تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة أو عملية مصادقة للمستخدم تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تصادق العملية المستخدمين لجميع التطبيقات التي تم منحهم حقوقًا لها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يتم استخدام بروتوكول لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة SSO بين سحابة Webex وموفر الهوية (IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف SSO لمستعرض الويب فقط. في ملف تعريف SSO لمستعرض الويب ، يدعم تطبيق Webex الارتباطات التالية:

  • قام SP بتهيئة POST -> ربط POST

  • قام SP ببدء REDIRECT -> ربط POST

تنسيق NameID

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل بشأن مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في البيانات الوصفية التي تقوم بتحميلها من IdP الخاص بك ، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الأحادي

يدعم تطبيق Webex ملف تعريف تسجيل الخروج الأحادي. في تطبيق Webex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الأحادي لـ SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر التعريف الخاص بك. تأكد من تكوين IdP الخاص بك من أجل SingleLogout.

دمج Control Hub مع SimpleSAML


 

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثَّقة. تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل دمج تسجيل الدخول الفردي، غير أنها خارج نطاق توثيقنا.

قم بإعداد هذا التكامل للمستخدمين في Webex الخاصة بك (بما في ذلك تطبيق Webex ، Webex Meetings، والخدمات الأخرى التي تتم إدارتها في Control Hub). إذا تم دمج موقع Webex الخاص بك في Control Hub ، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى Webex Meetings بهذه الطريقة ولم تتم إدارتها في Control Hub ، فيجب عليك إجراء تكامل منفصل لتمكين SSO Webex Meetings. (انظر قم بتكوين تسجيل الدخول الأحادي لـ Webex لمزيد من المعلومات حول تكامل SSO في إدارة الموقع.)

قبل البدء

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

قم بتنزيل بيانات Webex الوصفية على نظامك المحلي

1

من وجهة نظر العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، ثم قم بالتمرير إلى المصادقة ، ثم قم بالتبديل إلى ملف تسجيل دخول واحد الإعداد لبدء معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بهذا الاختيار. دعنا نوقع الشهادة حتى لا تحتاج إلا إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل سلطة تصديق عامة —أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم مورد موفِّر الهوية (IdP) الخاص بك كيانات الثقة).

 

نقاط ارتساء الثقة هي مفاتيح عامة تعمل كمرجع للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات ، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta-<org-ID> -SP.xml .

تحويل بيانات التعريف

1

افتح ملف بيانات تعريف Webex الذي تم تصديره في محرر نصوص.

2

في المستعرض الخاص بك، افتح الصفحة الرئيسية simpleSAML وقم بتسجيل الدخول باستخدام بيانات اعتماد المسؤول لديك.

يختلف موقع الصفحة الرئيسية ، ولكنه يشبه عادةً عنوان URL هذا المثال: https://yourcompany.yourdomain.com/simplesaml.

3

من الصفحة الرئيسية، انقر على الاتحاد.

4

تحت أدوات تنفيذ XML إلى بسيط SAML XML تحويل.

5

انسخ بيانات تعريف Webex من محرر النصوص الخاص بك، ثم لصقها في حقل تحويل XML.

6

انقر يُعرْب.

تظهر بيانات التعريف المحولة. ستضيف هذه البيانات إلى ملف SP النصي البعيد.

إنشاء ملف بيانات تعريف موفر الخدمة عن بُعد

والقصد من هذه الخطوات هو مثال على ذلك. يختلف دليل بيانات التعريف ومضيف IdP بناءً على إعداد العميل الخاص بك.

قبل البدء

كن على دراية بالسمات التي يجب عليك تمريرها وmapp وفقًا لذلك عن طريق تحرير ملف بيانات التعريف saml20-idp-hosted.php. (على سبيل المثال، رمز المستخدم، البريد، البريد الإلكتروني، وهلم جرا). راجع مثال بيانات التعريف: 

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

في تكوين SimpleSAML على المضيف، انتقل إلى دليل بيانات التعريف.

