Sign-On unic și Cisco Webex Teams

Sign-on unic (SSO) este o sesiune sau un proces de autentificare a utilizatorului care permite unui utilizator să furnizeze acreditări pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile cărora li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută aplicațiile în timpul unei anumite sesiuni.

Protocolul de federalizare a limbajului de aserțiune a aserțiunii de securitate (SAML 2.0) este utilizat pentru a furniza autentificarea SSO între cloud-ul Cisco Webex și furnizorul de identitate (IdP).

Profiluri

Cisco Webex Teams acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, Cisco Webex Teams acceptă următoarele legături:

  • SP a inițiat legarea POST-> POST

  • SP a inițiat redirect-> post obligatoriu

NameID Format

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Cisco Webex Teams acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Cisco Webex.

SingleLogout

Cisco Webex Teams acceptă profilul de deconectare unică. În aplicația Cisco Webex Teams, un utilizator se poate deconecta de la aplicație, care utilizează protocolul de deconectare unică SAML pentru a încheia sesiunea și a confirma că deconectați-vă cu IdP-ul dvs. Asigurați-vă că IdP-ul este configurat pentru SingleLogout.

Integrarea Cisco Webex Control Hub cu SimpleSAML pentru sign-on unic


Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna nameid-format:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress will work for SSO integration but are outside the scope of our documentation.

Configurați această integrare pentru utilizatorii din organizația Cisco Webex (inclusiv Cisco WebexTeams, Cisco Webex Meetings și alte servicii administrateîn Cisco Webex ControlHub). Dacă site-ul webex este integrat în Cisco Webex ControlHub, site-ul Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Cisco Webex Meetings în acest fel și nu este gestionat în Cisco Webex Control Hub , trebuie săfaceți o integrare separată pentru a activa SSO pentru Cisco Webex Meetings. (A se vedea Configurați Sign-On unic pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și Cisco Webex ControlHub, IPP-urile trebuie să respecte specificațiile SAML 2.0. În plus, IPP-urile trebuie configurate în felul următor:
  • Setați atributul NameID Format la urn:oasis:names:tc:SAML:2.0:nameid-format:tranzitoriu

  • Configurați o revendicare pe IdP pentru a include numele atributului uid cu o valoare care este mapată la atributul ales în Cisco Directory Connector sau atributul de utilizator care se potrivește cu cel ales în serviciul de identitate Cisco Webex. (Acest atribut poate fi adrese de poștă electronică sau nume-principal de utilizator, de exemplu.) Consultați informațiile despre atributele particularizate https://www.cisco.com/go/hybrid-services-directory pentru instrucțiuni.

  • Utilizați un browser acceptat: vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.

  • Dezactivați orice blocante pop-up din browser.

Descărcați metadatele Cisco Webex în sistemul local

1

Din vizualizarea client în https://admin.webex.com, accesați Setări , apoidefilați la Autentificare .

2

Faceți clic pe Modificare , faceți clic pe Integrare furnizor de identitate3rd-party. (Avansat), apoi faceți clic pe Următorul.

3

Descărcați fișierul de metadate.

Numele fișierului de metadate Cisco Webex este idb-meta-<org-ID>-SP.xml.

Conversia metadatelor

1

Deschideți fișierul de metadate Cisco Webex exportat într-un editor de text.

2

În browser, deschideți pagina de pornire simpleSAML și conectați-vă cu acreditările de administrator.

Locația paginii de pornire variază, dar este de obicei similară cu acest exemplu de adresă URL: https://yourcompany.yourdomain.com/simplesaml.

3

Din pagina principală, faceți clic pe Federație.

4

Sub instrumente, efectuați o conversie XML în Simple SAML XML.

5

Copiați metadatele Cisco Webex din editorul de text, apoi lipiți-le în câmpul de conversie XML.

6

Faceți clic pe Analiză.

Apar metadatele convertite. Veți adăuga aceste date în fișierul text SP la distanță.

Crearea fișierului de metadate furnizor de servicii la distanță

Acești pași sunt destinați ca exemplu. Directorul de metadate și gazda IdP vor diferi în funcție de configurarea clientului.

Înainte de a începe

Fiți conștienți de atributele pe care trebuie să treacă și mapp în consecință prin editarea fișierului de metadate saml20-idp-hosted.php fișier. (De exemplu, uid, mail, e-mail, și așa mai departe). Vedeți exemplele de metadate:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

În configurația SimpleSAML pe gazdă, accesați directorul de metadate.

2

Folosind un editor de text, lipiți datele analizate la sfârșitul saml20-sp-remote.php și salvați fișierul.

3

Reveniți la prima pagină SimpleSAML, faceți clic pe Federalizare, apoi afișați metadate pentru furnizorul de identitate.

4

Lipiți datele într-un fișier text nou.

5

Salvați fișierul actualizat pe desktop cu un nume semnificativ, cum ar fi simplesaml-metadata.xml.

Importul metadatelor IdP și activarea conectării unice după un test

După ce exportați metadatele Cisco Webex, configurați IdP-ul și descărcați metadatele IdP în sistemul local, sunteți gata să le importați în organizația Cisco Webex din ControlHub.

1

Alegeți una:

  • Reveniți la pagina Cisco Webex Control Hub - Exportați metadatele directorului din browser, apoi faceți clic pe Următorul.
  • Dacă Control Hub nu mai este deschis în fila browserului, din vizualizarea client din https://admin.webex.com, accesați Setări ,defilați la Autentificare , alegeți Integrare furnizor de identitateterță parte (Complex), apoi faceți clic pe Următorul pe pagina fișierului cu metadate de încredere (deoarece ați făcut-o deja înainte).
2

Pe pagina Import metadate IdP, fie trageți și fixați fișierul de metadate IdP în pagină, fie utilizați opțiunea browserului de fișiere pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Următorul.

Dacă metadatele nu sunt semnate, sunt semnate cu un certificat autosemnat sau sunt semnate cu o autoritate de certificare de întreprindere privată (CA), vă recomandăm să utilizați certificatul necesar semnat de o autoritate de certificare în Metadate (mai sigur). Dacă certificatul este autosemnat, trebuie să alegeți opțiunea mai puțin sigură.

3

Selectați Test conexiune SSOși, atunci când se deschide o nouă filă de browser, autentificați-vă cu IdP prin conectare.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex Teams înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a avut succes, selectați Acest test a avut succes. Activați opțiunea Sign-On unic și faceți clic pe Următorul .
  • Dacă testul nu a reușit, selectați Acest test nu a reușit. Dezactivați opțiunea Sign-On unic și faceți clic pe Următorul .

Ce trebuie să faceți în continuare

Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori Webex Teams din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.