تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة أو عملية مصادقة للمستخدم تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تصادق العملية المستخدمين لجميع التطبيقات التي تم منحهم حقوقًا لها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يتم استخدام بروتوكول لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة SSO بين سحابة Webex وموفر الهوية (IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف SSO لمستعرض الويب فقط. في ملف تعريف SSO لمستعرض الويب ، يدعم تطبيق Webex الارتباطات التالية:

  • قام SP بتهيئة POST -> ربط POST

  • قام SP ببدء REDIRECT -> ربط POST

تنسيق NameID

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل بشأن مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في البيانات الوصفية التي تقوم بتحميلها من IdP الخاص بك ، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الأحادي

يدعم تطبيق Webex ملف تعريف تسجيل الخروج الأحادي. في تطبيق Webex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الأحادي لـ SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر التعريف الخاص بك. تأكد من تكوين IdP الخاص بك من أجل SingleLogout.

دمج Control Hub مع PingFederate


 

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثَّقة. تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل دمج تسجيل الدخول الفردي، غير أنها خارج نطاق توثيقنا.

قم بإعداد هذا التكامل للمستخدمين في Webex الخاصة بك (بما في ذلك تطبيق Webex ، Webex Meetings، والخدمات الأخرى التي تتم إدارتها في Control Hub). إذا تم دمج موقع Webex الخاص بك في Control Hub ، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى Webex Meetings بهذه الطريقة ولم تتم إدارتها في Control Hub ، فيجب عليك إجراء تكامل منفصل لتمكين SSO Webex Meetings. (انظر قم بتكوين تسجيل الدخول الأحادي لـ Webex لمزيد من المعلومات حول تكامل SSO في إدارة الموقع.)

قبل البدء

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

قم بتنزيل بيانات Webex الوصفية على نظامك المحلي

1

من وجهة نظر العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، ثم قم بالتمرير إلى المصادقة ، ثم قم بالتبديل إلى ملف تسجيل دخول واحد الإعداد لبدء معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بهذا الاختيار. دعنا نوقع الشهادة حتى لا تحتاج إلا إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل سلطة تصديق عامة —أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم مورد موفِّر الهوية (IdP) الخاص بك كيانات الثقة).

 

نقاط ارتساء الثقة هي مفاتيح عامة تعمل كمرجع للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات ، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta-<org-ID> -SP.xml .

تكوين اتصال موفر خدمة جديد

1

انتقل إلى بوابة إدارة PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

ضمن اتصالات SP، حدد إنشاء جديد.

3

حدد عدم استخدام قالب لزر راديو الاتصال هذا ، ثم حدد التالي.

4

حدد ملفات تعريف Browser SSO، ثم انقر على Next.

5

حدد علامة تبويب استيراد بيانات التعريف.

6

انقر على اختيار ملف لتصفح واستيراد ملف بيانات التعريف الذي قمت بتنزيله من Control Hub، ثم انقر على Next.

7

راجع المعلومات الواردة في علامة تبويب "معلومات عامة"، ثم انقر على "تم".

اضبط تسجيل الدخول الأحادي للمستعرض

1

من مدخل إدارة PingFederate، حدد تكوين Browser SSO.

2

حدد خانة اختيار تسجيل الدخول الفردي الذي بدأه SP، ثم انقر على Next.

3

حدد تكوين إنشاء التأكيد.

  1. قم بتغيير تنسيق NameID إلى Transient وحدد تضمين السمات بالإضافة إلى خانة اختيار معرف عابر.

  2. تمديد سمات العقد عن طريق إضافة سمات البريد و uid بالتنسيق urn:oasis:names:tc:SAML:2.0:attrname-format-basic ثم انقر على Next.

  3. حدد مثيل Map New Adapter لاختيار آلية مصادقة. من القائمة المنسدلة مثيل ADAPTER، حدد أحد آليات المصادقة التي تم تكوينها مسبقًا، ثم انقر على Next.

  4. حدد استرداد السمات الإضافية من مخازن بيانات متعددة باستخدام زر راديو واحد للتعيين، ثم انقر فوق التالي.

  5. حدد إضافة مصدر السمة لإضافة وحدة التحكم في مجال Active Directory للمجال، ثم انقر على Next.

  6. حدد DN الأساس وحدد فئة كائن الجذر <Show All="" Attributes="">. في مربع النص عامل التصفية، أدخل عامل تصفية LDAP، ثم انقر فوق Next.

    يجب أن يحتوي الإدخال على السمة التي تتوقع من المستخدم توفيرها. كما أنه يحتاج إلى احتواء القيمة التي يربطها في مصادر LDAP. على سبيل المثال، إذا تم تعيين الدليل النشط الخاص بك للتصفية على سمة تسجيل الدخول إلى Windows، فأدخل sAMAccountName=${Username}.

