تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة أو عملية مصادقة للمستخدم تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تصادق العملية المستخدمين لجميع التطبيقات التي تم منحهم حقوقًا لها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يتم استخدام بروتوكول لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة SSO بين سحابة Webex وموفر الهوية (IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف SSO لمستعرض الويب فقط. في ملف تعريف SSO لمستعرض الويب ، يدعم تطبيق Webex الارتباطات التالية:

  • قام SP بتهيئة POST -> ربط POST

  • قام SP ببدء REDIRECT -> ربط POST

تنسيق NameID

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل بشأن مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في البيانات الوصفية التي تقوم بتحميلها من IdP الخاص بك ، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الأحادي

يدعم تطبيق Webex ملف تعريف تسجيل الخروج الأحادي. في تطبيق Webex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الأحادي لـ SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر التعريف الخاص بك. تأكد من تكوين IdP الخاص بك من أجل SingleLogout.

دمج Control Hub مع Shibboleth


 

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثَّقة. تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل دمج تسجيل الدخول الفردي، غير أنها خارج نطاق توثيقنا.

قم بإعداد هذا التكامل للمستخدمين في Webex الخاصة بك (بما في ذلك تطبيق Webex ، Webex Meetings، والخدمات الأخرى التي تتم إدارتها في Control Hub). إذا تم دمج موقع Webex الخاص بك في Control Hub ، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى Webex Meetings بهذه الطريقة ولم تتم إدارتها في Control Hub ، فيجب عليك إجراء تكامل منفصل لتمكين SSO Webex Meetings. (انظر قم بتكوين تسجيل الدخول الأحادي لـ Webex لمزيد من المعلومات حول تكامل SSO في إدارة الموقع.)

تشير خطوات التكامل إلى Shibboleth 2.4.5 في CentOS 7 مع Tomcat 7 كخادم ويب.

قبل البدء

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

قم بتنزيل بيانات Webex الوصفية على نظامك المحلي

1

من وجهة نظر العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، ثم قم بالتمرير إلى المصادقة ، ثم قم بالتبديل إلى ملف تسجيل دخول واحد الإعداد لبدء معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بهذا الاختيار. دعنا نوقع الشهادة حتى لا تحتاج إلا إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل سلطة تصديق عامة —أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم مورد موفِّر الهوية (IdP) الخاص بك كيانات الثقة).

 

نقاط ارتساء الثقة هي مفاتيح عامة تعمل كمرجع للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات ، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta-<org-ID> -SP.xml .

اضبط التخويل في ملفات Shibboleth

بعد تثبيت Shibboleth، يتم تزويدك بملفات التكوين مع أمثلة.

1

انتقل إلى الدليل /opt/shibboleth-idp/conf للوصول إلى ملفات المثال.

2

حدد طريقة التفويض التي يجب استخدامها — على سبيل المثال، ربط LDAP بـ Active Directory.

3

قم بتحرير ملف handler.xml على النحو التالي:

إلغاء التعليق

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

التعليق

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

املأ تفاصيل Active Directory الخاص بك للسماح بالمصادقة. قم بتوفير التكوين لتسجيل الدخول.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

تكوين مكونات موفر خدمة Shibboleth لتأكيد SAML

1

أضف الملف الذي قمت بتنزيله من Webex SP إلى الدليل /opt/shibboleth-idp/بيانات التعريف.

2

تحرير dependent party.xml الملف؛ بعد علامة DefaultDependentParty، أضف تفاصيل تأكيد SAML لـ Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

بالنسبة للمعرف، يجب عليك استخدام قيمة EntityID من ملف بيانات تعريف Webex. استبدل معرف المثال بمعرف EntityID الخاص بمؤسستك.

3

داخل بيانات التعريف: علامة MetadataProvider ، أضف موقع الملف:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

تأتي بيانات تعريف SP من ملف في نظام ملفات Shibboleth، في الموقع الذي قمت بتحميل بيانات التعريف لمؤسسة Webex الخاصة بك.

تكوين سمات التأكيد

1

في قسم "موصل البيانات"، حدد المكان الذي تريد استرداد السمات الخاصة بالمستخدمين لديك.

Active Directory، مع معرف من MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

في قسم تعريف السمة، احتفظ بما هو موجود بالفعل في التكوين لـ transientID.

