單一登入與 Cisco Webex Teams

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

使用「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」在 Cisco Webex 雲端和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

設定檔

Cisco Webex Teams 僅支援 Web 瀏覽器 SSO 設定檔。 在 Web 瀏覽器 SSO 設定檔中,Cisco Webex Teams 支援下列連結:

  • SP 起始的 POST -> POST 連結

  • SP 起始的 REDIRECT -> POST 連結

NameID 格式

「SAML 2.0 通訊協定」支援特定使用者採用數種 NameID 格式進行通訊。Cisco Webex Teams 支援下列 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您從 IdP 載入的中繼資料中,第一個項目是設定用於 Cisco Webex

SingleLogout

Cisco Webex Teams 支援單一登出設定檔。 在 Cisco Webex Teams 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業並向您的 IdP 確認該登出。 請確保為 SingleLogout 設定了 IdP。

Cisco Webex Control Hub 與 Shibboleth 整合以用於單一登入


該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。 諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文件討論範圍之內。

Cisco Webex 組織中的使用者設定此整合(包括 Cisco Webex TeamsCisco Webex Meetings 以及在 Cisco Webex Control Hub 中管理的其他服務)。 如果您的 Webex 網站已整合在 Cisco Webex Control Hub 中,則 Webex 網站會繼承使用者管理。 如果您無法以此方式存取 Cisco Webex Meetings 且它未在 Cisco Webex Control Hub 中受到管理,則您必須執行單獨整合才能為 Cisco Webex Meetings 啟用 SSO。 (如需相關資訊,請參閱「網站管理」的 SSO 整合中的為 Webex 設定單一登入。)

這些整合步驟將安裝有 Tomcat 7 的 CentOS 7 上的 Shibboleth 2.4.5 作為 Web 伺服器。

開始之前

對於 SSO 及 Cisco Webex Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:
  • 將 NameID 格式屬性設為 urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • 在 IdP 上設定宣告以包括 uid 屬性名稱和一個值,該值對映至在 Cisco Directory Connector 中選擇的屬性或與 Cisco Webex 身分識別服務中所選屬性相符的使用者屬性。 (例如,此屬性可為 E-mail-Addresses 或 User-Principal-Name。) 如需相關指引,請參閱 https://www.cisco.com/go/hybrid-services-directory 中的自訂屬性資訊。

  • 使用支援的瀏覽器: 我們建議使用最新版本的 Mozilla Firefox 或 Google Chrome。

  • 在瀏覽器中停用任何快顯封鎖程式。

下載 Cisco Webex 中繼資料至您的本端系統

1

https://admin.webex.com 的客戶視圖中,移至設定,然後捲動至驗證

2

按一下修改,按一下「整合協力廠商身分識別提供者」。 (進階),然後按下一步

3

下載中繼資料檔案。

Cisco Webex 中繼資料檔名為 idb-meta-<org-ID>-SP.xml

在 Shibboleth 檔案中設定授權

安裝 Shibboleth 後,系統會向您提供含有範例的設定檔。

1

移至目錄 /opt/shibboleth-idp/conf 以存取範例檔。

2

決定要使用的授權方法 — 例如:LDAP 連結至 Active Directory。

3

編輯 handler.xml 檔,如下所示:

取消註解

    <!-- Username/password login handler --> <ph:LoginHandler xsi:type="ph:UsernamePassword" jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </ph:AuthenticationMethod> </ph:LoginHandler>

意見

<ph:LoginHandler xsi:type="ph:RemoteUser"> <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod> </ph:LoginHandler>
4

填寫 Active Directory 的詳細資料以允許驗證。 提供設定給檔案 login.config

範例:

ShibUserPassAuth { edu.vt.middleware.ldap.jaas.LdapLoginModule required ldapUrl="ldap://ad0a.cisco.net:389" ssl="false" tls="false" baseDn="cn=Users,dc=cisco,dc=net" subtreeSearch="true" userFilter="sAMAccountName={0}" bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net" bindCredential="ThePassword"; };

為 SAML 聲明設定 Shibboleth 服務提供者元件

1

將您從 CI 下載的檔案新增至目錄 /opt/shibboleth-idp/metadata

2

編輯 relying-party.xml 檔;在 DefaultRelyingParty 標籤後面,新增 Cisco Webex 的 SAML 聲明詳細資料。

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8- 22de53230d1e" provider="https://shib9a.cisco.net/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="PT5M" assertionProxyCount="0" signResponses="never" signAssertions="always" encryptAssertions="conditional" encryptNameIds="never" includeConditionsNotBefore="true"/> </rp:RelyingParty>

