Система единого входа и Cisco Webex Teams

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации системы единого входа между облаком Cisco Webex и поставщиком удостоверений (IdP).

Профили

Cisco Webex Teams поддерживает только профиль системы единого входа веб-браузера. В профиле системы единого входа веб-браузера Cisco Webex Teams поддерживает приведенные ниже привязки.

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Cisco Webex Teams поддерживает приведенные ниже форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от поставщика удостоверений, первая запись настроена на использование в Cisco Webex.

Единый выход из системы

Cisco Webex Teams поддерживает профиль единого выхода из системы. В приложении Cisco Webex Teams пользователь может выйти из приложения, в котором для завершения сеанса и подтверждения выхода с помощью поставщика удостоверений используется протокол единого выхода из системы SAML. Проверьте, заданы ли настройки поставщика удостоверений для единого выхода из системы.

Интеграция Cisco Webex Control Hub с Shibboleth для системы единого входа


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Настройте эту интеграцию для пользователей в организации Cisco Webex (включая Cisco Webex Teams, Cisco Webex Meetings и другие службы, администрирование которыми осуществляется в Cisco Webex Control Hub). Если ваш веб-сайт Webex интегрирован с Cisco Webex Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если получить доступ к Cisco Webex Meetings таким способом не удается и управление осуществляется не в Cisco Webex Control Hub, то для включения системы единого входа для Cisco Webex Meetings необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье Настройка системы единого входа для Webex.)

На этапах интеграции предполагается наличие Shibboleth 2.4.5 в CentOS 7 с Tomcat 7 в качестве веб-сервера.

Подготовка

Для системы единого входа и Cisco Webex Control Hub поставщики удостоверений должны соответствовать спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.
  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте в параметрах поставщика удостоверений запрос для добавления имени атрибута UID со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов Cisco, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Cisco Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.) Информацию о пользовательских атрибутах см. в статье https://www.cisco.com/go/hybrid-services-directory.

  • Используйте поддерживаемый браузер. Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.

Скачайте метаданные Cisco Webex в локальную систему.

1

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите в раздел Настройки и прокрутите страницу до раздела Аутентификация.

2

Щелкните Изменить, затем Интегрировать стороннего поставщика удостоверений (расширенно), а затем щелкните Далее.

3

Скачайте файл метаданных.

Имя файла метаданных Cisco Webex – idb-meta-<org-ID>-SP.xml.

Настройка авторизации в файлах Shibboleth

После установки Shibboleth у вас будут файлы конфигурации с примерами.

1

Примеры файлов см. в каталоге: /opt/shibboleth-idp/conf.

2

Определите, какой метод авторизации следует использовать, например привязку LDAP к Active Directory.

3

Отредактируйте файл handler.xml приведенным ниже образом.

Без комментария

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Комментарий

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

Заполните сведения об Active Directory, чтобы разрешить аутентификацию. Укажите конфигурацию для файла login.config.

Пример:

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net" bindCredential="ThePassword"; };

Настройка компонентов поставщика услуг Shibboleth для утверждения SAML

1

Добавьте файл, скачанный из CI, в каталог /opt/shibboleth-idp/metadata.

2

Редактируйте файл relying-party.xml и после тега DefaultRelyingParty добавьте сведения об утверждении SAML для Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Для идентификатора необходимо использовать значение идентификатора объекта из файла метаданных Cisco Webex. Замените идентификатор примера идентификатором объекта своей организации.

3

В тег metadata:MetadataProvide добавьте расположение файла:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

Метаданные SP исходят из файла в файловой системе Shibboleth в том расположении, куда были загружены метаданные для вашей организации Cisco Webex.

Настройка атрибутов утверждения

1

В разделе соединителя данных укажите, куда следует извлекать атрибуты пользователей.

Пример:

Active Directory с идентификатором MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

В разделе определения атрибута сохраните текущую конфигурацию временного идентификатора.

3

Добавьте запрашиваемый SP дополнительный атрибут и определите, с чем он сопоставляется, с помощью источника атрибутов.

Пример:

Сопоставьте почту атрибута (атрибут адреса электронной почты в Active Directory) с идентификатором UID (идентификатор пользователя в Cisco Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Определите, какой атрибут следует задать для каждого соглашения SP в файле attribute-filter.xml.

Задайте для Cisco Webex атрибут UID, который будет сопоставляться с адресом электронной почты пользователя.

Пример:

Запустите UID атрибута для соглашения SP с Cisco Webex.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

Для правила, созданного в attribute-resolver.xml, должна быть установлена политика относительно запуска атрибута mail-attr для идентификатора объекта, который соответствует Cisco Webex.

5

Скачайте файл метаданных с сервера Shibboleth по ссылке /opt/shibboleth-idp/metadata. Имя файла – idp-metadata.xml.

Импорт метаданных поставщика удостоверений и включение системы единого входа после теста

После экспорта метаданных Cisco Webex, настройки IdP и скачивания метаданных IdP в локальную систему можно импортировать их в свою организацию Cisco Webex из Control Hub.

1

Выберите один из вариантов.

  • Вернитесь в Cisco Webex Control Hub на страницу экспорта метаданных каталога в браузере и щелкните Далее.
  • Если Control Hub больше не открыт на вкладке браузера, в окне просмотра информации о клиенте в https://admin.webex.com перейдите в меню Настройки, прокрутите страницу до раздела Аутентификация, выберите Интегрировать стороннего поставщика удостоверений (расширенно), а затем щелкните Далее на странице файла метаданных доверия (поскольку это уже сделано ранее).
2

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

Если метаданные не подписаны, подписаны с помощью самоподписанного сертификата или подписаны с помощью частного корпоративного центра сертификации (CA), рекомендуется использовать требуемый сертификат, подписанный центром сертификации метаданных (более защищенный). Если сертификат является самоподписанным, необходимо выбрать менее защищенный вариант.

3

Выберите Тестирование соединения системы единого входаи в открывшейся новой вкладке браузера выполните аутентификацию с помощью IdP, войдя в учетную запись.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка Webex Teams обычно означает проблему с настройкой системы единого входа. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IDP.

4

Вернитесь на вкладку браузера Control Hub.

  • Если проверка прошла успешно, выберите Тест выполнен. Включите параметр единого входа и щелкните Далее.
  • Если тест не был успешным, выберите Тест не выполнен. Отключите параметр единого входа и щелкните Далее.

Дальнейшие действия

Следуйте процедуре блокирования автоматических рассылок по электронной почте для отключения электронных сообщений, отправляемых новым пользователям Webex Teams в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.