  7. حدد المصدر والقيمة لتعيين سمات التأكيد بالسمات التي يوفرها مركز بيانات AD. (لا تدخل أي شيء لمعايير الإصدار).

  8. تحقق من أن تكوين التأكيد قد تم تعيين تعيين هوية على Transient، عقد السمة تم تعيينه على معرف المستخدم، وتم تعيين مثيلات المحول على 1.


     

    يجب أن ترسم سمة uid إلى عنوان البريد الإلكتروني للمستخدم.

4

حدد تكوين إعدادات البروتوكول.

  1. بالنسبة لعمليات ربط SAML المسموح بها، حدد خانات الاختيار POST وRedirect فقط.

  2. بالنسبة لسياسة التوقيع، حدد التوقيع دائمًا على تأكيد SAML.

    يجب أن تبدو إعدادات البروتوكول كما يلي.

  3. حدد تكوين بيانات الاعتماد لتكوين الشهادة للتأكيد.

  4. حدد الشهادة التي تم إنشاؤها بالفعل لتأكيدات SAML.

5

في شاشة التنشيط والملخص، قم بتعيين حالة الاتصال على Active.

تصدير بيانات تعريف من PingFederate

1

في الشاشة الرئيسية، انقر على إدارة جميع SP.

2

ابحث عن الاتصال الذي قمت بإنشائه للتو وانقر على تصدير بيانات تعريف.

3

اختر الشهادة المراد استخدامها لتوقيع الملف الذي تم تصديره من القائمة المنسدلة.

4

انقر فوق تصدير .

قم باستيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل دخول فردي بعد الاختبار

بعد تصدير البيانات الوصفية لـ Webex ، وتكوين IdP الخاص بك ، وتنزيل البيانات الوصفية لموفر الهوية إلى نظامك المحلي ، فأنت على استعداد لاستيرادها إلى Webex الخاصة بك من Control Hub.

قبل البدء

لا تختبر تكامل SSO من واجهة موفر الهوية (IdP). نحن ندعم فقط التدفقات التي يبدأها مقدم الخدمة (التي بدأها مقدم الخدمة) ، لذلك يجب عليك استخدام اختبار الدخول الموحد ( SSO ) لمركز التحكم لهذا التكامل.

1

اختر واحدة:

  • ارجع إلى Control Hub - صفحة تحديد الشهادة في المستعرض الخاص بك ، ثم انقر فوق التالي .
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المتصفح ، من عرض العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، ثم اختر الإجراءات > استيراد البيانات الوصفية .
2

في صفحة استيراد بيانات تعريف IdP ، إما أن تقوم بسحب ملف البيانات الوصفية لموفر الهوية وإسقاطه في الصفحة أو استخدام خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام ملف أكثر أمانًا الخيار ، إذا استطعت. هذا ممكن فقط إذا استخدم موفر الهوية الخاص بك مرجع مصدق عام لتوقيع البيانات الوصفية الخاصة به.

في جميع الحالات الأخرى ، يجب عليك استخدام الامتداد أقل أمانًا خيار. يتضمن ذلك ما إذا كانت البيانات الوصفية غير موقعة أو موقعة ذاتيًا أو موقعة بواسطة مرجع مصدق خاص.


 

لا يوقع Okta على البيانات الوصفية ، لذلك يجب أن تختار أقل أمانًا لتكامل Okta SSO .

3

حدد اختبار إعداد SSO ، وعند فتح علامة تبويب جديدة في المتصفح ، قم بالمصادقة باستخدام IdP عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ في المصادقة ، فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادةً ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول المُوحَّد ( SSO ). في هذه الحالة ، انتقل عبر الخطوات مرة أخرى ، لا سيما الخطوات التي تقوم فيها بنسخ البيانات الوصفية لـ Control Hub ولصقها في إعداد IdP.


 

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. تعمل هذه الخطوة على إيقاف الإيجابيات الخاطئة بسبب وجود رمز وصول قد يكون في جلسة حالية نتيجة تسجيل دخولك.

4

ارجع إلى علامة تبويب المستعرض Control Hub.

  • إذا كان الاختبار ناجحًا ، فحدد اختبار ناجح. قم بتشغيل SSO) وانقر التالي .
  • إذا لم ينجح الاختبار ، فحدد اختبار غير ناجح. قم بإيقاف تشغيل SSO) وانقر التالي .

 

لا يسري تكوين الدخول الموحّد ( SSO ) في مؤسستك إلا إذا اخترت زر خيار الاختيار الأول وتنشيط الدخول الموحّد ( SSO).

التصرف التالي

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Okta إلى سحابة Webex .

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Azure AD إلى سحابة Webex .

يمكنك اتباع الإجراء في قمع رسائل البريد الإلكتروني الآلية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضًا على أفضل الممارسات لإرسال الاتصالات إلى المستخدمين في مؤسستك.