Enkel inloggning och Control Hub

Enkel inloggning (SSO) är en session eller användarautentiseringsprocess som gör det möjligt för en användare att ange autentiseringsuppgifter för att få åtkomst till ett eller flera program. Processen autentiserar användare för alla program som de har behörighet till. Den eliminerar ytterligare uppmaningar när användare byter program under en viss session.

Saml 2.0 Federation Protocol (Security Assertion Markup Language) används för att tillhandahålla SSO webex-molnet och din identitetsleverantör (IdP).

Profiler

Webex-appen har endast stöd för SSO webbläsarprofilen. I webbläsarens profil SSO stödjer Webex-appen följande bindningar:

  • SP-initierad POST -> POST-bindning

  • SP–initierad OMDIRIGERING -> POST-bindning

NameID-format

SAML 2.0-protokollet stöder flera NameID-format för kommunikation om en specifik användare. Webex-appen har stöd för följande NameID-format.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadatan som du laddar från din IdP är den första posten konfigurerad för användning i Webex.

Enkel utloggning

Webex-appen har stöd för profilen för enkel utloggning. I Webex-appen kan en användare logga ut från programmet som använder SAML-protokollet för enkel utloggning för att avsluta sessionen och bekräfta att logga ut med dinIdP. Se till att din IdP har konfigurerats för enskild utloggning.

Integrera control hub med Shibboleth


Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation.

Konfigurera den här integreringen för användare i din Webex-organisation(inklusive Webex-appen, Webex Meetings och andra tjänstersomadministreras i Control Hub ). Om din Webex-webbplats är integrerad i Control Hubärver Webex-webbplatsen användarhanteringen. Om du inte kan komma Webex Meetings för det här sättet och det inte hanteras i Control Hub, måste du göra en separat integrering för att aktivera SSO för Webex Meetings . (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i webbplatsadministration.)

Integreringsstegen hänvisar till Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som webbserver.

Innan du börjar

För SSO och Control Hubmåste IdP:er uppfylla SAML 2.0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:

Hämta Webex metadata till ditt lokala system

1

Från kundvyn i går du till Hantering > Organisationsinställningar och bläddrar sedan till Autentisering och växlar sedan till inställningen enkel inloggning för att https://admin.webex.com starta konfigurationsguiden.

2

Välj certifikattyp för din organisation:

  • Själv signerade av Cisco– Vi rekommenderar det här alternativet. Låt oss signera certifikatet så att du bara behöver förnya det en gång var femte år.
  • Signerat av en offentligt certifikatutfärdare – Säkrare, men du måste ofta uppdatera metadata (såvida inteDin IdP-leverantör har stöd för betrodda ankare).

 

Betrodda ankare är offentliga nycklar som kan verifiera en digital signaturs certifikat. Se din IdP-dokumentation för mer information.

3

Hämta metadatafilen.

Webex metadatafilnamn är idb-meta-<org-ID>-SP.xml.

Konfigurera behörighet i Shibboleth-filer

När du har installerat Shibboleth får du konfigurationsfiler med exempel.

1

Gå till katalogen /opt/shibboleth-idp/conf för att komma åt exempelfilerna.

2

Bestäm vilken behörighetsmetod som ska användas, till exempel LDAP-bindning till Active Directory.

3

Redigera filen handler.xml enligt följande:

Avkommentera

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Kommentar

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Fyll i uppgifterna om ditt Active Directory för att tillåta autentisering. Ange konfigurationen för filen login.config.

Exempel:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Konfigurera Shibboleth tjänsteleverantörskomponenter för SAML-försäkran

1

Lägg till filen som du hämtade från Webex SP i katalogen /opt/shibboleth-idp/metadata.

2

Redigera filen relying-party.xml. Efter taggen DefaultRelyingParty lägger du till uppgifterna för SAML-försäkran för Webex .

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

För ID måste du använda EntityID-värdet från Webex metadatafil. Ersätt ID:t för exemplet med din organisations Enhets-ID.

