Система единого входа и Cisco Webex Control Hub

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации SSO между облаком Cisco Webex и поставщиком удостоверений (IdP).

Профили

Cisco Webex поддерживает только профиль SSO веб-браузера. В профиле SSO веб-браузера Cisco Webex поддерживает приведенные ниже привязки.

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Cisco Webex поддерживает приведенные ниже форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от IdP, первая запись настроена для использования в Cisco Webex.

Интеграция Cisco Webex Control Hub с Microsoft Azure


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Настройте эту интеграцию для пользователей в вашей организации Cisco Webex (включая Cisco Webex, Cisco Webex Meetings и другие службы, администрирование которых осуществляется в Cisco Webex Control Hub). Если веб-сайт Webex интегрирован в Cisco Webex Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если таким способом не удается получить доступ к Cisco Webex Meetings и управление осуществляется не в Cisco Webex Control Hub, то для того, чтобы включить SSO для Cisco Webex Meetings, необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)

Прежде чем начать

Для системы единого входа и Cisco Webex Control Hub поставщики удостоверений должны соответствовать спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.


В Azure Active Directory инициализация поддерживается только в ручном режиме. В этом документе описана только интеграция системы единого входа (SSO).

Скачивание метаданных Cisco Webex на локальную систему

1

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Настройки и прокрутите страницу до раздела Аутентификация.

2

Щелкните Изменить, затем Интегрировать стороннего поставщика удостоверений (расширенно), а затем щелкните Далее.

3

Скачайте файл метаданных.

Имя файла метаданных Cisco Webex: idb-meta-<org-ID>-SP.xml.

Настройка параметров приложения с системой единого входа в Azure

Прежде чем начать

  • Ознакомьтесь с Active Directory Azure и доступными в ней возможностями IdP.

  • Настройте Active Directory Azure.

  • Создайте локальных пользователей или выполните синхронизацию с локальной системой Active Directory.

  • Откройте файл метаданных Cisco Webex, скачанный из Cisco Webex Control Hub.

  • Просмотрите соответствующее руководство на веб-сайте документации Microsoft.

1

Войдите на портал Azure по адресу https://portal.azure.com, используя свои учетные данные администратора.

2

Перейдите в раздел Active Directory Azure вашей организации.

3

Перейдите в раздел Корпоративные приложения и щелкните Добавить.

4

Щелкните Добавить приложение из коллекции.

5

В поле поиска введите Cisco Webex.

6

В области результатов выберите Cisco Webex, а затем щелкните Добавить, чтобы добавить приложение.

Отобразится сообщение о том, что приложение успешно добавлено.

7

Настройка системы единого входа.

  1. После создания соглашения об использовании приложения перейдите на вкладку Система единого входа, а затем в разделе Выбрать метод единого входа выберите SAML.

  2. На странице Настройка системы единого входа с помощью SAML щелкните пиктограмму Правка, чтобы открыть раздел Базовая конфигурация SAML.

  3. Щелкните Загрузить файл метаданных, затем выберите файл метаданных, скачанный из Cisco Webex Control Hub.

    Некоторые поля заполняются автоматически.

  4. Скопируйте значение URL-адрес ответа, вставьте его в поле URL-адрес для входа и сохраните изменения.

8

Перейдите к меню Управление > Пользователи и группы, а затем выберите соответствующих пользователей и группы, которым необходимо предоставить доступ к Cisco Webex.

9

На странице Настройка системы единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать метаданные федерации XML и сохраните их на компьютере.

10

На странице Свойства убедитесь, что для параметра Отображается для пользователей? установлено значение Нет.

Отображение приложения Webex для пользователей не поддерживается.

Импорт метаданных поставщика удостоверений и включение системы единого входа после теста

После экспорта метаданных Cisco Webex, настройки IdP и скачивания метаданных IdP в локальную систему можно импортировать их в свою организацию Cisco Webex из Control Hub.

Прежде чем начать

Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только процессы, инициированные поставщиками услуг, поэтому для этой интеграции необходимо использовать тестирование SSO в Control Hub.

1

Выберите один из вариантов.

  • Вернитесь в Cisco Webex Control Hub на страницу экспорта метаданных каталога в браузере и щелкните Далее.
  • Если Control Hub больше не открыт на вкладке браузера, в окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Настройки, прокрутите страницу до раздела Аутентификация, выберите Интегрировать стороннего поставщика удостоверений (расширенно), а затем щелкните Далее на странице файла метаданных доверия (поскольку это уже сделано ранее).
2

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

Следует использовать самый безопасный параметр, если это возможно (Запрашивать сертификат с подписью центра сертификации в файле метаданных). Это возможно только в том случае, если ваш поставщик удостоверений использовал общедоступный ЦС для подписи своих метаданных.

Во всех остальных случаях необходимо использовать менее безопасный параметр (Разрешить использование самоподписанных сертификатов в файле метаданных). Он также используется, если метаданные не подписаны, являются самоподписанными или подписаны частным ЦС.

3

Выберите Тестирование соединения SSO и в открывшейся новой вкладке браузера выполните аутентификацию с помощью IdP посредством входа.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в Webex обычно означает проблему с настройкой SSO. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.

4

Вернитесь на вкладку браузера с Control Hub.

  • Если проверка прошла успешно, выберите Тест выполнен. Включите параметр единого входа и щелкните Далее.
  • Если тест не был успешным, выберите Тест не выполнен. Отключите параметр единого входа и щелкните Далее.

Дальнейшие действия

Следуйте процедуре блокирования автоматических рассылок по электронной почте для отключения электронных сообщений, отправляемых новым пользователям Webex в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Устранение неполадок с интеграцией Active Directory Azure

При выполнении теста SAML убедитесь, что используется Mozilla Firefox и установка трассировщика SAML осуществляется с помощью https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Проверьте утверждение, поступающее от Azure, чтобы убедиться в правильности формата NameID и наличии атрибута UID, который соответствует пользователю в Cisco Webex.