Çoklu oturum açma ve Cisco Webex Teams

Çoklu oturum açma (SSO), bir kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya Kullanıcı kimlik doğrulaması işlemidir. İşlem hakları verilen tüm uygulamalar için kullanıcıların kimliğini doğrular. Kullanıcılar belirli bir oturum sırasında uygulamaları değiştirdiğinizde daha fazla bilgi istemlerini ortadan kaldırır.

Güvenlik Onayı Biçimlendirme Dili (SAML 2,0) Federation Protocol, Cisco Webex bulut ile kimlik sağlayıcınız (IDP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Cisco Webex Teams yalnızca Web tarayıcısı SSO profilini destekler. Web tarayıcısı SSO profilinde Cisco Webex Teams Şu bağlamaları destekler:

  • SP tarafından başlatılan > sonrası bağlama

  • SP tarafından başlatılan yeniden YÖNLENDIRME-> POST bağlaması

NameID Format

SAML 2,0 protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID biçimlerini destekler. Cisco Webex Teams Aşağıdaki NameID biçimlerini destekler.

  • urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici

  • urn: Oasis: names: TC: SAML: 1.1: nameid-Format: belirtilmemiş

  • urn: Oasis: names: TC: SAML: 1.1: nameid-Format: EpostaAdresi

IDP 'inizden yüklediğiniz meta verilerde ilk giriş uygulamasında kullanım için yapılandırılır Cisco Webex.

SingleLogout

Cisco Webex Teams Çoklu oturum kapatma profilini destekler. Cisco Webex Teams Uygulamada, Kullanıcı oturumu sonlandırmak IÇIN SAML tekli oturum kapatma protokolünü kullanan ve IDP 'niz ile oturum açmayı teyit eden uygulamada oturum açabilir. IDP 'nizin SingleLogout için yapılandırıldığından emin olun.

Cisco Webex Control Hub Tek oturum açma Için Shibboleth Ile entegre etme


Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ama tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, NameID-Format urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici için entegrasyon adımları belgelenmiştir. Urn: Oasis: names: TC: SAML: 1.1: nameid-Format: belirtilmemiş veya urn: Oasis: names: TC: SAML: 1.1: nameid-Format: epostaadı, SSO entegrasyonu için çalışacaktır ancak belgelerimizin kapsamı dışındadır.

Kuruluşunuzdaki kullanıcılar için bu entegrasyonu ayarlayın Cisco Webex ( Cisco Webex TeamsCisco Webex Meetingsve üzerinde yönetilen diğer hizmetler dahil Cisco Webex Control Hub). Webex Sitenizde entegre olması durumunda Cisco Webex Control Hub, Webex site Kullanıcı yönetimini devralır. Bu şekilde erişemıyorsanız Cisco Webex Meetings ve içinde yönetilmediği takdirde Cisco Webex Control Hub, için SSO 'yu etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir Cisco Webex Meetings. (Bkz . SITE YÖNETIMI SSO entegrasyonunda daha fazla bilgi Için WebEx Için çoklu oturum açmayı yapılandırın.)

Entegrasyon adımları, Web sunucusu olarak Tomcat 7 olan CentOS 7 ' de Shibboleth 2.4.5 'e başvurur.

Başlamadan önce

SSO ve Cisco Webex Control HubIDPs 'nın SAML 2,0 belirtimine uyması gerekir. Ayrıca IDPs 'nin aşağıdaki şekilde yapılandırılması gerekir:
  • NameID biçimi özniteliğini urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici olarak ayarlayın

  • Cisco Dizin bağlayıcı 'da seçilen özniteliğe veya Cisco webex kimlik hizmeti ile ilgili kullanıcı özniteliğiyle eşleşen bir değere sahip UID öznitelik adını eklemek Için IDP 'de bir talep yapılandırın. (Örneğin, bu öznitelik E-posta adresi veya Kullanıcı sorumlusu adı olabilir.) Kılavuz için https://www.cisco.com/go/hybrid-services-directory 'de özel öznitelik bilgilerine bakın https://www.cisco.com/go/hybrid-services-directory .