對於 ID,必須使用 Cisco Webex 中繼資料檔中的 EntityID 值。 將範例的 ID 取代為組織的 EntityID。

3

在 metadata:MetadataProvider 標籤內部,新增檔案的位置:

<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
   <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />

    </metadata:MetadataProvider>

SP 中繼資料來自 Shibboleth 檔案系統中的檔案,此檔案位於您上傳 Cisco Webex 組織中繼資料所在的位置。

設定聲明屬性

1

在 Data Connector 區段中,指定從中擷取使用者屬性的位置。

範例:

Active Directory,ID 為 MyLDAP。

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory" ldapURL="ldap://ad0a.cisco.net:389" baseDN="cn=Users,dc=cisco,dc=net" principal="Administrator@cisco.net" principalCredential="ThePassword"> <dc:FilterTemplate> <![CDATA[ (sAMAccountName=$requestContext.principalName) ]]> </dc:FilterTemplate> </resolver:DataConnector>
2

在屬性定義區段中,保留 transientID 設定中的已有內容。

3

新增 SP 預期的額外屬性,並在屬性來源中定義額外屬性所對映的項目。

範例:

將屬性 mail(Active Directory 中的電子郵件地址屬性)對映至 uid(Cisco Webex 中的 UserID)。
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="MyLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" /> </resolver:AttributeDefinition>
4

attribute-filter.xml 檔中定義要提供給每個 SP 協定的屬性。

將對映至使用者電子郵件地址的 uid 屬性提供給 Cisco Webex

範例:

使用 Cisco Webex 將屬性 uid 釋放給 SP 協定。

<!-- Release the attributes to cisco CI Cloud --> <afp:AttributeFilterPolicy id="ReleaseToCI"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" /> <afp:AttributeRule attributeID="transientId"> <afp:PermitValueRule xsi:type="basic:ANY"/> </afp:AttributeRule> <afp:AttributeRule attributeID="mail-attr"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

您在 attribute-resolver.xml 中建立的規則應該具有原則,以將 mail-attr 屬性釋放給與 Cisco Webex 相符的 EntityID。

5

從 Shibboleth 伺服器上的 /opt/shibboleth-idp/metadata 下載中繼資料檔。 檔名為 idp-metadata.xml

匯入 IdP 中繼資料並在測試後啟用單一登入

匯出 Cisco Webex 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本端系統,您就已準備好將中繼資料匯入 Cisco Webex 組織中(從 Control Hub 匯入)。

1

選擇一個:

  • 在瀏覽器中返回 Cisco Webex Control Hub – 匯出目錄中繼資料頁面,然後按下一步
  • 如果 Control Hub 不再於瀏覽器標籤中開啟,請從 https://admin.webex.com 的客戶視圖中,轉至設定,捲動至驗證,選擇整合協力廠商身分識別提供者(進階),然後在信任的中繼資料檔案頁面上按下一步(因為您之前已經這樣做)。
2

在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔案拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。 按下一步

如果未簽署中繼資料、使用自簽憑證簽署了中繼資料,或使用專用企業憑證授權單位 (CA) 簽署了中繼資料,則建議您使用在中繼資料中需要由憑證授權單位簽署的憑證(更安全)。 如果是自簽憑證,您需要選擇不太安全選項。

3

選取測試 SSO 連線,當新的瀏覽器標籤開啟時,請登入以向 IdP 驗證。


 

如果您收到驗證錯誤,則憑證可能有問題。 檢查使用者名稱和密碼並再試一次。

Webex Teams 錯誤通常表示 SSO 設定有問題。 在這種情況下,再次執行這些步驟,尤其是複製 Control Hub 中繼資料並貼到 IdP 設定的步驟。

4

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取此測試已成功。 啟用「單一登入」選項並按下一步
  • 如果測試失敗,請選取此測試已失敗。 停用單一登入選項,並按下一步

下一步

您可以遵循停止自動電子郵件中的程序以停用傳送至您組織中新的 Webex Teams 使用者的電子郵件。 文件還包含將通訊傳送給您組織中的使用者的最佳做法。