Jedno prijavljivanje i kontrolno čvorište

Jedinstveno prijavljivanje (SSO) je proces sesije ili potvrde identiteta korisnika koji omogućava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces daje potvrdu identiteta korisnicima za sve aplikacije kojima su data prava. Ona eliminiše dodatna odziva kada korisnici zamene aplikacije tokom određene sesije.

Protokol Federacije bezbednosnih oznaka (SAML 2.0) koristi se za obezbeđivanje SSO potvrde identiteta između Webex cloud-a i dobavljača identiteta (IdP).

Profili

Webex aplikacija podržava samo SSO profil Veb pregledača. U SSO profilu Veb pregledača, Webex Aplikacija podržava sledeće poveze:

  • SP inicirala post -> POST binding

  • SP pokrenuo REDIRECT -> POST binding

ID format imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikacija podržava sledeće ID formate imena.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate iz IDP-a, prva stavka je konfigurisana za korišćenje u programu Webex.

Jednostrukilog

Webex aplikacija podržava profil za jedinstveno odjavljivanje. U aplikaciji Webexkorisnik može da se odjavi iz aplikacije, koja koristi SAML protokol za jedinstveno odjavljivanje da bi završio sesiju i potvrdio to odjavljivanje pomoću IdP-a. Uverite se da je vaš IdP konfigurisan za singleLogout.

Integrišite kontrolno čvorište sa Šibolitom


Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne obezbeđuju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije.

Podesite ovu integraciju za korisnike u Webex organizaciji (uključujući Webex App, Webex Meetings i drugeusluge administrirane u kontrolnom čvorištu). Ako je Webex lokacija integrisana u kontrolnočvorište , Webex lokacija nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex sastancima na ovaj način, a njime se ne upravlja u kontrolnom čvorištu, morate da uradite posebnu integraciju da biste omogućili SSO za Webex sastanke. (Vidite Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administraciji lokacije.)

Koraci integracije se odnose na Shibboleth 2.4.5 u CentOS 7 sa Tomcat 7 kao web serverom.

Pre nego što počneš

Za SSO i Control Hub, IDPs mora biti u skladu sa SAML 2.0 specifikacijom. Pored toga, IDP-ovi moraju biti konfigurisani na sledeći način:

Preuzimanje Webex metapodataka na lokalni sistem

1

Iz prikaza klijenta u https://admin.webex.comprogramu , idite na "Management > Organization Settings", a zatim se pomerite do opcije Potvrda identiteta , a zatim se prebacite na postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za instalaciju.

2

Odaberite tip certifikata za vašu organizaciju:

  • Samopotpisan od strane Cisco–Preporučujemo ovaj izbor. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Potpisano od strane javnog autoriteta za izdavanje certifikata – bezbednije, ali ćete morati čestoda ažurirate metapodatke (osim ako IDP dobavljač ne podržava sidra pouzdanosti).

 

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

3

Preuzmite datoteku metapodataka.

Ime datoteke Webex metapodataka je idb-meta -<org-ID>-SP.xml.

Konfigurisanje autorizacije u Shibboleth datotekama

Kada instalirate Shibboleth, obezbeđuju vam se datoteke za konfiguraciju sa primerima.

1

Idite u direktorijum /opt/shibboleth-idp/conf da biste pristupili datotekama sa primerima.

2

Odlučite koji metod autorizacije ćete koristiti – na primer, LDAP se vezuje za aktivni direktorijum.

3

Uredite datoteku .xml na sledeći način:

Dekommentuj

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Komentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Popunite detalje aktivnog direktorijuma da biste dozvolili potvrdu identiteta. Obezbedite konfiguraciju datoteke prijava.config.

Primer:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurisanje komponenti shibboleth dobavljača usluga za SAML tvrdnju

1

Dodajte datoteku koju ste preuzeli sa Webex SP u direktorijum /opt/shibboleth-idp/metapodaci.

2

Uredite datoteku sa .xml strana; nakon oznake DefaultRelyingParty dodajte detalje SAML tvrdnje za Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Za ID morate da koristite ID vrednost entiteta iz Webex datoteke metapodataka. Zamenite ID primera ID-om entiteta vaše organizacije.