  • Desteklenen bir tarayıcı kullanın: Mozilla Firefox veya Google Chrome 'un en son sürümünü öneririz.

  • Tarayıcınızda tüm açılır pencere engelleyicilerini devre dışı bırakın.

Cisco Webex Yerel sisteminize meta verileri indirin

1

Uygulamasındaki müşteri görünümünden https://admin.webex.comAyarlar 'a gidin ve ardından kimlik doğrulama 'ya gidin.

2

Değiştir'e tıklayın, 3. taraf kimlik sağlayıcı 'yı tümleştir 'ya tıklayın. (Gelişmiş)ve ardından İleri 'ye tıklayın.

3

Meta veri dosyasını Indirin.

Cisco Webex Meta veri dosya adı IDB-meta-<org-ID>-SP. xml ' dir.

Şibboleth dosyalarında yetkilendirmeyi yapılandırın

Shibboleth 'u yükledikten sonra, yapılandırma dosyaları örneklerle sunulur.

1

Örnek dosyalara erişmek için/seçenek/shıboleth-IDP/conf dizinine gidin .

2

Kullanılacak yetkilendirme yöntemini (örneğin, LDAP BIND active directory belirleyin.

3

Handler. xml dosyasını şu şekilde düzenleyin:

Tilir

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn: Oasis: names: TC: SAML: 2.0: AC: Classes: PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

Yorum

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified Not:</ph:AuthenticationMethod> </ph:LoginHandler>
4

Kimlik doğrulamasına izin vermek için active directory ayrıntılarını doldurun. Yapılandırmayı login. config dosyasına verin.

Örnek:

ShibUserPassAuth {edu. VT. ınsap. LDAP. jaas. LdapLoginModule gerekli ldapUrl = "LDAP://ad0a.Cisco.net: 389" SSL = "false" TLS = "false" baseDn = "CN = Users, DC = Cisco, DC = net" subtreeSearch = "true" userFilter = "sAMAccountName ={0}" binddn = "CN = Yönetici, CN = Users, DC = Cisco, DC = net "bindCredential =" ThePassword "; };

SAML onayı için Şıboleth hizmet sağlayıcı Cobmpontalar Yapılandır

1

CI 'dan indirdiğiniz dosyayı /seçenek/shıboleth-IDP/Metadata dizinine ekleyin.

2

Relying-Party. xml ' i düzenleme dosyaların DefaultRelyingParty etiketinden sonra, için SAML onayının ayrıntılarını ekleyin Cisco Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

Kimlik Için meta veri dosyasından EntityId değerini kullanmanız gerekir Cisco Webex . Örneğin KIMLIĞINI kuruluşunuzun EntityId 'si ile değiştirin.

3

Meta veri: MetadataProvider etiketi Içinde dosyanın konumunu ekleyin:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP meta verisi, daha önce kuruluşunuzun meta verilerini yüklediğiniz konumda bulunan Shıboleth dosya sistemindeki bir dosyadan geliyor Cisco Webex .

Onay özniteliklerini yapılandırın

1

Veri bağlayıcı bölümünde, kullanıcılarınız hakkındaki özniteliklerin nereye alınacağını belirtin.

Örnek:

MyLDAP kimliğiyle active directory.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

Öznitelik tanımı bölümünde, geçişli TID yapılandırmasında mevcut olanları saklayın.

3

SP 'nin beklediği ek özniteliği ekleyin ve öznitelik kaynağında eşlendiği öğeyi tanımlayın.

Örnek:

Öznitelik postasını (active directory 'deki e-posta adresi özniteliği) UID 'ye (UserID Cisco Webex) eşleyin.
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

Attribute-Filter. xml dosyasındaki her SP anlaşmasına hangi özniteliği sağlayacağınızı tanımlayın .

