تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:

  • SP بدأت آخر -> آخر ملزمة

  • SP بدأت إعادة توجيه -> بعد الربط

تنسيق معرف الاسم

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الفردي

يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.

دمج مركز التحكم مع PingFederate

تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا.

قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex. (انظر تكوين تسجيل الدخول الأحادي ل Webex للحصول على مزيد من المعلومات في تكامل الدخول الموحد (SSO) في إدارة الموقع.)

قبل البدء

بالنسبة إلى الدخول الموحد (SSO) ومركز التحكم، يجب أن يتوافق موفر الهوية مع مواصفات SAML 2.0. بالإضافة إلى ذلك، يجب تكوين معرفات الهوية بالطريقة التالية:

قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي

1

من طريقة عرض العميل في https://admin.webex.com، انتقل إلى إعدادات الإدارة > المؤسسة، ثم قم بالتمرير إلى المصادقة، ثم قم بالتبديل إلى إعداد تسجيل الدخول الموحد لبدء تشغيل معالج الإعداد.
2

اختر نوع الشهادة لمؤسستك:

  • توقيع ذاتي من Cisco—نوصي بهذا الاختيار. دعنا نوقع على الشهادة بحيث تحتاج فقط إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل مرجعمصدق عام—أكثر أمانا ولكنك ستحتاج إلى تحديث بيانات التعريف بشكل متكرر (ما لم يكن مورد موفر الهوية يدعم نقاط الارتكاز الثقة).

 

مراسي الثقة هي مفاتيح عامة تعمل كسلطة للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات، راجع وثائق موفر الهوية.
3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta--<org-ID>SP.xml.

تكوين اتصال موفر خدمة جديد

1

انتقل إلى بوابة إدارة PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

ضمن اتصالاتSP، حدد إنشاء جديد.
3

حدد زر الاختيار عدم استخدام قالب لهذا الاتصال ، ثم حدد التالي.
4

حدد ملفات تعريف الدخول الموحد (SSO) للمتصفح، ثم انقر على التالي.
5

حدد علامة التبويب استيراد بيانات التعريف.
6

انقر فوق اختيار ملف للاستعراض وصولا إلى ملف بيانات التعريف الذي قمت بتنزيله من مركز التحكم واستيراده، ثم انقر فوق التالي.
7

راجع المعلومات الموجودة في علامة التبويب معلومات عامة، ثم انقر فوق تم.

تكوين تسجيل الدخول الأحادي للمتصفح

1

من مدخل إدارة PingFederate، حدد تكوين الدخول الموحد (SSO) للمستعرض.
2

حدد خانة الاختيار الدخول الموحد (SSO ) الذي بدأته SP، ثم انقر على التالي.
3

حدد تكوين إنشاء تأكيد.

  1. قم بتغيير تنسيق NameID إلى عابر وحدد خانة الاختيار تضمين السمات بالإضافة إلى المعرف العابر.

  2. قم بتوسيع سمات العقد عن طريق إضافة سمات البريد و uid بالتنسيق urn:oasis:names:tc:SAML:2.0:attrname-format-basic، ثم انقر على التالي.

  3. حدد تعيين مثيل محول جديد لاختيار آلية مصادقة. من القائمة المنسدلة مثيل المحول ، حدد إحدى آليات المصادقة التي تم تكوينها مسبقا، ثم انقر على التالي.

  4. حدد استرداد سمات إضافية من مخازن بيانات متعددة باستخدام زر اختيار تعيين واحد، ثم انقر على التالي.

  5. حدد إضافة مصدر سمة لإضافة وحدة تحكم مجال Active Directory للمجال، ثم انقر فوق التالي.

  6. حدد DN الأساسي وحدد فئة <Show All="" Attributes="">كائن الجذر . في مربع النص تصفية، أدخل فلتر LDAP، ثم انقر على التالي.

    يجب أن يحتوي الإدخال على السمة التي تتوقع من المستخدم توفيرها. كما يجب أن يحتوي على القيمة التي يعين لها في مصادر LDAP. على سبيل المثال، إذا تم تعيين الدليل النشط الخاص بك للتصفية على سمة تسجيل الدخول إلى Windows، فأدخل sAMAccountName=${Username}.

