Enkel inloggning och Cisco Webex Teams

Enkel inloggning (SSO) är en session-eller användar verifierings process som gör det möjligt för användare att ange inloggnings uppgifter för ett eller flera program. Processen autentiserar användare för alla program som de har fått rättigheter till. Det tar bort ytterligare uppmaningar när användare växlar program under en särskild session.

Federations protokollet för ett SAML 2,0-protokoll (Security Assertion Markup Language) används för att tillhandahålla SSO Cisco Webex -autentisering mellan molnet och din identitets leverantör (IdP).

Profil

Cisco Webex Teams stöder endast webbläsarens SSO-profil. I webbläsarens SSO-profil Cisco Webex Teams stöds följande bindningar:

  • SP-initierad post-> efter bindning

  • SP initierad omDIRIGERING-> POST-bindning

NameID-format

SAML 2,0-protokollet har stöd för flera NameID-format för kommunikation om en specifik användare. Cisco Webex Teams har stöd för följande NameID-format.

  • urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: Ospecificerat

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: emailAddress

I metadata som du laddar från din IdP är den första inmatningen konfigurerad för användning i Cisco Webex.

SingleLogout

Cisco Webex Teams stöder profilen för enkel utloggning. I Cisco Webex Teams appen kan en användare logga ut från programmet och använda SAML-utloggnings protokollet för att avsluta sessionen och bekräfta att logga ut med din IDP. Se till att din IdP är konfigurerad för SingleLogout.

Integrera Cisco Webex Control Hub med Shibboleth för enkel inloggning


I konfigurations guiderna visas ett specifikt exempel på SSO-integrering men ger inte fullständig konfiguration för alla möjligheter. Exempelvis integrerings stegen för NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig är dokumenterad. Andra format såsom urn: Oasis: Names: TC: SAML: 1.1: NameID-format: ej specificerad eller urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fungerar för SSO-integrering men ligger utanför tillämpningsområdet för vår dokumentation.

Konfigurera den här integreringen för användare i din Cisco Webex organisation (inklusive Cisco Webex Teams, Cisco Webex Meetingsoch andra tjänster som administreras Cisco Webex Control Hub). Om din WebEx webbplats är integrerad Cisco Webex Control Hubkommer WebEx webbplatsen att ärva användar hanteringen. Om du inte kan komma åt Cisco Webex Meetings på det här sättet och den inte hanteras i Cisco Webex Control Hub, måste du göra en separat integrering för att aktivera SSO för Cisco Webex Meetings. (Se Konfigurera enkel inloggning för WebEx för mer information i SSO-integrering i Webbplatsalternativ.)

Integrerings stegen hänvisar till Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som webb server.

Innan du börjar

För SSO och Cisco Webex Control Hubmåste IdPs följa specifikationen för SAML 2,0. Dessutom måste IdPs konfigureras på följande sätt:
  • Ange NameID-format-attributet som urn: Oasis: Names: TC: SAML: 2.0: NameID-format:tillfällig

  • Konfigurera ett anspråk på IdP för att inkludera namnet på UID- attributet med ett värde som har mappats till attributet som har valts i Cisco kataloganslutning eller attributet User som matchar det som valts i Cisco Webex-identitetstjänst. (Detta attribut kan till exempel vara E-post-adresser eller användarens huvud namn.) Se informationen om det anpassade attributet i https://www.Cisco.com/go/Hybrid-Services-Directory för vägledning.

  • Använd en webbläsare som stöds: Vi rekommenderar den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.

Hämta Cisco Webex metadata till ditt lokala system

1

Från kundvisaren i https://admin.webex.comgår du till inställningaroch bläddrar sedan till verifiering.

2

Klicka på ändra, klicka på integrera en identitets leverantör från tredje part. (Avancerat)och klicka sedan på Nästa.

3

Hämta filen med metadata.

Cisco Webex Metadata-fil namnet är IDB-meta-<org-ID>-sp. xml.

Konfigurera auktorisering i Shibboleth-filer

När du har installerat Shibboleth får du ett exempel på konfigurations filer.

1

Gå till katalogen /opt/Shibboleth-IDP/conf för att komma åt exempel filerna.

2

Bestäm vilken behörighets metod som ska användas, till exempel, LDAP BIND till active directory.

3

Redigera handler. xml- filen enligt följande:

Kommentera

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn: Oasis: Names: TC: SAML: 2.0: AC: Classes: PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified Obs!</ph:AuthenticationMethod> </ph:LoginHandler>
4

Fyll i informationen om din active directory för att tillåta autentiseringen. Ange konfigurationen för filen login . config.