2

باستخدام محرر نصوص، قم بلصق البيانات المحللة في نهاية saml20-sp-remote.php وحفظ الملف.

3

ارجع إلى الصفحة الأولى لـ SimpleSAML، وانقر على Federation، ثم اعرض بيانات التعريف لموفر الهوية.

4

ألصق البيانات في ملف نصي جديد.

5

احفظ الملف الذي تم تحديثه على سطح المكتب لديك باسم ذي معنى مثل simplesaml-metadata.xml.

قم باستيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل دخول فردي بعد الاختبار

بعد تصدير البيانات الوصفية لـ Webex ، وتكوين IdP الخاص بك ، وتنزيل البيانات الوصفية لموفر الهوية إلى نظامك المحلي ، فأنت على استعداد لاستيرادها إلى Webex الخاصة بك من Control Hub.

قبل البدء

لا تختبر تكامل SSO من واجهة موفر الهوية (IdP). نحن ندعم فقط التدفقات التي يبدأها مقدم الخدمة (التي بدأها مقدم الخدمة) ، لذلك يجب عليك استخدام اختبار الدخول الموحد ( SSO ) لمركز التحكم لهذا التكامل.

1

اختر واحدة:

  • ارجع إلى Control Hub - صفحة تحديد الشهادة في المستعرض الخاص بك ، ثم انقر فوق التالي .
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المتصفح ، من عرض العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، ثم اختر الإجراءات > استيراد البيانات الوصفية .
2

في صفحة استيراد بيانات تعريف IdP ، إما أن تقوم بسحب ملف البيانات الوصفية لموفر الهوية وإسقاطه في الصفحة أو استخدام خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام ملف أكثر أمانًا الخيار ، إذا استطعت. هذا ممكن فقط إذا استخدم موفر الهوية الخاص بك مرجع مصدق عام لتوقيع البيانات الوصفية الخاصة به.

في جميع الحالات الأخرى ، يجب عليك استخدام الامتداد أقل أمانًا خيار. يتضمن ذلك ما إذا كانت البيانات الوصفية غير موقعة أو موقعة ذاتيًا أو موقعة بواسطة مرجع مصدق خاص.


 

لا يوقع Okta على البيانات الوصفية ، لذلك يجب أن تختار أقل أمانًا لتكامل Okta SSO .

3

حدد اختبار إعداد SSO ، وعند فتح علامة تبويب جديدة في المتصفح ، قم بالمصادقة باستخدام IdP عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ في المصادقة ، فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادةً ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول المُوحَّد ( SSO ). في هذه الحالة ، انتقل عبر الخطوات مرة أخرى ، لا سيما الخطوات التي تقوم فيها بنسخ البيانات الوصفية لـ Control Hub ولصقها في إعداد IdP.


 

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. تعمل هذه الخطوة على إيقاف الإيجابيات الخاطئة بسبب وجود رمز وصول قد يكون في جلسة حالية نتيجة تسجيل دخولك.

4

ارجع إلى علامة تبويب المستعرض Control Hub.

  • إذا كان الاختبار ناجحًا ، فحدد اختبار ناجح. قم بتشغيل SSO) وانقر التالي .
  • إذا لم ينجح الاختبار ، فحدد اختبار غير ناجح. قم بإيقاف تشغيل SSO) وانقر التالي .

 

لا يسري تكوين الدخول الموحّد ( SSO ) في مؤسستك إلا إذا اخترت زر خيار الاختيار الأول وتنشيط الدخول الموحّد ( SSO).

التصرف التالي

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Okta إلى سحابة Webex .

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Azure AD إلى سحابة Webex .

يمكنك اتباع الإجراء في قمع رسائل البريد الإلكتروني الآلية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضًا على أفضل الممارسات لإرسال الاتصالات إلى المستخدمين في مؤسستك.