3

أضف السمة الإضافية التي يتوقعها SP، وحدد ما يربطها في مصدر السمة.

قم بتعيين عنوان السمة (سمة عنوان البريد الإلكتروني في Active Directory) إلى معرف المستخدم (UserID في Webex).

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

حدد السمة المراد تقديمها لكل اتفاقية SP في ملف attribute-filter.xml.

قم بتوفير سمة uid إلى Webex التي تربط عنوان البريد الإلكتروني للمستخدم.

حرر معرف رمز المستخدم الخاص بالسمة إلى اتفاقية SP مع Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

يجب أن يكون للقاعدة التي أنشأتها في attribute-resolver.xml سياسة لتحرير سمة البريد إلى EntityID التي تتطابق مع Webex.

5

قم بتنزيل ملف بيانات التعريف من خادم Shibboleth في /opt/shibboleth-idp/بيانات التعريف. اسم الملف هو idp-metadata.xml.

قم باستيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل دخول فردي بعد الاختبار

بعد تصدير البيانات الوصفية لـ Webex ، وتكوين IdP الخاص بك ، وتنزيل البيانات الوصفية لموفر الهوية إلى نظامك المحلي ، فأنت على استعداد لاستيرادها إلى Webex الخاصة بك من Control Hub.

قبل البدء

لا تختبر تكامل SSO من واجهة موفر الهوية (IdP). نحن ندعم فقط التدفقات التي يبدأها مقدم الخدمة (التي بدأها مقدم الخدمة) ، لذلك يجب عليك استخدام اختبار الدخول الموحد ( SSO ) لمركز التحكم لهذا التكامل.

1

اختر واحدة:

  • ارجع إلى Control Hub - صفحة تحديد الشهادة في المستعرض الخاص بك ، ثم انقر فوق التالي .
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المتصفح ، من عرض العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، ثم اختر الإجراءات > استيراد البيانات الوصفية .
2

في صفحة استيراد بيانات تعريف IdP ، إما أن تقوم بسحب ملف البيانات الوصفية لموفر الهوية وإسقاطه في الصفحة أو استخدام خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام ملف أكثر أمانًا الخيار ، إذا استطعت. هذا ممكن فقط إذا استخدم موفر الهوية الخاص بك مرجع مصدق عام لتوقيع البيانات الوصفية الخاصة به.

في جميع الحالات الأخرى ، يجب عليك استخدام الامتداد أقل أمانًا خيار. يتضمن ذلك ما إذا كانت البيانات الوصفية غير موقعة أو موقعة ذاتيًا أو موقعة بواسطة مرجع مصدق خاص.


 

لا يوقع Okta على البيانات الوصفية ، لذلك يجب أن تختار أقل أمانًا لتكامل Okta SSO .

3

حدد اختبار إعداد SSO ، وعند فتح علامة تبويب جديدة في المتصفح ، قم بالمصادقة باستخدام IdP عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ في المصادقة ، فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادةً ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول المُوحَّد ( SSO ). في هذه الحالة ، انتقل عبر الخطوات مرة أخرى ، لا سيما الخطوات التي تقوم فيها بنسخ البيانات الوصفية لـ Control Hub ولصقها في إعداد IdP.


 

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. تعمل هذه الخطوة على إيقاف الإيجابيات الخاطئة بسبب وجود رمز وصول قد يكون في جلسة حالية نتيجة تسجيل دخولك.

4

ارجع إلى علامة تبويب المستعرض Control Hub.

  • إذا كان الاختبار ناجحًا ، فحدد اختبار ناجح. قم بتشغيل SSO) وانقر التالي .
  • إذا لم ينجح الاختبار ، فحدد اختبار غير ناجح. قم بإيقاف تشغيل SSO) وانقر التالي .

 

لا يسري تكوين الدخول الموحّد ( SSO ) في مؤسستك إلا إذا اخترت زر خيار الاختيار الأول وتنشيط الدخول الموحّد ( SSO).

التصرف التالي

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Okta إلى سحابة Webex .

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Azure AD إلى سحابة Webex .

يمكنك اتباع الإجراء في قمع رسائل البريد الإلكتروني الآلية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضًا على أفضل الممارسات لإرسال الاتصالات إلى المستخدمين في مؤسستك.