  7. حدد المصدر والقيمة لتعيين سمات التأكيد باستخدام السمات التي يوفرها مخزن بيانات AD. (لا تقم بإدخال أي شيء لمعايير الإصدار.)

  8. تحقق من أن تكوين التأكيد يحتوي على تعيين تعيين الهوية إلى عابروتعيين عقد السمة إلى uidومثيلات المحول إلى 1.


     

    يجب تعيين سمة uid إلى عنوان البريد الإلكتروني للمستخدم.
4

حدد تكوين إعدادات البروتوكول.

  1. بالنسبة إلى روابط SAML المسموح بها، حدد خانتي الاختيار POST و Redirect فقط .

  2. بالنسبة إلى سياسة التوقيع، اختر التوقيع دائما على تأكيدSAML.

    يجب أن تبدو إعدادات البروتوكول كما يلي.

  3. حدد تكوين بيانات الاعتماد لتكوين الشهادة للتأكيد.

  4. حدد الشهادة التي تم إنشاؤها بالفعل لتأكيدات SAML.
5

في شاشة التنشيط والملخص، قم بتعيين حالة الاتصال إلى نشط.

تصدير البيانات الوصفية من PingFederate

1

على الشاشة الرئيسية، انقر فوق إدارة كافة SP.
2

ابحث عن الاتصال الذي أنشأته للتو وانقر فوق تصدير البيانات الوصفية.
3

اختر الشهادة التي تريد استخدامها لتوقيع الملف المصدر من القائمة المنسدلة.
4

انقر على تصدير.

استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار

بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.

قبل البدء

لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.

1

اختر واحدا:

  • ارجع إلى صفحة مركز التحكم - تحديد الشهادة في المستعرض، ثم انقر فوق التالي.
  • إذا لم يعد مركز التحكم مفتوحا في علامة تبويب المستعرض، فمن طريقة عرض العميل فيhttps://admin.webex.com ، انتقل إلى إعدادات الإدارة > المؤسسة، وقم بالتمرير إلى المصادقة، ثم اختر الإجراءات > استيراد بياناتالتعريف.
2

في صفحة استيراد البيانات الوصفية لموفر الهوية، اسحب ملف البيانات الوصفية لموفر الهوية وأفلته في الصفحة أو استخدم خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية.

في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص.
3

حدد اختبار إعداد الدخول الموحد (SSO )، وعند فتح علامة تبويب متصفح جديدة، يمكنك المصادقة باستخدام موفر الهوية عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ مصادقة فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادة ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول الموحد (SSO). في هذه الحالة، يمكنك السير عبر الخطوات مرة أخرى، وخاصة الخطوات التي تقوم فيها بنسخ بيانات تعريف مركز التحكم ولصقها في إعداد موفر الهوية.

 

للاطلاع على تجربة تسجيل الدخول الموحد (SSO) مباشرة، يمكنك أيضا النقر على نسخ عنوان URL إلى الحافظة من هذه الشاشة ولصقه في نافذة متصفح خاصة. من هناك، يمكنك الاطلاع على تسجيل الدخول باستخدام الدخول الموحد (SSO). توقف هذه الخطوة الإيجابيات الخاطئة بسبب رمز وصول مميز قد يكون في جلسة عمل موجودة من تسجيل الدخول.
4

ارجع إلى علامة التبويب مستعرض مركز التحكم.

  • إذا كان الاختبار ناجحا، فحدد اختبار ناجح. فعل الدخول الموحد (SSO) وانقر على التالي.
  • إذا لم ينجح الاختبار، فحدد اختبار غير ناجح. أوقف الدخول الموحد (SSO ) وانقر على التالي.

 

لا يسري تهيئة الدخول الموحد (SSO) في مؤسستك إلا إذا اخترت زر الاختيار الأول وقمت بتنشيط الدخول الموحد (SSO).

التصرف التالي

يمكنك اتباع الإجراء الوارد في منع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي Webex App الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.