- Начало
- /
- Статия
Конфигуриране на еднократна идентификация в контролния център с F5 Big-IP
Можете да конфигурирате интеграция с еднократна идентификация (SSO) между контролния център и разполагане, което използва F5 Big-IP като доставчик на самоличност (IdP).
Единичен център за влизане и управление
Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.
Протоколът за маркиране на защитата assertion (SAML 2.0) Федерация протокол се използва за предоставяне на SSO удостоверяване между Облака на Webex и вашия доставчик на самоличност (IdP).
Профили
Webex App поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Webex App поддържа следните свързвания:
-
SP инициира POST -> POST свързване
-
SP инициира ПРЕНАСОЧВАНЕ -> POST свързване
Формат nameID
Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Webex App поддържа следните формати NameID.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
-
urn:oasis:names:tc:SAML:1.1:nameid-format:неопределен
-
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Webex.
Единично излизане
Webex App поддържа единния профил за излизане. В Webex Appпотребителят може да излезе от приложението, което използва протокола SAML за единично излизане, за да прекрати сесията и да потвърди този изход с вашия IdP. Гарантирайте, че вашият IdP е конфигуриран за SingleLogout.
Интегриране на центъра за управление с F5 Big-IP
Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient
са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
ще работи за интегриране на SSO, но са извън обхвата на нашата документация.
Настройте тази интеграция за потребители във вашата уебекс организация (включително Webex App, Webex Срещии други услуги, администрирани в контролния център). Ако вашият Webex сайт е интегриран в контролния център, Webex сайтът наследява управлението на потребителя. Ако нямате достъп до Webex Срещи по този начин и той не се управлява в контролния център, трябва да направите отделна интеграция, за да разрешите SSO за Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в интегрирането на SSO в администрирането на сайта.)
Преди да започнете
За SSO и Control Hub, IdP трябва да отговарят на спецификацията SAML 2.0. В допълнение, IdP трябва да бъдат конфигурирани по следния начин:
Изтеглете метаданните на Webex във вашата локална система
1 |
От изгледа на клиента в https://admin.webex.com, отидете след това превъртете до удостоверяванеи след това превключвайте на настройката за еднократна идентификация , за да стартирате съветника за настройка. |
2 |
Изберете типа сертификат за вашата организация:
Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация. |
3 |
Изтеглете файла с метаданни. Името на файла с метаданни на Webex е idb-meta--SP.xml. |
Конфигуриране на външния доставчик на услуги и доставчик на самоличност
1 |
От вашия интерфейс за администриране на BIG-IP F5 отидете на . |
2 |
От Външни SP конектори изберете . |
3 |
Въведете смислено име за името на доставчика на услуги, като например .ciscowebex.com. |
4 |
Под Настройки за защитапроверете следните квадратчета:
|
5 |
Върнете се към и след това създайте нова услуга на доставчик на самоличност (IdP). |
6 |
Въведете смислено име за името на IdP услугата, например CI. |
7 |
За ИД на IDP обект използвайте FQDN на Big-IP сървъра с нещо https://bigip0a.uc8sevtlab13.com/CIотпред—например. |
8 |
Под Настройки на assertionизберете Преходен идентификатор за тип тема на assertion. |
9 |
За Стойност на темата на assertionвърнете стойността на имейла на потребителя %{session.ad.last.attr.mail}. |
10 |
Върнете пощата и uid на атрибутите със стойността %{session.ad.last.attr.mail}. |
11 |
Под Настройки за защитаизберете сертификат за подписване на твърдението. |
12 |
Запишете промените си и след това обвържете доставчика на услуги и доставчика на самоличност, които сте създали. |
Изтеглете метаданните на F5 Big-IP
1 |
Изберете Експортиране на IDP услуга. |
2 |
Гарантирайте, че стойността на метаданните на знака е Да. |
3 |
Изтеглете файла с метаданни на вашия работен плот или местоположение, което ви е лесно да намерите. |
