Çoklu oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onaylama İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex SSO bulut ve kimlik sağlayıcınız (IdP) arasında kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması , yalnızca web tarayıcısı ve SSO destekler. Web tarayıcısı SSO, Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

AdKimlik biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulama aşağıdaki NameID biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nize yüklemekte olduğu meta veride, ilk giriş bu özellikte kullanım için Webex.

Çoklu Oturum Kapatma

Webex Uygulaması , tekli oturum açma profilini destekler. Uygulama Webexbir kullanıcı oturumu sona erdirecek ve IdP'niz ile oturumun çıkış işlemini onaylamak için SAML tek oturum açma protokolünü kullanan uygulamada oturumu çıkışlayabilir. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı Shibboleth ile Entegre Edin

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Bu entegrasyonu kullanıcı için Webex ayarla ( Control Hub'Webex Uygulaması, Webex Meetings ve diğer hizmetler dahil). Kullanıcı Webex Control Hub'a entegre edilmişse site Webex yönetimi devralr. Yönetime bu şekilde Webex Meetings ve Control Hub'dayönetilmiyorsa için hızlı erişim iznini etkinleştirmek üzere ayrı bir SSO Webex Meetings . (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

Entegrasyon adımları, Web sunucusu olarak Tomcat 7'nin olduğu CentOS 7'de Shibboleth 2.4.5'i gösterir.

Başlamadan önce

SSO ve Control Hub için, IdP’lerin SAML 2.0 spesifikasyonuna uyması gerekir. Ek olarak, IdP’ler aşağıdaki şekilde yapılandırılmalıdır:

Meta verileri Webex sisteminize indirin

1

üzerinde müşteri https://admin.webex.comgörünümünden, Yönetim > KuruluşAyarları'nı seçin ve Kimlik Doğrulama'ya gidin ve ardından çoklu oturum açma ayarını açıp kurulum sihirbazını başlatın.

2

Organizasyonun sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı—Bu seçeneği öneririz. Sertifikayı imzalamamız gerekiyor, bu nedenle bunu yalnızca beş yılda bir yenilemelisiniz.
  • Genel bir sertifika yetkilisi tarafından imzalanmış: Daha güvenlidir ancak meta verileri sık sık güncellemeniz gerekir (IdP sağlayıcınız güven çapaları desteklemiyorsa).

Güven çıpaları, dijital imzanın sertifikasını doğrulama yetkisi olarak çalışan genel anahtarlardır. Daha fazla bilgi için IdP belgelerinize başvurun.

3

Meta veri dosyasını indirin.

Webex meta veri dosya adı idb-meta--SP.xml’dir.

Shibboleth dosyalarında yetkiyi yapılandırma

Shibboleth'i yükledikten sonra, örneklerle birlikte yapılandırma dosyaları size sunulmaktadır.

1

Örnek dosyalara erişmek için /opt/shibboleth-idp/conf dizinine gidin.

2

Hangi yetki yönteminin olduğuna karar verin ; örneğin, LDAP bağlayıcısı Active Directory.

3

Handler.xml dosyasını şu şekilde düzenleyin:

Uncomment

   urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Yorum

 urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified
4

Kimlik doğrulamasına izin vermek Active Directory oturum bağlantı ayrıntıları doldurun. login.config dosyası için yapılandırmayı girin.

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule gerekli ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Kullanıcılar,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Yönetici,cn=Kullanıcılar,dc=cisco,dc=net" bindCredential="ThePassword"; };

SAML onaylaması için Shibboleth hizmet sağlayıcı bileşenlerini yapılandırma

1

Webex SP'den indirdiğiniz dosyayı /opt/shibboleth-idp/metadata dizinine ekleyin.

2

relying-party.xml dosyasını düzenleyin; DefaultRelyingParty etiketinden sonra Webex için SAML onayının ayrıntılarını ekleyin.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/>

Kimlik için, metadata dosyasındaki EntityID değerini Webex gerekir. Örneğin kimliğini, kurumuz için EntityID ile değiştirin.

3

Meta verisi:MetadataProvider etiketi içinde dosyanın konumunu ekleyin:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini ngMetadataProvider"> <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />  <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m ace:shibboleth-idp/metad ata/cucm9a.cisco.net-single-agreement.xml" />  <!-- Cisco CI Yapılandırması <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/ idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" /> </metadata:MetadataProvider>

SP meta verileri, Shibboleth dosya sisteminde bir dosyadan, bu kuruluş için meta verileri yüklediğiniz konumda Webex gelir.

