisar.

Os metadados convertidos são exibidos. Você adicionará esses dados ao arquivo de texto SP remoto.

Criar arquivo de metadados do provedor de serviços remotos

Esses passos são destinados a ser um exemplo. O diretório de metadados e o host IdP diferem, dependendo da configuração do cliente.

Antes de começar

Esteja ciente dos atributos que você deve passar e mapp de acordo com a edição do arquivo de metadados saml20-idp-hosted.php. (Por exemplo, uid, e-mail, e-mail, etc.). Veja o exemplo de metadados:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

Na configuração SimpleSAML no host, vá para o diretório de metadados.
2

Usando um editor de texto, colar os dados analisados no final do saml20-sp-remote.php e salvar o arquivo.
3

Retorne para a página inicial SimpleSAML, clique em Federação e depois mostre metadados para o provedor de identidade.
4

Colar os dados em um novo arquivo de texto.
5

Salve o arquivo atualizado no seu desktop com um nome significativo, como simplesaml-metadados.xml.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex, configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para a organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne ao Control Hub - página de seleção de certificados no navegador e, em seguida, clique em Próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em , vá para Gerenciamento > Configurações da organização, role até Autenticação e escolha Ações https://admin.webex.com > Importarmetadados.
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.
3

Selecione Testar SSO configuração e, quando uma nova guia do navegador for aberta, autentcule-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

 

Para ver a SSO de início de vida diretamente, você também pode clicar em Copiar URL para a área de transferência desta tela e colar em uma janela de navegador privado. A partir daí, você pode entrar com SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.
4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ligue o SSO e clique em Próximo.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo .

 

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar e-mails que são enviados para novos usuários do aplicativoWebex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.