Единичен център за влизане и управление

Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.

Протоколът за маркиране на защитата assertion (SAML 2.0) Федерация протокол се използва за предоставяне на SSO удостоверяване между Облака на Webex и вашия доставчик на самоличност (IdP).

Профили

Webex App поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Webex App поддържа следните свързвания:

  • SP инициира POST -> POST свързване

  • SP инициира ПРЕНАСОЧВАНЕ -> POST свързване

Формат nameID

Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Webex App поддържа следните формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Webex.

Интегриране на контролния център с Microsoft Azure

Webex поддържа само един IdP за всяка заявка за удостоверяване. Процесът на удостоверяване е следният: Потребител > Удостоверяване в Webex > IdP 1 > Удостоверяване в Webex > Потребител. Това означава, че макар различните потребители да могат да се удостоверяват, използвайки различни IdP-ове, потребителят не може да превключва между множество IdP-ове по време на един процес на удостоверяване. Всички допълнителни стъпки, като например MFA, трябва да бъдат интегрирани с единствения IdP, използван за тази конкретна заявка.

Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например, стъпките за интегриране за nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient са документирани. Други формати, като например urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, ще работят за SSO интеграция, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребители във вашата уебекс организация (включително Webex App, Webex Срещии други услуги, администрирани в контролния център). Ако вашият Webex сайт е интегриран в контролния център, Webex сайтът наследява управлението на потребителя. Ако нямате достъп до Webex Срещи по този начин и той не се управлява в контролния център, трябва да направите отделна интеграция, за да разрешите SSO за Webex срещи.

Преди да започнете

За SSO и Control Hub, IdP трябва да отговарят на спецификацията SAML 2.0. В допълнение, IdP трябва да бъдат конфигурирани по следния начин:

  • В Azure Active Directory осигуряването се поддържа само в ръчен режим. Този документ обхваща само интеграцията с единично влизане (SSO).
  • Съществуващите клиенти на Webex с предишни конфигурации за федерация може да срещнат проблеми със стандартния шаблон на Entra ID Webex поради промени в атрибутите на SAML. Препоръчваме ви да настроите персонализирана федерация на Entra ID, за да разрешите този проблем, използвайки предишните си SAML настройки. Уверете се, че сте провели SSO теста на Control Hub, за да осигурите съвместимост и да отстраните евентуални несъответствия.

Изтеглете метаданните на Webex във вашата локална система

1

Влезте в контролния хъб.

2

Отидете на Управление > Сигурност > Удостоверяване.

3

Отидете в раздела Доставчик на самоличност и щракнете върху Активиране на SSO.

4

Изберете IdP.

5

Изберете типа сертификат за вашата организация:

  • Самоподписано от Cisco— Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.
  • Подписано от публичен сертифициращ орган— По-сигурно, но ще трябва често да актуализирате метаданните (освен ако вашият доставчик на IdP не поддържа доверени котви).

Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.

6

Изтеглете файла с метаданни.

Името на файла с метаданни на Webex е idb-meta-<org-ID>-SP.xml.

Конфигурирайте настройките на приложението SSO в Azure

Преди да започнете

  • Вижте Какво е Azure Active Directory, за да разберете възможностите на IdP в Azure Active Directory.

  • Конфигурирайте Azure Active Directory.

  • Създайте локални потребители или синхронизирайте с локална система за активна директория.

  • Отворете файла с метаданни на Webex, който сте изтеглили от контролния център.

  • Има свързан урок на сайта с документация на Microsoft.

1

Влезте в портала на Azure на адрес https://portal.azure.com с администраторските си идентификационни данни.

2

Ако не можете да видите иконата Azure Active Directory, щракнете върху Още услуги.

3

Отидете на Azure Active Directory за вашата организация.

4

Отидете на Enterprise Applications и след това щракнете върху Add.

5

Кликнете върху Добавяне на приложение от галерията.

6

В полето за търсене въведете Cisco Webex.

7

В панела с резултати изберете Cisco Webex и след това щракнете върху Създаване, за да добавите приложението.

8

За да сте сигурни, че приложението Webex, което сте добавили за единично влизане, не се показва в потребителския портал, отворете новото приложение. Под Управление щракнете върху Свойства и задайте Видимо за потребителите? на Не.

