Enkel inloggning och Control Hub

Enkel inloggning (SSO) är en session eller användarautentiseringsprocess som gör det möjligt för en användare att ange autentiseringsuppgifter för att få åtkomst till ett eller flera program. Processen autentiserar användare för alla program som de har behörighet till. Den eliminerar ytterligare uppmaningar när användare byter program under en viss session.

Federation Protocol (SAML 2.0) (Security Assertion Markup Language) används för att tillhandahålla SSO-autentisering mellan Webex-molnet och din identitetsleverantör (IdP).

Profil

Webex-appen har endast stöd för webbläsarens SSO-profil. I webbläsarens SSO-profil har Webex-appen stöd för följande bindningar:

  • SP-initierad POST -> POST-bindning

  • SP–initierad OMDIRIGERING -> POST-bindning

NameID-format

SAML 2.0-protokollet stöder flera NameID-format för kommunikation om en specifik användare. Webex-appen har stöd för följande NameID-format.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I de metadata som du hämtar från din IdP är den första posten konfigurerad för användning i Webex.

Enkel utloggning

Webex-appen har stöd för profilen för enkel utloggning. I Webex-appen kan en användare logga ut från programmet, som använder SAML-protokollet för enkel utloggning för att avsluta sessionen och bekräfta utloggning med ditt IDP. Se till att din IdP har konfigurerats för enskild utloggning.

Integrera Control Hub med Shibboleth


 

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Exempelvis är integrationsstegen för nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenterade. Andra format som t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering, men ligger utanför ramen för vår dokumentation.

Konfigurera denna integration för användare i din Webex-organisation (inklusive Webex-appen, Webex Meetings och andra tjänster som administreras i Control Hub). Om din Webex-plats är integrerad i Control Hub ärver Webex-plats användarhanteringen. Om du inte kan komma åt Webex Meetings på det här sättet och det inte hanteras i Control Hub måste du göra en separat integration för att aktivera SSO för Webex Meetings. (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i webbplatsadministration.)

Integreringsstegen hänvisar till Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som webbserver.

Innan du börjar

För SSO och Control Hub måste IdP:er följa SAML 2.0-specifikationen. Dessutom måste IdP:er konfigureras på följande sätt:

Hämta Webex-metadata till ditt lokala system

1

Från kundvyn inhttps://admin.webex.com , gå till Hantering > Organisationsinställningar och bläddra sedan till Autentisering och slå sedan på Enkel inloggning för att starta installationsguiden.

2

Välj certifikattyp för din organisation:

  • Självsignerat av Cisco –Vi rekommenderar detta val. Låt oss signera certifikatet så att du bara behöver förnya det vart femte år.
  • Signerat av en offentlig certifikatutfärdare – Säkrare men du måste uppdatera metadata ofta (om inte din IdP-leverantör har stöd för betrodda ankare).

 

Pålitliga ankare är offentliga nycklar som fungerar som en auktoritet för att verifiera en digital signaturs certifikat. Mer information finns i dokumentationen till din IdP.

3

Hämta metadatafilen.

Webex-metadatafilnamnet är idb-meta-<org-ID> -SP.xml .

Konfigurera auktorisation i Shibboleth-filer

När du har installerat Shibboleth får du konfigurationsfiler med exempel.

1

Gå till katalogen /opt/shibboleth-idp/conf för att komma åt exempelfilerna.

2

Bestäm vilken behörighetsmetod som ska användas – till exempel binder LDAP till Active Directory.

3

Redigera handler.xml-filen enligt följande:

Inga kommentarer

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Fyll i informationen i din Active Directory för att tillåta autentisering. Ange konfigurationen till filen login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurera Shibboleth-tjänsteleverantörskomponenter för SAML-kontroll

1

Lägg till filen som du hämtade från Webex SP i katalogen /opt/shibboleth-idp/metadata.

2

Redigera förlitande-part.xml fil; efter StandardRelyingParty-taggen lägger du till information om SAML-försäkringen för Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

För ID måste du använda enhets-ID-värdet från Webex-metadatafilen. Ersätt exemplet med enhets-ID för din organisation.

