Система единого входа и Control Hub

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации SSO между облаком Webex и поставщиком удостоверений (idP).

Профили

Приложение Webex поддерживает только профиль SSO веб-браузера. В профиле SSO веб-браузера приложение Webex поддерживает следующие привязки.

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Приложение Webex поддерживает следующие форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от idP, первая запись настроена для использования в Webex.

Единый выход из системы

Приложение Webex поддерживает профиль единого выхода из системы. В приложении Webex пользователь может выйти из приложения, в котором для завершения сеанса и подтверждения выхода с помощью поставщика удостоверений используется протокол единого выхода SAML. Проверьте, заданы ли настройки поставщика удостоверений для единого выхода из системы.

Интеграция Control Hub с PingFederate


 

В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Настройте эту интеграцию для пользователей в своей организации Webex (включая приложение Webex, Webex Meetings и другие службы, администрирование которых осуществляется в Control Hub). Если веб-сайт Webex интегрирован в Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если таким способом не удается получить доступ к Webex Meetings и управление осуществляется не в Control Hub, то для того, чтобы включить SSO для Webex Meetings, необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)

Перед началом работы

При использовании SSO и Control Hub поставщики удостоверений должны соответствовать требованиям спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

Скачивание метаданных Webex в локальную систему

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к параметру Управление > Настройки организации, затем прокрутите страницу до параметра Аутентификация и перейдите к настройкам Системы единого входа, чтобы запустить мастер настройки.

2.

Выберите тип сертификата для своей организации.

  • Самоподписанный сертификат Cisco – рекомендуем выбрать этот тип сертификата. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – более безопасный вариант, но вам придется чаще обновлять метаданные (за исключением случаев, когда ваш поставщик удостоверений поддерживает точки доверия).

 

Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

3.

Скачайте файл метаданных.

Имя файла метаданных Webex: idb-meta--SP.xml.<org-ID>

Настройка нового соединения с поставщиком услуг

1.

Перейдите на портал администрирования PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2.

В разделе SP CONNECTIONS (Соединения SP) выберите Create New (Создать новое).

3.

Выберите переключатель Do not use a template for this connection (Не использовать шаблон для этого подключения), затем нажмите Next (Далее).

4.

Выберите Browser SSO Profiles (Профили SSO браузера), затем щелкните Next (Далее).

5

Выберите вкладку Import Metadata (Импорт метаданных).

6

Щелкните Выбрать файл, чтобы найти и импортировать файл метаданных, скачанный из Control Hub, а затем щелкните Далее.

7.

Просмотрите информацию на вкладке General Info (Общая информация) и щелкните Done (Готово).

Настройка системы единого входа в браузере

1.

На портале администрирования PingFederate выберите Configure Browser SSO (Настройка SSO браузера).

2.

Установите флажок в поле SP-Initiated SSO (SSO инициирована поставщиком услуг), затем щелкните Next (Далее).

3.

Выберите Configure Assertion Creation (Настройка создания утверждения).

  1. Измените формат NameID на Transient (Временный) и установите флажок в поле Include attributes in addition to the transient identifier (Добавить атрибуты в дополнение к временному идентификатору).

  2. Расширить атрибуты контракта, добавив атрибуты mail и uid в формате urn:oasis:names:tc:SAML:2.0:attrname-format-basic, затем нажмите Далее.

  3. Выберите Map New Adapter Instance (Сопоставить новый экземпляр адаптера), чтобы указать механизм аутентификации. В раскрывающемся списке ЭКЗЕМПЛЯР АДАПТЕРА выберите один из ранее настроенных способов аутентификации, затем щелкните Далее.

  4. Выберите переключатель Retrieve additional attributes from multiple data stores using one mapping (Получать дополнительные атрибуты из нескольких хранилищ данных с помощью одного сопоставления, затем щелкните Next (Далее).

  5. Выберите Add Attribute Source (Добавить источник атрибута), чтобы добавить контроллер домена Active Directory для домена, а затем щелкните Next (Далее).

  6. Укажите базовое DN и выберите класс корневого объекта <Show All="" Attributes="">. В текстовом поле фильтра введите фильтр LDAP, а затем щелкните Next (Далее).