Не поддържаме показване на приложението Webex за потребителите.

9

Конфигуриране на единично влизане:

  1. Под Управление щракнете върху Единично влизане и след това под Избор на метод за единично влизане изберете SAML.

  2. Щракнете върху Качване на файл с метаданни и след това изберете файла с метаданни, който сте изтеглили от Control Hub.

    Импортиране на файл с метаданни в Azure

    Някои полета се попълват автоматично вместо вас.

  3. Под Управление щракнете върху Настройване на единично влизане със SAML, щракнете върху иконата Редактиране, за да отворите Основна SAML конфигурация.

  4. Копирайте стойността на URL адрес за отговор и я поставете в URL адрес за влизане и след това запазете промените си.

10

Отидете на Управление > Потребители и групи, след което изберете съответните потребители и групи, на които искате да предоставите достъп до приложението Webex.

11

На страницата Настройване на единично влизане със SAML, в секцията Сертификат за подписване на SAML, щракнете върху Изтегляне, за да изтеглите обединените метаданни XML и го запазете на вашия компютър.

Импортиране на IdP метаданните и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Webex , конфигурирате вашия IdP и изтеглите метаданните на IdP във вашата локална система, сте готови да го импортирате във вашата Webex организация от Контролния център.

Преди да започнете

Не тествайте SSO интеграция от интерфейса на доставчика на самоличност (IdP). Ние поддържаме само потоци, инициирани от Доставчик на услуги (инициирани от SP), така че трябва да използвате sSO теста на контролния център за тази интеграция.

1

Изберете един:

  • Върнете се на страницата за избор на сертификат в Control Hub във вашия браузър и след това щракнете върху Next.
  • Отворете отново Control Hub, ако вече не е отворен в раздела на браузъра ви. От изгледа на клиента в Control Hub отидете на Управление > Сигурност > Удостоверяване, изберете IdP и след това изберете Действия > Импортиране на метаданни.
2

На страницата „Импортиране на метаданни на IdP“ плъзнете и пуснете файла с метаданните на IdP върху страницата или използвайте опцията за браузър на файлове, за да намерите и качите файла с метаданните. Щракнете върху Напред.

Трябва да използвате опцията По-сигурна , ако можете. Това е възможно само ако вашият IdP е използвал публичен CA, за да подпише метаданните си.

Във всички останали случаи трябва да използвате опцията По-малко защитена . Това включва, ако метаданните не са подписани, самоподписани или подписани от частен CA.

Okta не подписва метаданните, така че трябва да изберете По-малко защитена за интеграция на Okta SSO.

3

Изберете Тест на настройката на SSOи когато се отвори нов раздел в браузъра, удостоверете се с IdP, като влезете.

Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex App обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP.

За да видите директно средата за влизане с SSO, можете също да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в поверителен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Тази стъпка спира фалшивите положителни резултати поради маркер за достъп, който може да е в съществуваща сесия от вас, в който сте влезли.

4

Върнете се в раздела браузър на контролния център .

  • Ако тестът е бил успешен, изберете Успешен тест. Включете SSO и щракнете върху напред.
  • Ако тестът е бил неуспешен, изберете Неуспешен тест. Изключете SSO и щракнете върху напред.

Конфигурацията на SSO не влиза в сила във вашата организация, освен ако не изберете първия радио бутон и активирате SSO.

Какво да направите след това

Използвайте процедурите в Синхронизиране на потребителите на Okta в Cisco Webex контролен център , ако искате да направите осигуряване на потребителя извън Okta в облака Webex.

Използвайте процедурите в Синхронизиране на потребителите на Azure Active Directory в Cisco Webex Control Hub, ако искате да направите предоставяне на потребители от Azure AD в облака Webex.

Можете да следвате процедурата в Потискане на автоматизирани имейли, за да деактивирате имейлите, които се изпращат до нови потребители на приложението Webex във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.

Отстраняване на проблеми с интегрирането на Azure

Когато правите SAML теста, уверете се, че използвате Mozilla Firefox и инсталирате SAML tracer от https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Проверете твърдението, което идва от Azure, за да се уверите, че има правилния формат nameid и има атрибут uid, който съответства на потребител в Webex App.