Єдиний вхід і центр керування

Єдиний вхід (SSO) - це процес аутентифікації сеансу або користувача, який дозволяє користувачеві надати облікові дані для доступу до однієї або декількох програм. Процес аутентифікує користувачів для всіх програм, на які їм надаються права. Вона усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол Федерації мови розмітки тверджень безпеки (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником ідентифікаційних даних (IdP).

Профілі

Програма Webex підтримує лише профіль SSO веб-переглядача. У профілі SSO веб-переглядача застосунок Webex підтримує такі прив 'язки:

  • SP ініційовано POST -> POST BINDING

  • SP ініціював ПЕРЕАДРЕСАЦІЮ -> POST BINDING

Формат NameID

Протокол SAML 2.0 підтримує декілька форматів NameID для спілкування про конкретного користувача. Програма Webex підтримує такі формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовано для використання в Webex.

SingleLogout

Програма Webex підтримує єдиний профіль виходу. У додатку Webex користувач може вийти з програми, яка використовує єдиний протокол виходу SAML для завершення сеансу та підтвердження виходу за допомогою свого IdP. Переконайтеся, що ваш IdP налаштований для SingleLogout.

Інтегрувати центр керування з Shibboleth

Керівництва з конфігурації показують конкретний приклад інтеграції SSO, але не забезпечують вичерпної конфігурації для всіх можливостей. Наприклад, задокументовано кроки інтеграції для urn:oasis:names:tc:SAML:2.0: nameid-format: transient. Інші формати, такі як urn: oasis: names: tc: SAML: 1.1: nameid-format:unspecified або urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress працюватимуть для інтеграції SSO, але виходять за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи додаток Webex, зустрічі Webex та інші служби, адміністрування яких здійснюється в Центрі керування). Якщо ваш сайт Webex інтегрований у Центр керування, сайт Webex успадковує управління користувачами. Якщо ви не можете отримати доступ до зустрічей Webex у такий спосіб, і він не управляється в Control Hub, ви повинні зробити окрему інтеграцію, щоб увімкнути SSO для зустрічей Webex. (Див. Налаштування єдиного входу для Webex для отримання додаткової інформації про інтеграцію SSO в адмініструванні сайту.)

Кроки інтеграції стосуються Shibboleth 2.4.5 в CentOS 7 з Tomcat 7 в якості веб-сервера.

Перш ніж почати

Для SSO та Control Hub IDP повинні відповідати специфікації SAML 2.0. Крім того, IDP повинні бути налаштовані наступним чином:

Завантажте метадані Webex до локальної системи

1.

У перегляді клієнта в розділіhttps://admin.webex.com, перейдіть до Керування > Налаштування організації, а потім перейдіть до автентифікації, а потім увімкніть налаштування єдиного входу, щоб запустити майстер налаштування.
2.

Виберіть тип сертифіката для своєї організації:

  • Самопідписання компанією Cisco .Рекомендуємо такий вибір. Дозвольте нам підписати сертифікат, тому вам потрібно поновлювати його лише раз на п 'ять років.
  • Підписано публічним центром сертифікації- більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IDP не підтримує прив 'язки довіри).

 

Якорі довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, перегляньте документацію IdP.
3.

Завантажте файл метаданих.

Ім 'я файлу метаданих Webex - idb-meta-<org-ID>-SP.xml.

Налаштувати авторизацію у файлах Shibboleth

Після встановлення Shibboleth вам будуть надані файли конфігурації з прикладами.

1.

Перейдіть до каталогу/opt/shibboleth-idp/conf, щоб отримати доступ до файлів прикладів.
2.

Вирішіть, який метод авторизації використовувати - наприклад, прив 'язати LDAP до Active Directory.
3.

Відредагуйте файл handler.xml наступним чином:

Розібрати коментар

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Коментар

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4.

Заповніть дані свого Active Directory, щоб дозволити автентифікацію. Надайте конфігурацію файлу login.config.

Приклад:

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Налаштування компонентів постачальника послуг Shibboleth для твердження SAML

1.

Додайте файл, який ви завантажили з Webex SP, до каталогу/opt/shibboleth-idp/metadata.
2.

