Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Enotni odjava

Aplikacija Webex App podpira enotni profil odjave. V aplikaciji Webex App se lahko uporabnik odjavi iz aplikacije, ki s protokolom SAML za enkratno odjavo zaključi sejo in potrdi odjavo z vašim IdP. Prepričajte se, da je vaš IdP konfiguriran za enkratno odjavo.

Integracija nadzornega vozlišča s Shibboletom

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Koraki integracije se nanašajo na Shibboleth 2.4.5 v sistemu CentOS 7 s spletnim strežnikom Tomcat 7.

Preden začnete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Konfiguracija avtorizacije v datotekah Shibboleth

Ko namestite Shibboleth, so vam na voljo konfiguracijske datoteke s primeri.

1

Pojdite v imenik /opt/shibboleth-idp/conf , da dostopate do datotek s primeri.

2

Odločite se, katero metodo avtorizacije boste uporabili - na primer vezavo LDAP na Active Directory.

3

Datoteko handler.xml uredite na naslednji način:

Odjavite komentar

   urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Komentar

 urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
4

Izpolnite podatke o imeniku Active Directory, da omogočite preverjanje pristnosti. Zagotovite konfiguracijo v datoteki login.config.

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net" bindCredential="ThePassword"; };

Konfiguracija komponent ponudnika storitev Shibboleth za potrditev SAML

1

Dodajte datoteko, ki ste jo prenesli iz programa Webex SP, v imenik /opt/shibboleth-idp/metadata.

2

Uredite datoteko relying-party.xml ; za oznako DefaultRelyingParty dodajte podrobnosti o potrditvi SAML za Webex.

 <rp:RelyingParty id="<span data-id="1"></span> 22de53230d1e" provider="<span data-id="2"></span> defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty> <span data-id="3"></span>https://idbroker.webex.com/ea7c1420-711d-4916-95f8-https://shib9a.cisco.net/idp/shibboleth"

Za id morate uporabiti vrednost EntityID iz metapodatkovne datoteke Webex. ID primera zamenjajte z EntityID vaše organizacije.

3

V oznako metadata:MetadataProvider dodajte lokacijo datoteke:

        <!-- Konfiguracija Cisco CI  <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/ idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" /><span data-id="2"></span> </metadata:MetadataProvider> <span data-id="3"></span>

Metapodatki SP prihajajo iz datoteke v datotečnem sistemu Shibboleth na mestu, kamor ste naložili metapodatke za organizacijo Webex.

Konfiguracija atributov trditve

1

V razdelku Povezovalnik podatkov določite, kje želite pridobiti atribute o uporabnikih.

Active Directory z id MyLDAP.

  <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]>

2

V razdelku Opredelitev atributa ohranite tisto, kar je že v konfiguraciji za transientID.

3

Dodajte dodatni atribut, ki ga pričakuje SP, in določite, na kaj se nanaša v viru atributov.

Mapirajte atribut mail (atribut e-poštnega naslova v imeniku Active Directory) z atributom uid (UserID v storitvi Webex).

4

V datoteki attribute-filter.xml določite, kateri atribut se zagotovi vsakemu sporazumu SP.

Webexu zagotovite atribut uid, ki ustreza e-poštnemu naslovu uporabnika.

Sprostitev atributa uid v dogovor SP z družbo Webex.

  <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="<span data-id="1"></span> /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy> <span data-id="2"></span>https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e"

Pravilo, ki ste ga ustvarili v attribute-resolver.xml , mora imeti politiko za sprostitev atributa mail-attr za EntityID, ki ustreza Webexu.

5

Prenesite datoteko z metapodatki iz strežnika Shibboleth v /opt/shibboleth-idp/metadata. Ime datoteke je idp-metadata.xml.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.