Център за еднократна идентификация и контрол

Еднократна идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, които те са дадени права. Той премахва допълнителни подкани, когато потребителите превключете приложения по време на определена сесия.

Протоколът за маркиране на удостоверяване на защитата (SAML 2.0) се използва за предоставяне на SSO удостоверяване между Webex облак и доставчик на самоличност (IdP).

Профили

Webex поддържа само профила на уеб браузъра SSO. В уеб браузъра SSO профил Webex поддържа следните свързвания:

  • SP инициира ОБВЪРЗВАНЕ С POST -> POST

  • SP инициира REDIRECT -> POST обвързване

Формат на ИД на име

Протоколът SAML 2.0 поддържа няколко NameID формати за комуникация за конкретен потребител. Webex поддържа следните формати на име.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Webex.

Интегриране на центъра за управление с Microsoft Azure


Конфигурационните ръководства показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интегриране на nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:преходни са документирани. Други формати като urn: oasis: имена:tc:SAML:1.1:nameid-format:неспецикретно или urn:oasis:names:tc:tc:SAML:1.1:nameid-format:emailAddress ще работи за SSO интеграция, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребители във вашата Webex организация (включително Webex, Webex събранияи други услуги, администрирани в центъра зауправление). Ако webex сайтът ви е интегриран в центъра за управление ,Webex сайт наследява управлението на потребителя. Ако не можете да осъществите достъп до Webex събрания по този начин и не се управлява в центъра за управление , трябва да направите отделна интеграция, за да разрешите SSO за Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в SSO интеграция в администриране на сайта.)

Преди да започнете

За SSO и контролния център, idPs трябва да отговарят на спецификацията на SAML 2.0. Освен това idPs трябва да бъдат конфигурирани по следния начин:


В Azure Active Directory осигуряване се поддържа само в ръчен режим. Този документ обхваща само интегрирането на еднократна идентификация (SSO).

Изтеглете метаданните на Webex в локалната система

1

От изгледа на клиент в https://admin.webex.com, отидете в Настройки и следтова превъртете до Удостоверяване.

2

Щракнете върху Промяна , щракнете върху Интегриране на трета страна доставчик насамоличност. (Разширени)и след това щракнете върху напред.

3

Изтеглете файла с метаданни.

Името на файла с метаданните на Webex е idb-meta-<org-ID>-SP.xml.

Конфигуриране на настройките за еднократна идентификация при приложение в Azure

Преди да започнете

  • Вижте Какво е Azure Active Directory, за да разберете възможностите на ИДП в Azure Active Directory.

  • Конфигуриране на Azure Active Directory.

  • Създаване на локални потребители или синхронизиране с локалната система на active directory.

  • Отворете файла с метаданни Webex, който сте изтеглили от центъра за управление.

  • Има урок, свързан с документацията на Microsoft.

1

Влезте в портала на Azure https://portal.azure.com с вашите идентификационни данни на администратор.

2

Отидете на Azure Active Directory за вашата организация.

3

Отидете на корпоративни приложения и след това щракнете върху Добавяне.

4

Щракнете върху Добавяне на приложение от галерията.

5

В полето за търсене въведете Cisco Webex.

6

В екрана с резултати изберете Cisco Webexи след това щракнете върху Добавяне, за да добавите приложението.

Появява се съобщение, което казва, че приложението е добавено успешно.

7

За да се уверите, че приложението Webex, което сте добавили за еднократна идентификация, не се показва в портала на потребителя, отворете новото приложение, отидете на Свойства и задайте Видим запотребители?

8

Конфигуриране на еднократна идентификация:

  1. След като създадете споразумение за кандидатстване, отидете на раздела еднократна идентификация и след това под Изберете един знак на метод , изберетеSAML.

  2. На настройка на еднократна идентификация с SAML страница щракнете върху иконата Редактиране, за да отворите Basic SAML конфигурация.

  3. Щракнете върху Качване на метаданни файл и след това изберете файла с метаданни, който сте изтеглили от центъра за управление .

    Някои полета се попълват автоматично вместо вас.

  4. Копирайте стойността на URL адреса на отговор и я поставете в "Влизане в URL адрес"и след това запишете промените.

9

Отидете на Управление на > Потребители и групи, след което изберете приложимите потребители и групи, които искате да предоставите достъп до Webex.

10

На страницата Настройка на еднократна идентификация saml вsaml сертификат за подписванераздел щракнете върху Изтегляне, за да изтеглите файла с метаданни за федерацията XML и да го запишете на вашия компютър.

11

На страницата свойства проверете дали видим за потребителите е зададено на Не .

Не поддържаме това, което прави приложението Webex видимо за потребителите.

Импортиране на idP метаданни и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Webex, конфигурирайте вашия ИДП и изтеглите idP метаданните във вашата локална система, вие сте готови да ги импортирате във вашата Webex организация от центъра за управление.

Преди да започнете

Не тествайте SSO интеграция от доставчика на самоличност (IdP) интерфейс. Ние поддържаме само потоци, инициирани от доставчик на услуги (инициирани SP), така че трябва да използвате теста на SSO за управление хъб за тази интеграция.

1

Изберете едно:

  • Върнете се към страницата с метаданни за директория в браузъра и след това щракнете върху напред.
  • Ако центърът за управление вече не е отворен в раздела на браузъра, от изгледа на клиента в https://admin.webex.com, преминете към Настройки ,превъртете до Удостоверяване , изберете Интегриране на доставчик на самоличност на трета страна(Advanced)и след това щракнете върху Напред върху страницата с надеждни метаданни (защото вече сте го направили преди).
2

На страницата Импортиране idP метаданни или плъзнете и пуснете файла idP метаданни на страницата или използвайте опцията за браузъра на файла, за да намерите и качите файла с метаданни. Щракнете върху напред.

Трябва да използвате опцията за по-сигурна защита, ако можете (Изисквайте сертификат, подписан от сертифициращ орган в Metadata). Това е възможно само ако idP е използвал публичен сертифициращ орган, за да подпише своите метаданни.

Във всички останали случаи трябва да използвате опцията за по-малко сигурна (Разрешаване на самоподписан сертификат в Метаданни). Това включва, ако метаданните не са подписани, самоподписан или подписан от частен сертифициращ орган.

3

Изберете Тест на SSO връзкаи когато се отвори нов раздел на браузъра, удостоверете с IdP, като влезете.


 

Ако получите грешка при удостоверяване, може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex обикновено означава проблем с SSO настройката. В този случай преминете отново стъпките, особено стъпките, където копирате и поставяте метаданните на контролния концентратор в настройка на IdP.

4

Върнете се в раздела браузър на контролния център.

  • Ако тестът е успешен, изберете Този тест е успешен. Разрешаване на еднократна идентификация опция и щракнете напред.
  • Ако тестът е неуспешен, изберете Този тест е неуспешен. Забрани еднократна идентификация опция и щракнете върху напред .

Какво да правим по-нататък

Можете да следвате процедурата в Забрани автоматизирани имейли, за да забраните имейли, изпратени до нови Webex потребители във вашата организация. Документът съдържа и най-добри практики за изпращане на съобщения до потребители във вашата организация.

Отстраняване на неизправности при интегриране на Azure Active Directory

Когато правите SAML теста, уверете се, че използвате Mozilla Firefox и да инсталирате TRACER SAML от https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Проверете потвърждението, което идва от Azure, за да се уверите, че има правилния nameid формат и притежава атрибут uid, които отговарят на потребител в Webex.