تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة أو عملية مصادقة للمستخدم تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تصادق العملية المستخدمين لجميع التطبيقات التي تم منحهم حقوقًا لها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يتم استخدام بروتوكول لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة SSO بين سحابة Webex وموفر الهوية (IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف SSO لمستعرض الويب فقط. في ملف تعريف SSO لمستعرض الويب ، يدعم تطبيق Webex الارتباطات التالية:

  • قام SP بتهيئة POST -> ربط POST

  • قام SP ببدء REDIRECT -> ربط POST

تنسيق NameID

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل بشأن مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في البيانات الوصفية التي تقوم بتحميلها من IdP الخاص بك ، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الأحادي

يدعم تطبيق Webex ملف تعريف تسجيل الخروج الأحادي. في تطبيق Webex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الأحادي لـ SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر التعريف الخاص بك. تأكد من تكوين IdP الخاص بك من أجل SingleLogout.

دمج Control Hub مع F5 Big-IP


 

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثَّقة. تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل دمج تسجيل الدخول الفردي، غير أنها خارج نطاق توثيقنا.

قم بإعداد هذا التكامل للمستخدمين في Webex الخاصة بك (بما في ذلك تطبيق Webex ، Webex Meetings، والخدمات الأخرى التي تتم إدارتها في Control Hub). إذا تم دمج موقع Webex الخاص بك في Control Hub ، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى Webex Meetings بهذه الطريقة ولم تتم إدارتها في Control Hub ، فيجب عليك إجراء تكامل منفصل لتمكين SSO Webex Meetings. (انظر قم بتكوين تسجيل الدخول الأحادي لـ Webex لمزيد من المعلومات حول تكامل SSO في إدارة الموقع.)

قبل البدء

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

قم بتنزيل بيانات Webex الوصفية على نظامك المحلي

1

من وجهة نظر العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، ثم قم بالتمرير إلى المصادقة ، ثم قم بالتبديل إلى ملف تسجيل دخول واحد الإعداد لبدء معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بهذا الاختيار. دعنا نوقع الشهادة حتى لا تحتاج إلا إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل سلطة تصديق عامة —أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم مورد موفِّر الهوية (IdP) الخاص بك كيانات الثقة).

 

نقاط ارتساء الثقة هي مفاتيح عامة تعمل كمرجع للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات ، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta-<org-ID> -SP.xml .

تكوين موفر الخدمة الخارجي وموفر الهوية

1

من واجهة إدارة BIG-IP F5 الخاصة بك، انتقل إلى سياسة الوصول > SAML > BIG-IP كموفر.

2

من موصلات SP الخارجية، حدد إنشاء > من بيانات التعريف.

3

أدخل اسمًا هامًا لاسم موفر الخدمة، مثل <yourorganizationname>.ciscowebex.com.

4

ضمن إعدادات الأمان، حدد خانات الاختيار التالية:

  • يجب توقيع الرد
  • يجب توقيع التأكيد
5

العودة إلى سياسة الوصول > SAML > BIG-IP كموفر، ثم قم بإنشاء خدمة موفر هوية (IdP) جديدة.

6

أدخل اسمًا هامًا لاسم خدمة IdP، مثل CI.

7

بالنسبة لمعرف كيان IdP، استخدم FQDN لخادم IP الكبير مع شيء ما في المقدمة - على سبيل المثال، https://bigip0a.uc8sevtlab13.com/CI.

8

ضمن إعدادات التأكيد، حدد المعرّف العابر لنوع موضوع التأكيد.

9

بالنسبة لقيمة موضوع التأكيد، أعد قيمة البريد الإلكتروني للمستخدم %{session.ad.last.attr.mail}.

10

أرجع البريد والسمات معرف المستخدم بقيمة %{session.ad.last.attr.mail}.

11

ضمن إعدادات الأمان، اختر شهادة لتوقيع التأكيد.

12

احفظ التغييرات الخاصة بك، ثم قم بربط موفر الخدمة وموفر الهوية الذي قمت بإنشائه.

تنزيل بيانات تعريف F5 Big-IP

1

حدد تصدير خدمة IDP.

2

تأكد من أن قيمة بيانات تعريف الإشارة هي نعم.

3

قم بتنزيل ملف بيانات التعريف على سطح المكتب أو موقع يسهل عليك العثور عليه.

إضافة سياسة وصول

1

انتقل إلى سياسة الوصول > ملفات تعريف الوصول > SAML وقم بإنشاء مورد SAML لموفر التعريف الذي قمت بإنشائه.

2

انتقل إلى ملف تعريف الوصول الخاص بك وقم بتحرير سياسة الوصول التي تستخدمها لـ WebEx Messenger CAS.

3

أضف عنصرًا جديدًا في علامة تبويب تسجيل الدخول باستخدام اسم صفحة تسجيل الدخول واترك القيم الافتراضية.

