Jediné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je relácia alebo proces autentifikácie používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, na ktoré majú pridelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Federačný protokol SAML 2.0 (Security Assertion Markup Language) sa používa na poskytovanie autentifikácie SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača podporuje aplikácia Webex nasledujúce väzby:

  • SP inicioval väzbu POST -> POST

  • SP spustil väzbu PRESMEROVANIE -> POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metaúdajoch, ktoré načítate z vášho IdP, je prvý záznam nakonfigurovaný na použitie vo Webexe.

SingleLogout

Webex App podporuje jeden profil odhlásenia. V aplikácii Webex sa používateľ môže odhlásiť z aplikácie, ktorá používa protokol jednotného odhlásenia SAML na ukončenie relácie a potvrdenie odhlásenia pomocou vášho IdP. Uistite sa, že váš IdP je nakonfigurovaný na SingleLogout.

Integrujte Control Hub so Shibboleth

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Zdokumentované sú napríklad kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified alebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane Webex App, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša lokalita Webex integrovaná v Control Hub, lokalita Webex zdedí správu používateľov. Ak nemôžete pristupovať k stretnutiam Webex týmto spôsobom a nie sú spravované v Control Hub, musíte vykonať samostatnú integráciu, aby ste povolili jednotné prihlásenie pre stretnutia Webex. (Viac informácií o integrácii SSO v správe lokality nájdete v časti Konfigurácia jednotného prihlásenia pre Webex .)

Kroky integrácie odkazujú na Shibboleth 2.4.5 v CentOS 7 s Tomcat 7 ako webový server.

Skôr ako začnete

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

Stiahnite si metadáta Webex do svojho lokálneho systému

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie a potom prejdite na položku Overenie a potom prepnite na možnosť Jednoduché znamenie -on , čím spustíte sprievodcu nastavením.

2

Vyberte typ certifikátu pre vašu organizáciu:

  • Samopodpísaný spoločnosťou Cisco – odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou – je bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ poskytovateľa identity nepodporuje ukotvenia dôveryhodnosti).

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

3

Stiahnite si súbor metadát.

Názov súboru metadát Webex je idb-meta--SP.xml.

Nakonfigurujte autorizáciu v súboroch Shibboleth

Po nainštalovaní Shibboleth dostanete konfiguračné súbory s príkladmi.

1

Ak chcete získať prístup k vzorovým súborom, prejdite do adresára /opt/shibboleth-idp/conf .

2

Rozhodnite sa, ktorú metódu autorizácie použiť – napríklad väzbu LDAP na Active Directory.

3

Upravte súbor handler.xml takto:

Zrušiť komentár

   urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Komentujte

 urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
4

Vyplňte podrobnosti o svojom Active Directory, aby ste umožnili overenie. Zadajte konfiguráciu do súboru login.config.

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule vyžaduje ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users ,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Správca,cn=Používatelia,dc=cisco,dc=net" bindCredential="Heslo"; };

Nakonfigurujte komponenty poskytovateľa služieb Shibboleth pre uplatnenie SAML

1

Pridajte súbor, ktorý ste prevzali z Webex SP, do adresára /opt/shibboleth-idp/metadata.

2

Upravte súbor relying-party.xml ; za značku DefaultRelyingParty pridajte podrobnosti o tvrdení SAML pre Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true"assectionLifetime="PT5M"Lifetime asertionProxyCount="0" signResponses="nikdy" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/>

Pre id musíte použiť hodnotu EntityID zo súboru metadát Webex. Nahraďte ID príkladu EntityID vašej organizácie.

3

Do značky metadata:MetadataProvider pridajte umiestnenie súboru:

  <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />  <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn :m ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad ata/ucxn9a-single-agreement.xml" />  <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns ="urn:m ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad ata/cucm9a.cisco.net-single-agreement.xml" />  <!-- Cisco CI Configuration  <metadata:MetadataProvider xsi:type ="FilesystemMetadataProvider" xmlns="urn:m ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/ idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" /> metadáta:MetadataProvider>

Metadáta SP pochádzajú zo súboru v súborovom systéme Shibboleth v mieste, kde ste nahrali metadáta pre vašu organizáciu Webex.

Nakonfigurujte atribúty tvrdenia

1

V časti Data Connector zadajte, kde sa majú získať atribúty o vašich používateľoch.

Active Directory s ID MyLDAP.

  <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]>

2

V sekcii Definícia atribútu ponechajte to, čo je už v konfigurácii pre transientID.

3

Pridajte ďalší atribút, ktorý SP očakáva, a definujte, na čo sa mapuje v zdroji atribútov.

Mapujte atribút mail (atribút e-mailovej adresy v Active Directory) na uid (UserID vo Webexe).

4

V súbore attribute-filter.xml definujte, ktorý atribút sa má poskytnúť každej zmluve SP.

Zadajte atribút uid pre Webex, ktorý sa priraďuje k e-mailovej adrese používateľa.

Uvoľnite atribút uid k zmluve SP so spoločnosťou Webex.

 <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp :AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

Pravidlo, ktoré ste vytvorili v súbore attribute-resolver.xml , by malo obsahovať politiku uvoľnenia atribútu mail-attr pre EntityID, ktorý sa zhoduje s Webex.

5

Stiahnite si súbor metadát zo servera Shibboleth v /opt/shibboleth-idp/metadata. Názov súboru je idp-metadata.xml.

Importujte metadáta IdP a po teste povoľte jednotné prihlásenie

Po exportovaní metadát Webex, konfigurácii vášho IdP a stiahnutí metadát IdP do vášho lokálneho systému ste pripravení ich importovať do vašej Webex organizácie z Control Hub.

Skôr ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba toky iniciované poskytovateľom služieb (spustené SP), takže na túto integráciu musíte použiť test jednotného prihlásenia Control Hub.

1

Vyberte si jednu:

  • Vráťte sa vo svojom prehliadači na stránku Control Hub – výber certifikátu a kliknite na tlačidlo Ďalej.
  • Ak Control Hub už nie je otvorený na karte prehliadača, v zobrazení zákazníka v https://admin.webex.com prejdite do časti Správa > Nastavenia organizácie, prejdite na položku Overenie, a potom vyberte položky Akcie > Importovať metadáta.
2

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite na tlačidlo Ďalej.

Ak môžete, mali by ste použiť možnosť Bezpečnejšie . Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné . To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť možnosť Menej bezpečné .

3

Vyberte možnosť Testovať nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, prihlásením sa overte u poskytovateľa identity.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením jednotného prihlásenia. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte metadáta Control Hub do nastavenia IdP.

Ak chcete priamo zobraziť prihlásenie jedným prihlásením, môžete na tejto obrazovke tiež kliknúť na položku Kopírovať adresu URL do schránky a prilepiť ju do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý môže byť v existujúcej relácii od vás, keď ste prihlásení.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonať poskytovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub .

Ak chcete vykonať poskytovanie používateľov z Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do Cisco Webex Control Hub .

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatických e-mailov . Dokument obsahuje aj osvedčené postupy na odosielanie komunikácie používateľom vo vašej organizácii.