    Запись должна содержать атрибут, который предполагается предоставить пользователю. Она также должна содержать значение, которое сопоставляется с источниками LDAP. Например, если для Active Directory настроена фильтрация по атрибуту входа в Windows, введите sAMAccountName=${Username}.

  7. Выберите источник и значение для сопоставления атрибутов утверждения с атрибутами, предоставленными хранилищем данных Active Directory. (Не вводите никаких данных для критериев выдачи.)

  8. Убедитесь, что в конфигурации утверждения для параметра Сопоставление удостоверения установлено значение Временный, для параметра Контракт атрибута установлено значение uid, а для параметра Экземпляры адаптера – значение 1.


     

    Атрибут UID должен быть сопоставлен с адресом электронной почты пользователя.

4.

Щелкните Configure Protocol Settings (Настройка параметров протокола).

  1. В разделе Allowable SAML Bindings (Допустимые привязки SAML) установите флажки только в поле POST и Redirect (Перенаправление).

  2. В разделе Signature Policy (Политика подписи) выберите Always sign the SAML Assertion (Всегда подписывать утверждение SAML).

    Параметры протокола должны выглядеть примерно так, как указано ниже.

  3. Выберите Настройка учетных данных, чтобы настроить утверждение сертификата.

  4. Выберите сертификат, который уже был создан для утверждений SAML.

5

На экране "Активация и сводная информация" для параметра Состояние соединения установите значение Активировано.

Экспорт метаданных из PingFederate

1.

На главном экране щелкните Управление всеми SP.

2.

Найдите только что созданное соединение и щелкните Экспорт метаданных.

3.

Выберите сертификат, который будет использоваться для подписи экспортированного файла из раскрывающегося списка.

4.

Выберите Отчеты

Импорт метаданных поставщика удостоверений и активация системы единого входа после тестирования

После экспорта метаданных Webex, настройки idP и скачивания метаданных idP на локальную систему можно импортировать их в свою организацию Webex из Control Hub.

Перед началом работы

Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только процессы, инициированные поставщиками услуг, поэтому для этой интеграции необходимо использовать тестирование SSO в Control Hub.

1.

Выберите один из вариантов.

  • Вернитесь в Control Hub на страницу выбора сертификатов в браузере и щелкните Далее.
  • Если Control Hub не открыт во вкладке браузера, в окне просмотра информации о клиенте в перейдите в раздел Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и выберите Действия > Импорт метаданных.https://admin.webex.com
2.

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

По возможности используйте параметр Более безопасный. Это возможно только в том случае, если ваш поставщик удостоверений использовал общедоступный ЦС для подписи своих метаданных.

Во всех остальных случаях необходимо использовать параметр Менее безопасный. Он также используется, если метаданные не подписаны, являются самоподписанными или подписаны частным ЦС.


 

В Okta метаданные не подписываются, поэтому для интеграции SSO Okta необходимо выбрать параметр Менее безопасный.

3.

Выберите Настройка тестирования SSO и в открывшейся новой вкладке браузера выполните аутентификацию с помощью поставщика удостоверений посредством входа в систему.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. На этом этапе ложные срабатывания блокируются благодаря наличию маркера доступа, который может быть создан в текущем сеансе после вашего входа в систему.

4.

Вернитесь на вкладку браузера с Control Hub.

  • Если тестирование прошло успешно, выберите Успешное тестирование. Активируйте SSO и щелкните Далее.
  • Если тестирование прошло с ошибками, выберите Тестирование не пройдено. Деактивируйте SSO и щелкните Далее.

 

Для активации конфигурации SSO для вашей организации нужно перевести переключатель в соответствующее положение и активировать SSO.

Дальнейшие действия

Выполните процедуры, описанные в разделе Синхронизация пользователей Okta в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Okta в облаке Webex.

Выполните процедуры, описанные в разделе Синхронизация пользователей Azure Active Directory в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Azure Active Directory в облаке Webex.

Для деактивации отправки сообщений по электронной почте новым пользователям приложения Webex в вашей организации выполните процедуру Запрет автоматической рассылки по электронной почте. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.