3

I metadata:Metadataleverantörstagg lägger du till platsen för filen:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP-metadata kommer från en fil i Shibboleth-filsystemet, på den plats där du laddade upp metadata för din Webex-organisation.

Konfigurera kontrollattribut

1

I avsnittet Dataanslutning anger du var du ska hämta attribut om dina användare.

Active Directory, med ett ID för MittLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

I avsnittet Attributdefinition behåller du vad som redan finns i konfigurationen för transientID.

3

Lägg till det extra attribut som SP förväntar sig och definiera vad det mappar till i attributkällan.

Mappa attributposten (e-postadressatattribut i Active Directory) till uid (användar-ID i Webex).

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definiera vilket attribut som ska ges till varje SP-avtal i attribute-filter.xml-filen.

Ange uid-attributet för Webex som mappar till användarens e-postadress.

Släpp attributet uid till SP-avtalet med Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Regeln som du skapade i attribut-resolver.xml bör ha en policy för att frigöra e-post-attr-attributet till enhets-ID som matchar Webex.

5

Hämta metadatafilen från Shibboleth-servern i /opt/shibboleth-idp/metadata. Filnamnet är idp-metadata.xml.

Importera IdP-metadata och aktivera enkel inloggning efter ett test

När du har exporterat Webex-metadata, konfigurerat IdP och hämtat IdP-metadata till ditt lokala system kan du importera dem till din Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO-integrering från gränssnittet för identitetsleverantören (IdP). Vi stöder endast flöden initierade av tjänsteleverantör (SP-initierade), så du måste använda SSO-testet för Control Hub för den här integreringen.

1

Välj ett alternativ:

  • Återgå till sidan Control Hub – val av certifikat i webbläsaren och klicka sedan på Nästa .
  • Om Control Hub inte längre är öppet på webbläsarfliken, från kundvyn inhttps://admin.webex.com , gå till Hantering > Organisationsinställningar , bläddra till Autentisering och välj sedan Åtgärder > Importera metadata .
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafilen på sidan eller använda filläsaren för att hitta och läsa in metadatafilen. Klicka på Nästa.

Du bör använda Säkrare alternativ, om du kan. Detta är endast möjligt om din IdP använde en offentlig certifikatutfärdare för att signera sina metadata.

I alla andra fall måste du använda Mindre säker alternativ. Detta inkluderar om metadata inte är signerade, självsignerade eller signerade av en privat certifikatutfärdare.


 

Okta signerar inte metadata, så du måste välja Mindre säker för Okta SSO-integrering.

3

Välj Testa SSO-konfigurationen , och när en ny webbläsarflik öppnas ska du autentisera med IdP genom att logga in.


 

Om du får ett autentiseringsfel kan det uppstå ett problem med autentiseringsuppgifterna. Kontrollera användarnamnet och lösenordet och försök igen.

Ett Webex-appfel innebär vanligtvis ett problem med SSO-konfigurationen. I det här fallet går du igenom stegen igen, särskilt de steg där du kopierar och klistrar in metadata för Control Hub i IdP-konfigurationen.


 

Om du vill se SSO-inloggningsupplevelsen direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Det här steget stoppar falska positiva resultat på grund av en åtkomsttoken som kan finnas i en befintlig session från att du loggar in.

4

Återgå till webbläsarfliken Control Hub.

  • Om testet lyckades väljer du Testet utfördes. Slå på SSO och klicka Nästa .
  • Om testet misslyckades väljer du Testet misslyckades. Stäng av SSO och klicka Nästa .

 

SSO-konfigurationen träder inte i kraft i din organisation om du inte väljer den första alternativknappen och aktiverar SSO.

Nästa steg

Använd procedurerna i Synkronisera Okta-användare till Cisco Webex Control Hub om du vill göra användaretablering från Okta till Webex-molnet.

Använd procedurerna i Synkronisera Azure Active Directory -användare till Cisco Webex Control Hub om du vill göra användaretablering från Azure AD till Webex-molnet.

Du kan följa proceduren i Undertryck automatiska e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex-appanvändare i din organisation. Dokumentet innehåller även bästa praxis för att skicka ut kommunikation till användare i din organisation.