Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je proces overovania relácie alebo používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, ku ktorým majú udelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Na zabezpečenie overovania SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP) sa používa federačný protokol SAML 2.0 (Security Assertion Markup Language).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval POST -> Väzba POST

  • SP inicioval PRESMEROVANIE -> Väzba POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate zo svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie vo Webexe.

SingleLogot

Aplikácia Webex podporuje profil s jedným odhlásením. V aplikácii Webex sa používateľ môže odhlásiť z aplikácie, ktorá používa protokol SAML single logout na ukončenie relácie a potvrdenie odhlásenia pomocou vášho poskytovateľa identity. Uistite sa, že váš poskytovateľ identity je nakonfigurovaný na SingleLogout.

Integrácia Control Hubu so Shibbolethom

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad sú zdokumentované kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane aplikácie Webex, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša stránka Webex integrovaná do Control Hub, stránka Webex zdedí správu používateľov. Ak nemáte prístup k službe Webex Meetings týmto spôsobom a nie je spravovaná v Control Hub, musíte vykonať samostatnú integráciu, aby ste pre Webex Meetings povolili jediné prihlásenie.

Kroky integrácie sa vzťahujú na Shibboleth 2.4.5 v CentOS 7 s Tomcat 7 ako webovým serverom.

Predtým, ako začnete

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

Stiahnite si metadáta Webexu do svojho lokálneho systému

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať jednorazové prihlásenie.

4

Vyberte poskytovateľa identity.

5

Vyberte typ certifikátu pre vašu organizáciu:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

6

Stiahnite si súbor s metadátami.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Konfigurácia autorizácie v súboroch Shibboleth

Po nainštalovaní Shibboleth vám budú poskytnuté konfiguračné súbory s príkladmi.

1

Prejsť do adresára /opt/shibboleth-idp/conf pre prístup k vzorovým súborom.

2

Rozhodnite sa, ktorú metódu autorizácie použijete – napríklad väzba LDAP na Active Directory.

3

Upravte súbor handler.xml nasledovne:

Odkomentovať

    
      
  urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Komentár

 
urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
4

Vyplňte údaje o službe Active Directory, aby ste umožnili overenie. Zadajte konfiguráciu do súboru login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurácia komponentov poskytovateľa služieb Shibboleth pre assertion SAML

1

Pridajte súbor, ktorý ste si stiahli z webového servisného balíka Webex, do adresára /opt/shibboleth-idp/metadata.

2

Upravte súbor relying-party.xml ; za značku DefaultRelyingParty pridajte podrobnosti o tvrdení SAML pre Webex.

Pre id musíte použiť hodnotu EntityID zo súboru metadát Webex. Nahraďte ID z príkladu identifikátorom EntityID vašej organizácie.

3

Vo vnútri metadata:MetadataProvider tag, pridajte umiestnenie súboru:

Pravidlo, ktoré ste vytvorili v súbore attribute-resolver.xml, by malo mať politiku na uvoľnenie atribútu mail-attr pre EntityID, ktoré sa zhoduje s Webexom.

5

Stiahnite si súbor s metadátami zo servera Shibboleth v /opt/shibboleth-idp/metadata. Názov súboru je idp-metadata.xml.

Importovať metadáta IdP a povoliť jednotné prihlásenie po teste

Po exporte metadát Webex, konfigurácii poskytovateľa identity a stiahnutí metadát IdP do lokálneho systému ich môžete importovať do svojej organizácie Webex z Control Hub.

Predtým, ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba postupy iniciované poskytovateľom služieb (SP), takže pre túto integráciu musíte použiť test SSO cez Control Hub.

1

Vyberte si jeden:

  • Vráťte sa na stránku výberu certifikátu v časti Control Hub vo vašom prehliadači a potom kliknite na tlačidlo Ďalej.
  • Ak už nie je otvorené na karte prehliadača, znova otvorte Control Hub. V zobrazení zákazníka v aplikácii Control Hub prejdite na Správa > Bezpečnosť > Autentifikácia, vyberte poskytovateľa identity a potom zvoľte Akcie > Importovať metadáta.
2

Na stránke Importovať metadáta IdP buď presuňte súbor s metadátami IdP na stránku, alebo použite prehliadač súborov na vyhľadanie a nahranie súboru s metadátami. Kliknite na Ďalej.

Ak je to možné, mali by ste použiť možnosť Bezpečnejšie. Toto je možné iba v prípade, že váš poskytovateľ identity použil na podpisovanie svojich metadát verejnú certifikačnú autoritu.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné. To zahŕňa aj prípady, keď metadáta nie sú podpísané, samopodpísané alebo podpísané súkromnou certifikačnou autoritou.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť Menej bezpečné.

3

Vyberte Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete priamo zobraziť prihlasovacie prostredie SSO, môžete tiež kliknúť na túto obrazovku na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Tento krok zabráni falošne pozitívnym výsledkom kvôli prístupovému tokenu, ktorý môže byť v existujúcej relácii z dôvodu vášho prihlásenia.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite SSO a kliknite na Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite SSO a kliknite na Ďalej.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonávať zriaďovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub.

Ak chcete vykonávať poskytovanie používateľov mimo služby Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do služby Cisco Webex Control Hub.

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.