Единичен контролен център за влизане и Webex

Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.

Протоколът за коректура за установяване на сигурността (SAML 2.0) Се използва за предоставяне на SSO удостоверяване между облака Cisco Webex и вашия доставчик на самоличност (IdP).

Профили

Cisco Webex Teams поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Cisco Webex Teams поддържа следните свързвания:

  • SP инициира POST -> POST свързване

  • SP инициира ПРЕНАСОЧВАНЕ -> POST свързване

Формат на NameID

Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Cisco Webex Teams поддържа следните формати nameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Cisco Webex.

Единично излизане

Cisco Webex Teams поддържа единния профил за излизане. В приложението Cisco Webex Teams потребителят може да излезе от приложението, което използва протокола saml единично излизане, за да прекрати сесията и да потвърди този изход с вашия IdP. Гарантирайте, че вашият IdP е конфигуриран за SingleLogout.

Интегрирайте F5 Big IP с контролен център Cisco Webex за еднократна идентификация


Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребителите във вашата организация Cisco Webex (включително Cisco Webex Teams, Cisco Webex Meetingsи други услуги, администрирани в Cisco Webex Control Hub). Ако вашият Webex сайт е интегриран в Cisco Webex Control Hub, webex сайтът наследява управлението на потребителите. Ако нямате достъп до Срещите на Cisco Webex по този начин и той не се управлява в Cisco Webex Control Hub, трябва да направите отделна интеграция, за да разрешите SSO за Cisco Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в интегрирането на SSO в администрирането на сайта.)

Преди да започнете

За SSO и Cisco Webex контролен хъб, IDPs трябва да съответстват на спецификацията SAML 2.0. Освен това IDPs трябва да бъдат конфигурирани по следния начин:

Изтеглете метаданните на Cisco Webex във вашата локална система

1

От изгледа на клиента в , отидете на https://admin.webex.comНастройки , след коетопревъртете до Удостоверяване.

2

Щракнете върху Промяна , щракнете върху Интегриране на доставчик на самоличност от 3-та страна. (Разширени)и след това щракнете върху Напред.

3

Изтеглете файла с метаданни.

Метаданните на Cisco Webex filename са idb-meta-<org-ID>-SP.xml.

Конфигуриране на външния доставчик на услуги и доставчика на самоличност

1

От вашия интерфейс за администриране на BIG-IP F5 отидете на Правила за достъп > SAML > BIG-IP като IdP.

2

От Външни SP конекториизберете Създаване на > от метаданни.

3

Въведете смислено име за името на доставчика на услуги, като <yourorganizationname>например .ciscowebex.com.

4

Под Настройки за защитапроверете следните квадратчета:

  • Отговор трябва да бъде подписан
  • Трябва да се подпише твърдение
5

Връщане към правилата за достъп > SAML > BIG-IP като IdP и след това създайте нова услуга на доставчика насамоличност (IdP).

6

Въведете смислено име за името на IdP услугата, например CI.

7

За ИД на IDP обект използвайте FQDN на Big-IP сървъра с нещо https://bigip0a.uc8sevtlab13.com/CIотпред—например.

8

Под Настройки на assertionизберете Преходен идентификатор за тип тема на assertion.

9

За Стойност на темата на assertionвърнете стойността на имейла на потребителя %{session.ad.last.attr.mail}.

10

Върнете пощата и uid на атрибутите със стойността %{session.ad.last.attr.mail}.

11

Под Настройки за защитаизберете сертификат за подписване на твърдението.

12

Запишете промените си и след това обвържете доставчика на услуги и доставчика на самоличност, които сте създали.

Изтеглете Метаданните на F5 Big-IP

1

Изберете Експортиране на IDP услуга.

2

Гарантирайте, че стойността на метаданните на знака е Да.

3

Изтеглете файла с метаданни на вашия работен плот или местоположение, което ви е лесно да намерите.

Добавяне на правила за достъп

1

Отидете на Правила за достъп > профили за достъп > SAML и създайте SAML ресурс за IdP, който сте създали.

2

Отидете на вашия Профил за достъп и редактирайте правилата за достъп, които използвате за WebEx Messenger CAS.

3

Добавете нов елемент в раздела Влизане с името Страница за влизане и оставете стойностите по подразбиране.

4

Добавете нов елемент в раздела Удостоверяване с името AD Auth и задайте вашата Active Directory като сървър.

5

В успешния клон добавете AD Query от раздела удостоверяване

6

Отидете на Клон правила и го промени adQuery е преминат.

7

В успешния клон на AD Query добавете Разширено присвояване на ресурси от раздела Присвояване.

8

Щракнете върху Добавяне/изтриване и добавяне на два ресурса SAML с всички SAML ресурси и Webtop, който сте създали.

9

За Избор на крайизберете Разреши .

Правилата за достъп трябва да изглеждат като тази екранна снимка:

Свързване на профила за достъп с виртуалния сървър

Трябва да свържете профила за достъп с виртуалния сървър, който сте създали.

1

Отидете на локален трафик > виртуални сървъри .

2

Отворете Профили за достъп, за да потвърдите, че към профила не е свързан виртуален сървър.

3

Изберете Разширено присвояване на ресурси.

4

Изберете Добавяне/изтриване, за да добавите новия SAML ресурс.

5

Затворете прозорците за проектиране на правилата за достъп и прилагайте новите правила за достъп.

Импортиране на метаданните на IDP и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Cisco Webex, конфигурирате вашия IdP и изтеглите метаданните на IdP във вашата локална система, сте готови да го импортирате във вашата cisco Webex организация от Control Hub.

Преди да започнете

Не тествайте SSO интеграция от интерфейса на доставчика на самоличност (IdP). Ние поддържаме само потоци, инициирани от Доставчик на услуги (инициирани от SP), така че трябва да използвате sSO теста на контролния център за тази интеграция.

1

Изберете един:

  • Върнете се в страницата Cisco Webex Контролен център – Метаданни на директорията за експортиране във вашия браузър и след това щракнете върху напред.
  • Ако Control Hub вече не е отворен в раздела на браузъра, от изгледа на клиента в , отидете на Настройки , превъртете до Удостоверяване , изберете Интегриране на доставчик на самоличност на трета страна https://admin.webex.com(Advanced), след което щракнете върху Напред на страница с надеждни метаданни файл (защото вече сте го направили преди).
2

На страницата Импортиране на IdP метаданни или плъзнете и пуснете файла с метаданни на IdP на страницата или използвайте опцията за браузър на файлове, за да локализирате и качите файла с метаданни. Щракнете върху Напред.

Ако метаданните не са подписани, подписано е със самоподписан сертификат или е подписано с частен орган за корпоративни сертификати (CA), препоръчваме ви да използвате изисква сертификат, подписан от сертификатен орган в Метаданни (по-сигурен). Ако сертификатът е самоподписан, трябва да изберете по-малко сигурната опция.

3

Изберете Тест sSO връзка и когато се отвори нов раздел набраузъра, удостоверете с IdP, като влезете.


 

Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex Teams обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP.

4

Върнете се в раздела браузър на контролния център.

  • Ако тестът е бил успешен, изберете Този тест е бил успешен. Активирайте опцията еднократна идентификация и щракнете върху Напред.
  • Ако тестът е бил неуспешен, изберете Този тест е бил неуспешен. Деактивирайте опцията еднократна идентификация и щракнете върху Напред .

Какво да направите след това

Можете да следвате процедурата в Потискане на автоматизирани имейли, за да забраните имейли, които се изпращат на нови потребители на Webex Teams във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.