Cisco Cisco Expressway

Use this feature to enable single sign-on for endpoints accessing Unified Communications services from 
outside the network. Single sign-on over the edge relies on the secure traversal capabilities of the 
Expressway pair at the edge, and trust relationships between the internal service providers and the externally 
resolvable identity provider (IdP). 

The endpoints do not need to connect via VPN; they use one identity and one authentication mechanism to 
access multiple Unified Communications services. Authentication is owned by the IdP, and there is no 
authentication at the Expressway, nor at the internal Unified CM services.

  

 

n

Cisco Jabber 10.6 or later

  

 

n

Cisco Unified Communications Manager 10.5(2) or later

 

n

Cisco Unity Connection 10.5(2) or later

 

n

Cisco Unified Communications Manager IM and Presence Service 10.5(2) or later

 

n

Other internal web servers, for example intranet

  

Cisco Jabber determines whether it is inside the organization's network before it requests a Unified 
Communications service. If it is outside the network, then it requests the service from the Expressway-E on 
the edge of the network. If single sign-on is enabled at the edge, the Expressway-E redirects Jabber to the 
IdP with a signed request to  authenticate the user.

The IdP challenges the client to identify itself. When this identity is authenticated, the IdP redirects Jabber's 
service request back to the Expressway-E with a signed assertion that the identity is authentic.

The Expressway-E trusts the IdP, so it passes the request to the appropriate service inside the network. The 
Unified Communications service trusts the IdP and the Expressway-E, so it provides the service to the 
Jabber client.

Unified Communications Mobile and Remote Access via Cisco Expressway Deployment Guide (X8.6)     

Page 32 of 55

Single Sign-On (SSO) over the Collaboration Edge