3

Lägg till filens plats i metadata:MetadataProvider-taggen:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

SP-metadatan kommer från en fil i Shibboleth-filsystemet på platsen där du laddade upp metadatan för din Webex-organisation.

Konfigurera kontrollattributen

1

I avsnittet Dataanslutning anger du var attributen om dina användare ska hämtas.

Exempel:

Active Directory med id:t MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

I avsnittet Attributdefinition behåller du det som redan finns i konfigurationen för transientID.

3

Lägg till det extra attributet som SP väntar och definiera vad det mappar till i attributkällan.

Exempel:

Mappa attributadressen (e-postadressattributet i Active Directory) till uid (Användar-ID i Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Definiera vilket attribut som ska tillhandahållas varje SP-avtal i attributet-filter.xml-filen.

Förse Webex med UID-attributet som mappar användarens e-postadress.

Exempel:

Frisläpp attributet uid till SP-avtalet med Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Regeln som du skapade i attribute-resolver.xml ska ha en princip för att ge ut attributet mail-attr till EntityID som matchar Webex.

5

Hämta metadatafilen från Shibboleth-servern i /opt/shibboleth-idp/metadata. Filnamnet är idp-metadata.xml.

Importera IdP-metadata och aktivera enkel inloggning (SSO) efter ett test

När du har exporterat Webex-metadata, konfigurerat din IdP och hämtat IdP-metadata till ditt lokala system är du redo att importera dem till din Webex-organisation från Control Hub .

Innan du börjar

Testa inte SSO-integrering från gränssnittet för identitetsleverantören (IdP). Vi stöder endast flöden initierade av tjänsteleverantör (SP-initierade), så du måste använda SSO-testet för Control Hub för den här integreringen.

1

Välj ett alternativ:

  • Gå tillbaka till Control Hub – sidan för certifikatval i webbläsaren och klicka sedan på Nästa.
  • Om Control Hub inte längre är öppen i webbläsarfliken går du från kundvyn i till Hantering > https://admin.webex.comOrganisationsinställningar, bläddrartill Autentisering och väljer sedan Åtgärder > Importera metadata.
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafilen på sidan eller använda filläsaren för att hitta och läsa in metadatafilen. Klicka på Nästa.

Du bör använda alternativet Säkrare, om du kan. Detta är endast möjligt om din IdP använde en offentlig CA för att signera dess metadata.

I alla andra fall måste du använda alternativet Mindre säkert. Detta inbegriper om metadatan inte är signerad, själv signerad eller signerad av en privat CA.

3

Välj Test SSO ochnär en ny webbläsarflik öppnas autentiseras du med IdP genom att logga in.


 

Om du får ett autentiseringsfel kan det uppstå ett problem med autentiseringsuppgifterna. Kontrollera användarnamnet och lösenordet och försök igen.

Ett Fel i Webex-appen innebär vanligtvis att ett problem SSO konfigureras. I det här fallet går du igenom stegen igen, särskilt de steg där du kopierar och klistrar in metadata för Control Hub i IdP-konfigurationen.


 

Om du SSO din inloggning direkt kan du även klicka på Kopiera URL till Urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Det här steget stoppar falskt positivt eftersom det kan finnas en åtkomsttoken i en befintlig session från den som du är inloggad på.

4

Återgå till webbläsarfliken Control Hub.

  • Om testet lyckades väljer du Framgångsrikt test. Sätt på SSO och klicka på Nästa .
  • Om testet misslyckades väljer du Misslyckat test. Stäng av SSO och klicka på Nästa.

 

Konfigurationen SSO inte gälla i din organisation om du inte först väljer radioknapp och aktiverar SSO.

Nästa steg

Du kan följa proceduren i Ignorera automatiska e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex-appanvändare i din organisation. Dokumentet innehåller även bästa praxis för att skicka ut kommunikation till användare i din organisation.