4

أضف عنصرًا جديدًا في علامة تبويب المصادقة باستخدام اسم مصادقة AD وحدد Active Directory الخاص بك كخادم.

5

في الفرع الناجح، أضف استعلام AD من علامة تبويب المصادقة

6

انتقل إلى قواعد الفرع وقم بتغييره إلى تم تمرير استعلام AD.

7

في الفرع الناجح لاستعلام AD، أضف تعيين الموارد المتقدمة من علامة تبويب التعيين.

8

انقر على Add/Delete وقم بإضافة اثنين من SAML باستخدام جميع موارد SAML وWebtop التي قمت بإنشائها.

9

بالنسبة إلى تحديد النهاية، حدد السماح.

يجب أن تبدو سياسة الوصول مثل لقطة الشاشة هذه:

إقران ملف تعريف الوصول بالخادم الظاهري

يجب عليك إقران ملف تعريف الوصول بالخادم الظاهري الذي أنشأته.

1

الانتقال إلى حركة المرور المحلية > الخوادم الظاهرية.

2

افتح ملفات تعريف الوصول للتأكد من عدم ارتباط أي خادم ظاهري بملف التعريف.

3

حدد تعيين الموارد المتقدمة.

4

حدد إضافة/حذف لإضافة مورد SAML الجديد.

5

أغلق نوافذ تصميم سياسة الوصول وقم بتطبيق سياسة الوصول الجديدة.

قم باستيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل دخول فردي بعد الاختبار

بعد تصدير البيانات الوصفية لـ Webex ، وتكوين IdP الخاص بك ، وتنزيل البيانات الوصفية لموفر الهوية إلى نظامك المحلي ، فأنت على استعداد لاستيرادها إلى Webex الخاصة بك من Control Hub.

قبل البدء

لا تختبر تكامل SSO من واجهة موفر الهوية (IdP). نحن ندعم فقط التدفقات التي يبدأها مقدم الخدمة (التي بدأها مقدم الخدمة) ، لذلك يجب عليك استخدام اختبار الدخول الموحد ( SSO ) لمركز التحكم لهذا التكامل.

1

اختر واحدة:

  • ارجع إلى Control Hub - صفحة تحديد الشهادة في المستعرض الخاص بك ، ثم انقر فوق التالي .
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المتصفح ، من عرض العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، ثم اختر الإجراءات > استيراد البيانات الوصفية .
2

في صفحة استيراد بيانات تعريف IdP ، إما أن تقوم بسحب ملف البيانات الوصفية لموفر الهوية وإسقاطه في الصفحة أو استخدام خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام ملف أكثر أمانًا الخيار ، إذا استطعت. هذا ممكن فقط إذا استخدم موفر الهوية الخاص بك مرجع مصدق عام لتوقيع البيانات الوصفية الخاصة به.

في جميع الحالات الأخرى ، يجب عليك استخدام الامتداد أقل أمانًا خيار. يتضمن ذلك ما إذا كانت البيانات الوصفية غير موقعة أو موقعة ذاتيًا أو موقعة بواسطة مرجع مصدق خاص.


 

لا يوقع Okta على البيانات الوصفية ، لذلك يجب أن تختار أقل أمانًا لتكامل Okta SSO .

3

حدد اختبار إعداد SSO ، وعند فتح علامة تبويب جديدة في المتصفح ، قم بالمصادقة باستخدام IdP عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ في المصادقة ، فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادةً ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول المُوحَّد ( SSO ). في هذه الحالة ، انتقل عبر الخطوات مرة أخرى ، لا سيما الخطوات التي تقوم فيها بنسخ البيانات الوصفية لـ Control Hub ولصقها في إعداد IdP.


 

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. تعمل هذه الخطوة على إيقاف الإيجابيات الخاطئة بسبب وجود رمز وصول قد يكون في جلسة حالية نتيجة تسجيل دخولك.

4

ارجع إلى علامة تبويب المستعرض Control Hub.

  • إذا كان الاختبار ناجحًا ، فحدد اختبار ناجح. قم بتشغيل SSO) وانقر التالي .
  • إذا لم ينجح الاختبار ، فحدد اختبار غير ناجح. قم بإيقاف تشغيل SSO) وانقر التالي .

 

لا يسري تكوين الدخول الموحّد ( SSO ) في مؤسستك إلا إذا اخترت زر خيار الاختيار الأول وتنشيط الدخول الموحّد ( SSO).

التصرف التالي

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Okta إلى سحابة Webex .

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Azure AD إلى سحابة Webex .

يمكنك اتباع الإجراء في قمع رسائل البريد الإلكتروني الآلية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضًا على أفضل الممارسات لإرسال الاتصالات إلى المستخدمين في مؤسستك.