Відредагуйте файл relying-party.xml; після тегу DefaultRelyingParty додайте подробиці твердження SAML для Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Для ідентифікатора необхідно використовувати значення EntityID з файлу метаданих Webex. Замініть ідентифікатор прикладу на EntityID вашої організації.
3.

Усередині метаданих:тег MetadataProvider, додайте розташування файлу:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Метадані SP надходять з файлу файлової системи Shibboleth у місці, де ви завантажили метадані для своєї організації Webex.

Налаштувати атрибути твердження

1.

У розділі «З 'єднувач даних» вкажіть, де отримувати атрибути про ваших користувачів.

Приклад:

Active Directory з ідентифікатором MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2.

У розділі Визначення атрибутів збережіть те, що вже знаходиться в конфігурації для transientID.
3.

Додайте додатковий атрибут, який очікує SP, і визначте, з чим він зіставляється в джерелі атрибутів.

Приклад:

Прив 'яжіть атрибут mail (атрибут адреси електронної пошти в Active Directory) до uid (UserID в Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4.

Визначте, який атрибут надавати кожній угоді SP у файлі attribute-filter.xml.

Надайте атрибут uid для Webex, який відповідає адресі електронної пошти користувача.

Приклад:

Відпустіть атрибут uid до угоди SP з Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Правило, створене в файлі attribute-resolver.xml, має мати політику, яка дозволяє відпускати атрибут mail-attr до EntityID, який відповідає Webex.
5.

Завантажте файл метаданих з сервера Shibboleth у/opt/shibboleth-idp/metadata. Назва файла - idp-metadata.xml.

Імпортувати метадані IdP та увімкнути єдиний вхід після тесту

Після експорту метаданих Webex, налаштування IdP та завантаження метаданих IdP до локальної системи, ви можете імпортувати їх до своєї організації Webex з Control Hub.

Перш ніж почати

Не перевіряйте інтеграцію SSO з інтерфейсу постачальника ідентифікаційних даних (IdP). Ми підтримуємо лише потоки, ініційовані Постачальником послуг (SP-ініційовані), тому для цієї інтеграції потрібно використовувати тест SSO Control Hub.

1.

Виберіть один з варіантів:

  • Поверніться на сторінку Control Hub – вибір сертифіката у веб-переглядачі, а потім натисніть Далі.
  • Якщо Центр керування більше не відкрито на вкладці веб-переглядача, перейдіть у розділ " https://admin.webex.comКерування" > "Налаштування організації", прокрутіть до розділу "Аутентифікація", а потім виберіть " Дії" > "Імпортувати метадані".
2.

На сторінці Імпорт метаданих IdP перетягніть файл метаданих IdP на сторінку або скористайтеся опцією переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечно», якщо це можливо. Це можливо, лише якщо ваш IdP використовує загальнодоступний ЦС для підписання своїх метаданих.

У всіх інших випадках ви повинні використовувати опцію Менш безпечний. Це стосується випадків, коли метадані не підписані, самопідписані або підписані приватним ЦС.
3.

Виберіть Test SSO setup (Перевірити налаштування SSO), а коли відкриється нова вкладка веб-переглядача, виконайте автентифікацію за допомогою IdP, увійшовши в систему.


 

Якщо ви отримали помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім 'я користувача та пароль і спробуйте ще раз.

Помилка програми Webex зазвичай означає проблему з налаштуванням SSO. У цьому випадку перегляньте кроки знову, особливо кроки, на яких ви копіюєте та вставляєте метадані Control Hub у налаштування IdP.

 

Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Цей крок зупиняє хибні позитивні результати через маркер доступу, який може знаходитися в існуючому сеансі від входу.
4.

Поверніться на вкладку веб-переглядача Центру керування.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть SSO і натисніть Далі.
  • Якщо тест пройшов невдало, виберіть Невдалий тест. Вимкніть SSO і натисніть Далі.

 

Налаштування SSO не набуває чинності у вашій організації, якщо ви не оберете першу перемикальну кнопку та не активуєте SSO.

Що далі

Щоб вимкнути електронні листи, які надсилаються новим користувачам додатка Webex у вашій організації, виконайте вказані нижче дії. Документ також містить рекомендації щодо надсилання повідомлень користувачам у вашій організації.