Cisco Webex Kullanıcının e-posta adresiyle eşlenecek UID özniteliğini sağlayın.

Örnek:

Öznitelik UID 'sini ile SP anlaşmasına bırakın Cisco Webex.

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

Attribute-Resolver. xml dosyasında oluşturduğunuz kuralın, posta-ATTR özniteliğini eşleşen EntityId 'ye serbest bırakması için bir politikası olmalıdır Cisco Webex.

5

/Seçenekler/shıboleth-IDP/Metadata 'Deki Shıboleth sunucusundan meta veri dosyasını indirin. Dosya adı idp-Metadata. xml olur.

Test işleminden sonra IDP meta verilerini Içe aktarın ve çoklu oturum açmayı etkinleştirin

Meta verileri dışa aktardıktan Cisco Webex , IDP 'yı yapılandırın ve IDP meta verilerini yerel sisteminize indirin, üzerinden kuruluşunuza içe aktarmaya hazırsınız Cisco WebexControl Hub’ı.

1

Şunlardan birini tercih edin:

  • Cisco Webex Control Hub Tarayıcınızda-dizin meta verilerini dışa aktar sayfasına geri dönün ve ardından İleri 'ye tıklayın .
  • Control Hub’ı Tarayıcı sekmesinde artık açık değilse, uygulamasındaki müşteri görünümünden https://admin.webex.comAyarlar 'a gidin, kimlik doğrulama 'ya gidin, üçüncü taraf kimlik sağlayıcı entegre etme 'yi (Gelişmiş) seçinve ardından güvenilir 'de ileri 'ye tıklayın meta veri dosyası sayfası (daha önce yapmış olduğunuz için).
2

IDP meta verilerini Içe Aktar sayfasında, IdP meta veri dosyası sayfaya sürükleyip bırakın ya da meta veri dosyasını bulup karşıya yüklemeniz için dosya tarayıcısı seçeneğini kullanın. İleri'yi tıklayın.

Meta veriler imzalanmamışsa, otomatik olarak imzalanan bir sertifikayla imzalanır veya özel bir kurumsal sertifika yetkilisiyle (CA) imzalanmışsa, meta verilerde sertifika yetkilisi tarafından imzalanan sertifika gerektir 'i kullanmanızı öneririz (daha güvenli). Sertifika kendinden imzalıysa, daha az güvenli seçeneğini seçmeniz gerekir .

3

SSO bağlantısını test et 'i seçinve yeni bir tarayıcı sekmesi açıldığında IDP ile oturumu açarak kimlik doğrulaması yapın.


 

Kimlik doğrulama hatası alırsanız kimlik bilgilerinde bir sorun olabilir. Kullanıcı adını ve parolayı kontrol edip tekrar deneyin.

Bir Webex Teams hata genellıkle SSO kurulumuyla ilgili bir sorun demektir. Bu örnekte, adımları tekrar deneyin, özellikle Control Hub’ı meta verileri kopyalayıp IDP kurulumuna yapıştırdığınız adımlar.

4

Control Hub’ı Tarayıcı sekmesine geri dönün.

  • Test başarılı olduysa, Bu testi başarılı olarak seçin. Çoklu oturum açma seçeneğini etkinleştirip İleri 'ye tıklayın .
  • Test başarısız olursa Bu test başarısız oldu öğesini seçin. Çoklu oturum açma seçeneğini devre dışı bırakın ve İleri 'ye tıklayın.

Sonraki adım

https://collaborationhelp.cisco.com/article/nqj88gt Kuruluşunuzdaki yeni kullanıcılara gönderilen e-postaları devre dışı bırakmak Için otomatik e-postaların gizlenmemesi sırasında açıklanan prosedürü izleyebilirsiniz Webex Teams . Belge ayrıca kuruluşunuzdaki kullanıcılara iletişim göndermek için en iyi uygulamaları içerir.