Exempel:

ShibUserPassAuth {edu. VT. mellanliggande. LDAP. jaas. LdapLoginModule required ldapUrl = "LDAP://ad0a.Cisco.net: 389" SSL = "false" TLS = "false" baseD = "CN = Users, DC = Cisco, DC =" true "SubtreeSearch =" sAMAccountName ={0}"userFilter =" CN = Administratör, CN = Users, DC = Cisco, DC = net "bindCredential =" ThePassword "; };

Konfigurera Shibboleth tjänsteleverantör Cobmponents för SAML-förSäkran

1

Lägg till filen som du hämtade från CI i katalogen /opt/Shibboleth-IDP/metadata.

2

Redigera relying-Party. XML ljudfil efter DefaultRelyingParty-taggen lägger du till informationen om SAML-försäkran för Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

För ID måste du använda EntityID-värdet från Cisco Webex filen metadata. Byt ut ID på exemplet med EntityID för din organisation.

3

I taggen metadata: MetadataProvider lägger du till sökvägen till filen:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP-metadata kommer från en fil i fil systemet Shibboleth, där du har överfört metadata för din Cisco Webex organisation.

Konfigurera attribut för kontroll

1

I avsnittet data anslutning anger du var du vill hämta attribut för dina användare.

Exempel:

Active directory, med ID för min LDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

I avsnittet attributdefinitioner behåller du vad som redan finns i konfigurationen för transientID.

3

Lägg till det extra attributet som SP är förväntat och ange vad det ska mappas till i attributets källa.

Exempel:

Mappa attributet e-post (e-postadress i active directory) till UID (UserID in Cisco Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Definiera vilket attribut som ska tillhandahållas varje SP-avtal i Attribute-filter. xml- filen.

Ange UID-attributet för Cisco Webex mappningen till användarens e-postadress.

Exempel:

Släpp attributet UID till SP-avtalet med Cisco Webex.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

Regeln som du har skapat i Attribute-resolver. xml ska ha en princip för att frigöra attributet e-attr till EntityID som matchar Cisco Webex.

5

Hämta metadatafilen från Shibboleth-servern i /opt/Shibboleth-IDP/metadata. Fil namnet är IDP-metadata. xml.

Importera IdP metadata och aktivera enkel inloggning efter ett test

När du har exporterat Cisco Webex metadata, konfigurerar din IDP och hämtar IDP metadata till ditt lokala system, är du redo att importera det till din Cisco Webex organisation från Kontrollhubb.

1

Välj ett alternativ:

  • Gå tillbaka till Cisco Webex Control Hub sidan-Exportera katalog metadata i din webbläsare och klicka sedan på Nästa.
  • Om det Kontrollhubb inte längre är öppet på fliken webbläsare https://admin.webex.comgår du till inställningar, bläddrar till verifiering, väljer integrera en identitets leverantör från tredje part (avancerat)och klickar sedan på Nästa på betrodd Sidan metadata-fil (eftersom du redan gjorde det tidigare).
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafil på sidan eller använda fil läsar alternativet för att leta upp och överföra metadatafilen. Klicka på Nästa.

Om metadata inte är signerade är signerade med ett självsignerat certifikat eller är signerat med en privat företags certifikat utfärdare (CA), rekommenderar vi att du använder Kräv certifikat signerat av en certifikat utfärdare i metadata (säkrare). Om certifikatet är självsignerat måste du välja alternativet mindre säker .

3

Välj testa SSO-anslutningoch när en ny flik i webbläsaren öppnas verifierar du med IdP genom att logga in.


 

Om du får ett autentiseringsfel kan det vara problem med inloggnings uppgifterna. Kontrol lera användar namnet och lösen ordet och försök igen.

Ett Webex Teams fel innebär vanligt vis ett problem med SSO-konfigurationen. I så fall kan du gå igenom stegen igen, i synnerhet de steg där du kopierar och klistrar in Kontrollhubb metadata i IDP-installationen.

4

Återgå till Kontrollhubb fliken webbläsare.

  • Om testet lyckades väljer du testet lyckades. Aktivera alternativet enkel inloggning och klicka på Nästa.
  • Om testet Miss lyckas väljer du det här testet misslyckades. Inaktivera alternativet enkel inloggning och klicka på Nästa.

Och sedan då?

Du kan följa proceduren i Dölj automatiska e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex Teams användare i din organisation. Dokumentet innehåller också bästa praxis för att skicka ut meddelanden till användare i din organisation.