- Главная
- /
- Статья
Можно настроить интеграцию системы единого входа (SSO) между Control Hub и развертыванием, в котором в качестве поставщика удостоверений (IdP) используется Shibboleth.
Система единого входа и Control Hub
Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.
Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации SSO между облаком Webex и поставщиком удостоверений (idP).
Профили
Приложение Webex поддерживает только профиль SSO веб-браузера. В профиле SSO веб-браузера приложение Webex поддерживает следующие привязки.
Поставщик услуг инициировал привязку POST -> POST.
Поставщик услуг инициировал привязку REDIRECT -> POST.
Формат NameID
Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Приложение Webex поддерживает следующие форматы NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
В метаданных, загружаемых от idP, первая запись настроена для использования в Webex.
Единый выход из системы
Приложение Webex поддерживает профиль единого выхода из системы. В приложении Webex пользователь может выйти из приложения, в котором для завершения сеанса и подтверждения выхода с помощью поставщика удостоверений используется протокол единого выхода SAML. Проверьте, заданы ли настройки поставщика удостоверений для единого выхода из системы.
Интеграция Control Hub и Shibboleth
В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования |
Настройте эту интеграцию для пользователей в своей организации Webex (включая приложение Webex, Webex Meetings и другие службы, администрирование которых осуществляется в Control Hub). Если веб-сайт Webex интегрирован в Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если таким способом не удается получить доступ к Webex Meetings и управление осуществляется не в Control Hub, то для того, чтобы включить SSO для Webex Meetings, необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)
На этапах интеграции предполагается наличие Shibboleth 2.4.5 в CentOS 7 с Tomcat 7 в качестве веб-сервера.
Перед началом работы
При использовании SSO и Control Hub поставщики удостоверений должны соответствовать требованиям спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.
Скачивание метаданных Webex в локальную систему
1. | В окне просмотра информации о клиенте в https://admin.webex.com перейдите к параметру , затем прокрутите страницу до параметра Аутентификация и перейдите к настройкам Системы единого входа, чтобы запустить мастер настройки. | ||
2. | Выберите тип сертификата для своей организации.
| ||
3. | Скачайте файл метаданных. Имя файла метаданных Webex: idb-meta--SP.xml.<org-ID> |
Настройка авторизации в файлах Shibboleth
После установки Shibboleth у вас будут файлы конфигурации с примерами.
1. | Примеры файлов см. в каталоге: /opt/shibboleth-idp/conf. |
2. | Определите, какой метод авторизации следует использовать, например привязку LDAP к Active Directory. |
3. | Отредактируйте файл handler.xml приведенным ниже образом. Без комментария
Комментарий
|
4. | Заполните сведения об Active Directory, чтобы разрешить аутентификацию. Укажите конфигурацию для файла login.config.
|
Настройка компонентов поставщика услуг Shibboleth для утверждения SAML
1. | Добавьте файл, скачанный из Webex SP, в каталог /opt/shibboleth-idp/metadata. |
2. | Отредактируйте файл relying-party.xml ; после тега DefaultRelyingParty добавьте сведения об утверждении SAML для Webex.
Для идентификатора необходимо использовать значение EntityID из файла метаданных Webex. Замените идентификатор примера идентификатором объекта своей организации. |
3. | В тег metadata:MetadataProvide добавьте расположение файла:
Метаданные SP содержатся в файле файловой системы Shibboleth в месте, в которое были скачаны метаданные вашей организации Webex. |
Настройка атрибутов утверждения
1. | В разделе соединителя данных укажите, куда следует извлекать атрибуты пользователей. Active Directory с идентификатором MyLDAP.
|
2. | В разделе определения атрибута сохраните текущую конфигурацию временного идентификатора. |
3. | Добавьте запрашиваемый SP дополнительный атрибут и определите, с чем он сопоставляется, с помощью источника атрибутов. Сопоставьте адрес электронной почты атрибута (атрибут адреса электронной почты в Active Directory) с идентификатором UID (идентификатор пользователя в Webex).
|
4. | Определите, какой атрибут следует задать для каждого соглашения SP в файле attribute-filter.xml. Задайте атрибут UID для Webex, который соответствует адресу электронной почты пользователя. Запустите UID атрибута для соглашения SP в Webex.
Для правила, созданного в файле attribute-resolver.xml, должна быть определена политика относительно запуска атрибута mail-attr для EntityID, который соответствует Webex. |
5 | Скачайте файл метаданных с сервера Shibboleth по ссылке /opt/shibboleth-idp/metadata. Имя файла – idp-metadata.xml. |
Импорт метаданных поставщика удостоверений и активация системы единого входа после тестирования
После экспорта метаданных Webex, настройки idP и скачивания метаданных idP на локальную систему можно импортировать их в свою организацию Webex из Control Hub.
Перед началом работы
Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только процессы, инициированные поставщиками услуг, поэтому для этой интеграции необходимо использовать тестирование SSO в Control Hub.
1. | Выберите один из вариантов.
| ||||
2. | На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее. По возможности используйте параметр Более безопасный. Это возможно только в том случае, если ваш поставщик удостоверений использовал общедоступный ЦС для подписи своих метаданных. Во всех остальных случаях необходимо использовать параметр Менее безопасный. Он также используется, если метаданные не подписаны, являются самоподписанными или подписаны частным ЦС.
| ||||
3. | Выберите Настройка тестирования SSO и в открывшейся новой вкладке браузера выполните аутентификацию с помощью поставщика удостоверений посредством входа в систему.
| ||||
4. | Вернитесь на вкладку браузера с Control Hub.
|
Дальнейшие действия
Выполните процедуры, описанные в разделе Синхронизация пользователей Okta в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Okta в облаке Webex.
Выполните процедуры, описанные в разделе Синхронизация пользователей Azure Active Directory в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Azure Active Directory в облаке Webex.
Для деактивации отправки сообщений по электронной почте новым пользователям приложения Webex в вашей организации выполните процедуру Запрет автоматической рассылки по электронной почте. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.