Добавяне на правила за достъп
1 |
Отидете на Правила за достъп > профили за достъп > SAML и създайте SAML ресурс за IdP, който сте създали. |
2 |
Отидете на вашия Профил за достъп и редактирайте правилата за достъп, които използвате за WebEx Messenger CAS. |
3 |
Добавете нов елемент в раздела Влизане с името Страница за влизане и оставете стойностите по подразбиране. |
4 |
Добавете нов елемент в раздела Удостоверяване с името AD Auth и задайте вашата Active Directory като сървър. |
5 |
В успешния клон добавете AD Query от раздела удостоверяване |
6 |
Отидете на Клон правила и го промени ad Query е преминат. |
7 |
В успешния клон на AD Query добавете Разширено присвояване на ресурси от раздела Присвояване. |
8 |
Щракнете върху Добавяне/изтриване и добавяне на два ресурса SAML с всички SAML ресурси и Webtop, който сте създали. |
9 |
За Избор на крайизберете Разреши . Правилата за достъп трябва да изглеждат като тази екранна снимка: |
Свързване на профила за достъп с виртуалния сървър
Трябва да свържете профила за достъп с виртуалния сървър, който сте създали.
1 |
Отидете на . |
2 |
Отворете Профили за достъп, за да потвърдите, че към профила не е свързан виртуален сървър. |
3 |
Изберете Разширено присвояване на ресурси. |
4 |
Изберете Добавяне/изтриване, за да добавите новия SAML ресурс. |
5 |
Затворете прозорците за проектиране на правилата за достъп и прилагайте новите правила за достъп. |
Импортиране на IdP метаданните и разрешаване на еднократна идентификация след тест
След като експортирате метаданните на Webex , конфигурирате вашия IdP и изтеглите метаданните на IdP във вашата локална система, сте готови да го импортирате във вашата Webex организация от Контролния център.
Преди да започнете
Не тествайте SSO интеграция от интерфейса на доставчика на самоличност (IdP). Ние поддържаме само потоци, инициирани от Доставчик на услуги (инициирани от SP), така че трябва да използвате sSO теста на контролния център за тази интеграция.
1 |
Изберете един:
|
2 |
На страницата Импортиране на IdP метаданни или плъзнете и пуснете файла с метаданни на IdP на страницата или използвайте опцията за браузър на файлове, за да локализирате и качите файла с метаданни. Щракнете върху Напред.
Трябва да използвате опцията По-сигурна , ако можете. Това е възможно само ако вашият IdP е използвал публичен CA, за да подпише метаданните си. Във всички останали случаи трябва да използвате опцията По-малко защитена . Това включва, ако метаданните не са подписани, самоподписани или подписани от частен CA. Okta не подписва метаданните, така че трябва да изберете По-малко защитена за интеграция на Okta SSO. |
3 |
Изберете Тестване на настройката на еднократната идентификация и когато се отвори нов раздел на браузъра, се удостоверете с IdP, като влезете. Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново. Грешка в Webex App обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP. За да видите директно средата за влизане с SSO, можете също да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в поверителен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Тази стъпка спира фалшивите положителни резултати поради маркер за достъп, който може да е в съществуваща сесия от вас, в който сте влезли. |
4 |
Върнете се в раздела браузър на контролния център .
Конфигурацията на SSO не влиза в сила във вашата организация, освен ако не изберете първия радио бутон и активирате SSO. |
Какво да направите след това
Използвайте процедурите в Синхронизиране на потребителите на Okta в Cisco Webex контролен център , ако искате да направите осигуряване на потребителя извън Okta в облака Webex.
Използвайте процедурите в Синхронизиране на потребителите на Azure Active Directory в Cisco Webex Control Hub, ако искате да направите предоставяне на потребители от Azure AD в облака Webex.
Можете да следвате процедурата в Потискане на автоматизираните имейли , за да деактивирате имейлите, които се изпращат на новите потребители на приложението Webex във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.