Assinatura única e Cisco Webex Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O Protocolo de federação SAML 2.0 (Linguagem de marcação de asserção de segurança) é usado para fornecer autenticação de SSO entre o Cisco Webex em nuvem e o provedor de identidade (IdP).

Perfis

Cisco Webex suporta apenas o perfil de usuário e SSO da web. No perfil de usuário SSO navegador da web, o Cisco Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato da ID do nome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. Cisco Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carrega do IdP, a primeira entrada é configurada para uso no Cisco Webex.

Integrar Cisco Webex Control Hub com o Microsoft Azure


Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua Cisco Webex de usuário (incluindo Cisco Webex , Cisco Webex Meetings e outros serviços administrados em Cisco Webex Control Hub). Se o site Webex estiver integrado no Cisco Webex Control Hub, o site Webex herdará o gerenciamento de usuários. Se você não conseguir acessar o Cisco Webex Meetings dessa maneira e ele não for gerenciado no Cisco Webex Control Hub, será necessário fazer uma integração separada para habilitar o SSO no Cisco Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Antes de começar

Para SSO e Cisco Webex Control Hub , os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:


No modo Active Directory Azure, o provisionamento é suportado apenas no modo manual. Este documento abrange somente registro único (SSO) integrado.

Baixar os metadados do Cisco Webex no seu sistema local

1

Na exibição do cliente em https://admin.webex.com, vá para Configurações e role até Autenticação.

2

Clique em Modificar e em Integrar um provedor de identidade de terceiros. (Avançado) e, em seguida, clique em Próximo.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados do Cisco Webex é idb-meta-<org-ID>-SP.xml.

Definir as configurações do aplicativo de registro único no Azure

Antes de começar

  • Consulte O que é o Azure Active Directory para indefini-los aos recursos do IdP no Azure Active Directory.

  • Configure Azure Active Directory.

  • Criar usuários locais ou sincronizar com um sistema de diretório ativo no local.

  • Abra o arquivo Cisco Webex de metadados que você baixou dos Cisco Webex Control Hub.

  • Há um tutorial relacionado no site de documentação da Microsoft.

1

Entre no portal do Azure em https://portal.azure.com com suas credenciais de administrador.

2

Vá para Ozure Active Directory para sua organização.

3

Vá para Aplicativos empresariais e clique em Adicionar.

4

Clique em Adicionar um aplicativo da galeria.

5

Na caixa pesquisar, digite Cisco Webex .

6

No painel de resultados, selecione o Cisco Webex e clique em Adicionar para adicionar o aplicativo.

Uma mensagem é exibida informando que o aplicativo foi adicionado com êxito.

7

Configurar o acesso único:

  1. Depois de criar o contrato de aplicativo, vá para a guia de Registro único e, em seguida, em Selecionar um método de registro único, escolha SAML.

  2. Na página Configurar o Single Sign-On com SAML, clique no ícone Editar para abrir aConfiguração BÁSICASAML.

  3. Clique em Carregar arquivo de metadados e escolha o arquivo de metadados que você baixou Cisco Webex Control Hub .

    Alguns campos são preenchidos automaticamente para você.

  4. Copie o valor do URL de resposta e o colar no URL delogom e salve as alterações.

8

Vá para Gerenciar > usuários e grupos e escolha os usuários e grupos aplicáveis aos quais você deseja conceder acesso Cisco Webex .

9

Na página Configurar Registro Único com SAML, na seção Certificado de Assinatura SAML, clique em Baixar para baixar o XML de metadados da Federação e salvá-lo em seu computador.

10

Na página Propriedades, certifique-se de que Visível para os usuários? está definido como Não .

Não suportamos tornar o aplicativo Webex visível para os usuários.

Importar os metadados do IdP e habilitar o registro único após um teste

Depois de exportar os metadados do Cisco Webex, configurar o IdP e baixar os metadados do IdP no seu sistema local, você estará pronto para importá-los para sua organização Cisco Webex do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne à página do Cisco Webex Control Hub - Exportar metadados do diretório em seu navegador e clique em Próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para Configurações, role até Autenticação, escolha Integrar um fornecedor de identidade de terceiros (Avançado) e clique em Próximo na página do arquivo de metadados confiáveis (porque você já fez isso antes).
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção mais segura se você puder ( Exigircertificado assinado por uma autoridade de certificação em metadados). Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção menos segura(Permitir certificado auto assinado em metadados). Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.

3

Selecione Testar conexão de SSO e quando uma nova guia do navegador for aberta, autentique-se com o IdP ao iniciar sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste for bem-sucedido, selecione Este teste foi bem-sucedido. Ative a opção de Registro único e clique em Próximo.
  • Se o teste não for bem-sucedido, selecione Este teste não foi bem-sucedido. Desative a opção de Registro único e clique em Próximo.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar e-mails que são enviados para novos usuários Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Solucionar problemas da integração Active Directory Azure

Ao fazer o teste SAML, certifique-se de usar o Mozilla Firefox e de instalar o tracer SAML do https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Verifique a declaração que vem do Azure para se certificar de que ele tenha o formato de nameid correto e tenha um uid de atributo que corresponder a um usuário no Cisco Webex.