يمكنك تكوين تكامل الدخول الموحد (SSO) بين مركز التحكم والنشر الذي يستخدم Shibboleth كموفر هوية (IdP).
تسجيل الدخول الأحادي ومركز التحكم
تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.
يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).
ملفات التعريف
يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:
SP بدأت آخر -> آخر ملزمة
SP بدأت إعادة توجيه -> بعد الربط
تنسيق معرف الاسم
يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.
تسجيل الخروج الفردي
يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.
دمج محور التحكم مع Shibboleth
تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا. |
قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex. (انظر تكوين تسجيل الدخول الأحادي ل Webex للحصول على مزيد من المعلومات في تكامل الدخول الموحد (SSO) في إدارة الموقع.)
تشير خطوات التكامل إلى Shibboleth 2.4.5 في CentOS 7 مع Tomcat 7 كخادم ويب.
قبل البدء
بالنسبة إلى الدخول الموحد (SSO) ومركز التحكم، يجب أن يتوافق موفر الهوية مع مواصفات SAML 2.0. بالإضافة إلى ذلك، يجب تكوين معرفات الهوية بالطريقة التالية:
قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي
1 | من طريقة عرض العميل في https://admin.webex.com، انتقل إلى إعدادات الإدارة إعداد تسجيل الدخول الموحد لبدء تشغيل معالج الإعداد. |
||
2 | اختر نوع الشهادة لمؤسستك:
|
||
3 | قم بتنزيل ملف البيانات الوصفية. اسم ملف بيانات تعريف Webex هو idb-meta--<org-ID>SP.xml. |
تكوين التخويل في ملفات Shibboleth
بعد تثبيت Shibboleth، يتم تزويدك بملفات التكوين مع أمثلة.
1 | انتقل إلى الدليل /opt/shibboleth-idp/conf للوصول إلى ملفات الأمثلة. |
2 | حدد طريقة التخويل التي تريد استخدامها، على سبيل المثال، ربط LDAP ب Active Directory. |
3 | تحرير المعالج.xml الملف كما يلي: إلغاء التعليق
التعليق
|
4 | املأ تفاصيل Active Directory للسماح بالمصادقة. قم بتوفير التكوين للملف login.config. مثال:
|
تكوين مكونات موفر خدمة Shibboleth لتأكيد SAML
1 | أضف الملف الذي قمت بتنزيله من Webex SP إلى الدليل /opt/shibboleth-idp/metadata. |
2 | عدل ملف .xml الطرف المعتمد؛ بعد علامة DefaultRelyingParty، أضف تفاصيل تأكيد SAML ل Webex.
بالنسبة للمعرف، يجب عليك استخدام قيمة EntityID من ملف بيانات تعريف Webex . استبدل معرف المثال بمعرف الكيان الخاص بمؤسستك. |
3 | داخل علامة MetadataProvider داخل علامة MetadataProvider، أضف موقع الملف:
تأتي البيانات الوصفية ل SP من ملف في نظام ملفات Shibboleth، في الموقع الذي قمت بتحميل البيانات الوصفية فيه لمؤسسة Webex الخاصة بك . |
تكوين سمات التأكيد
1 | في القسم موصل البيانات، حدد مكان استرداد السمات المتعلقة بالمستخدمين. مثال:Active Directory ، مع معرف MyLDAP.
|
2 | في قسم تعريف السمة، احتفظ بما هو موجود بالفعل في تكوين TransientID. |
3 | أضف السمة الإضافية التي يتوقعها SP، وحدد ما يعينه في مصدر السمة. مثال:
|
4 | حدد السمة التي تريد توفيرها لكل اتفاقية SP في ملف .xml عامل تصفية السمات. قم بتوفير سمة uid إلى Webex التي يتم تعيينها إلى عنوان البريد الإلكتروني للمستخدم. مثال:حرر معرف السمة إلى اتفاقية SP مع Webex.
يجب أن تحتوي القاعدة التي أنشأتها في محلل السمات.xml على نهج لتحرير سمة mail-attr إلى EntityID التي تطابق Webex. |
5 | قم بتنزيل ملف البيانات الوصفية من خادم Shibboleth في /opt/shibboleth-idp/metadata. اسم الملف هو IDP-metadata.xml. |
استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار
بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.
قبل البدء
لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.
1 | اختر واحدا:
|
||||
2 | في صفحة استيراد البيانات الوصفية لموفر الهوية، اسحب ملف البيانات الوصفية لموفر الهوية وأفلته في الصفحة أو استخدم خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي. يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية. في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص. |
||||
3 | حدد اختبار إعداد الدخول الموحد (SSO )، وعند فتح علامة تبويب متصفح جديدة، يمكنك المصادقة باستخدام موفر الهوية عن طريق تسجيل الدخول.
|
||||
4 | ارجع إلى علامة التبويب مستعرض مركز التحكم.
|
التصرف التالي
يمكنك اتباع الإجراء الوارد في منع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي Webex App الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.