3

Unutar metapodataka:MetapodatakaProvider oznaka, dodajte lokaciju datoteke:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP metapodaci potiиu iz datoteke u Shibboleth sistemu datoteka, na lokaciji na koju ste otpremili metapodatke za Webex organizaciju.

Konfigurisanje atributa tvrdnje

1

U odeljku Linija spajanja podataka navedite gde da preuzmete atribute o svojim korisnicima.

Primer:

Aktivni direktorijum, sa ID-om myLDAP-a.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

U odeljku Definicija atributa zadržite ono što se već nalazi u konfiguraciji za ID prolaza.

3

Dodajte dodatni atribut koji SP očekuje i definišite na šta se mapira u izvoru atributa.

Primer:

Mapirajte atributnu poštu (atribut e-adrese u aktivnom direktorijumu) u korisnički interfejs (UserID u Webex-u).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definišite koji atribut treba obezbediti svakom SP sporazumu u datoteci .xml filtera.

Obezbedite atribut Uid webexu koji se mapira na e-adresu korisnika.

Primer:

Objavite UID atributa sp sporazuma sa Webexom.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravilo koje ste kreirali u razrešivaču atributa.xml trebalo bi da ima smernice za objavljivanje atributa "Atribut".

5

Preuzmite datoteku metapodataka sa Shibboleth servera u /opt/shibboleth-idp/metapodaci. Ime datoteke je idp-metapodaci.xml.

Uvoz IdP metapodataka i omogućavanje jedinstvenog prijavljivanja nakon testa

Kada izvezete Webex metapodatke, konfigurišete IdP i preuzmete IdP metapodatke u lokalni sistem, spremni ste da ga uvezete u Webex organizaciju iz kontrolnog čvorišta.

Pre nego što počneš

Nemojte testirati SSO integraciju iz interfejsa dobavljača identiteta (IdP). Mi podržavamo samo tokove koje je pokrenuo dobavljač usluga (SP) tako da za ovu integraciju morate da koristite SSO test kontrolnog čvorišta.

1

Odaberite jednu:

  • Vratite se u kontrolno čvorište – stranica za izbor certifikata u pregledaču, a zatim kliknite na dugme Dalje .
  • Ako kontrolno čvorište više nije otvoreno na kartici pregledača, iz prikaza klijenta u https://admin.webex.comprogramu , idite na stavku "Management > Organization Settings", pomerite se dopotvrde identiteta , a zatim odaberite stavku Radnje > Uvezi metapodatke.
2

Na stranici "Uvoz IdP metapodataka" prevucite i otpustite datoteku IdP metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na dugme Dalje.

Trebalo bi da koristite bezbedniju opciju, ako možete. Ovo je moguće samo ako je vaš IDP koristio javni CA za potpisivanje metapodataka.

U svim ostalim slučajevima morate da koristite opciju "Manje bezbedno". To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

3

Izaberite test SSOinstalacije i kada se otvori nova kartica pregledača, potvrdite verodostojnost IDP-a prijavljivanjem.


 

Ako dobijete grešku u potvrdi identiteta, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.


 

Da biste direktno videli SSO iskustvo prijavljivanja, takođe možete kliknuti na dugme "Kopiraj URL adresu" u ostavu sa ovog ekrana i nalepiti je u prozor privatnog pregledača. Odatle možete da prođete kroz prijavljivanje sa SSO. Ovaj korak zaustavlja lažne pozitivne stvari zbog oznake za pristup koja se možda nastaje u postojećoj sesiji od prijavljenog.

4

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Uključite SSO i kliknite na dugme Dalje.
  • Ako test nije uspeo, izaberite Neuspešni test. Isključite SSO i kliknite na dugme Dalje.

 

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvo radio dugme i aktivirate SSO.

Šta dalje

Proceduru možete da sledite u fascikli "Spreči automatizovane e-poruke" da biste onemogućili e-poruke koje se šalju novim korisnicima Webex aplikacija u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.