Onaylama özniteliklerini yapılandır

1

Veri Bağlayıcı bölümünde kullanıcılarınız hakkında özniteliklerin alın nereye alın olduğunu belirtin.

MyLDAP kimliğiyle active directory.

  <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]>

2

Öznitelik tanımı bölümünde, geçiciid için yapılandırmada ne olduğunu seçin.

3

SP'nin beklediği ek özniteliği ekleyin ve öznitelik kaynağında hangi öznitelikle eşle olduğunu tanımlayın.

E-posta özniteliğini (Active Directory’deki e-posta adresi özniteliği) uid (Webex’te UserID) ile eşleyin.

4

Attribute-filter.xml dosyasında her bir SP sözleşmesine sağ hangi özniteliğin sağ oluştur genel bir öznitelik olduğunu tanımlayın.

Kullanıcı e-posta adresiyle Webex kullanıcı uid özniteliğini sağlar.

Kullanıcı adı ile SP sözleşmesine uid özniteliğini Webex.

 <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

attribute-resolver.xml içinde oluşturduğunuz kuralın, mail-attr özniteliğini Webex ile eşleşen EntityID'ye bırakma politikası olmalıdır.

5

Shibboleth sunucusundan gelen meta veri dosyasını /opt/shibboleth-idp/metadata'da indirin. Dosya adı idp-metadata.xml biçimindedir.

IdP meta verilerini içe aktarın ve çoklu oturum açma etkinleştir

Meta verileri dışa aktardikten Webex IdP'nizi yapılandırın ve IdP meta verilerini yerel sisteminize indirdikten sonra, Control Hub'dan Webex organizasyona aktarmaya hazır oluruz.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca hizmet sağlayıcı-başlatıldı (SP-başlatıldı) akışlarını destekliyoruz, bu nedenle bu entegrasyon için Control hub SSO test 'i kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Control Hub – sertifika seçimi sayfasına geri dönün ve Ileri’ye tıklayın.
  • Control Hub tarayıcı sekmesinde artık açık değilse müşteri görünümünden https://admin.webex.comYönetim > Kuruluş Ayarları’na gidin, Kimlik Doğrulama’ya kaydırın ve ardından Eylemler > Meta Verileri Içe Aktar’ı seçin.
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Varsa Daha güvenli seçeneğini kullanabilirsiniz. Bu, ancak IdP'niz meta verilerini imzalamak için genel bir CA kullandı ise mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçeneğini kullanabilirsiniz . Meta verilerin imzalanmaz, otomatik olarak imzalanmaz veya özel bir CA ile imzalanmazsa bu bilgiler dahildir.

Okta meta verileri oturum açmaz, bu nedenle Okta Güvenliği entegrasyonu için Daha az güvenli SSO gerekir.

3

SSO kurulumunu test et'i seçin ve yeni bir tarayıcı sekmesi açıldığında oturum açarak IdP ile kimliğinizi doğrulayın.

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Uygulama Webex hatası , genellikle kurulum sırasında SSO anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu adım, oturum aken mevcut bir oturumda olabileceğiniz bir erişim belirteci nedeniyle false pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılı olmuşsa Test başarılı'ı seçin. Aç ve SSO'ye tıklayın.
  • Test başarısız olmuşsa Başarısız test'i seçin. Başlat'ı SSO Ve Sonraki seçeneğini tıklatın.

Ağ SSO yapılandırma, ilk olarak Etkinleştir'i seçmedikçe radyo düğmesi içinde SSO.

Sonraki adım

Okta'dan kullanıcı sağlamayı buluta Cisco Webex Control Hub Okta Kullanıcılarını senkronize etmek için bu Webex kullanın.

Azure AD'den kullanıcı Active Directory buluta kullanıcı sağlamayı yapmak Cisco Webex Control Hub Azure E-posta Kullanıcılarını aşağıdaki Webex kullanın.

Kuruluşunuzdaki yeni Webex Uygulaması kullanıcılarına gönderilen e-postaları devre dışı bırakmak için Otomatik E-postaları Engelle bölümündeki prosedürü takip edebilirsiniz. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.