Единичен център за влизане и управление

Еднократната идентификация (SSO) е процес на удостоверяване на сесия или потребител, който позволява на потребителя да предостави идентификационни данни за достъп до едно или повече приложения. Процесът удостоверява потребителите за всички приложения, на които им се дават права. Той елиминира по-нататъшни подкани, когато потребителите превключват приложения по време на определена сесия.

Протоколът за маркиране на защитата assertion (SAML 2.0) Федерация протокол се използва за предоставяне на SSO удостоверяване между Облака на Webex и вашия доставчик на самоличност (IdP).

Профили

Webex App поддържа само уеб браузъра SSO профил. В профила на SSO на уеб браузъра Webex App поддържа следните свързвания:

SP инициира POST -> POST свързване
SP инициира ПРЕНАСОЧВАНЕ -> POST свързване

Формат nameID

Протоколът SAML 2.0 поддържа няколко NameID формата за комуникация за конкретен потребител. Webex App поддържа следните формати NameID.

urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданните, които зареждате от вашия IdP, първият запис е конфигуриран за използване в Webex.

Единично излизане

Webex App поддържа единния профил за излизане. В Webex App, потребител може да излезете от приложението, който използва SAML протокол за единично излизане, за да прекрати сесията и да потвърди този изход с вашия IdP. Гарантирайте, че вашият IdP е конфигуриран за SingleLogout.

Интегриране на центъра за управление с PingFederate

Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Настройте тази интеграция за потребителите във вашата уебекс организация (включително Webex App, Webex Meetings, и други услуги, администрирани в Контролния център). Ако вашият Webex сайт е интегриран в Контролния център , webex сайтът наследява управлението на потребителя. Ако нямате достъп до Webex Срещи по този начин и той не се управлява в контролния център , трябва да направите отделна интеграция, за да разрешите SSO за Webex срещи. (Вж. Конфигуриране на еднократна идентификация за Webex за повече информация в интегрирането на SSO в администрирането на сайта.)

Преди да започнете

За SSO и Control Hub, ИДД трябва да съответстват на спецификацията SAML 2.0. Освен това IDPs трябва да бъдат конфигурирани по следния начин:

Изтеглете метаданните на Webex във вашата локална система

От изгледа на клиента в , отидете на https://admin.webex.comНастройки за управление > организация , след което превъртете до Удостоверяване , след което превключвайте на настройката Еднократна идентификация, за да стартирате съветника за настройка.

Изберете типа сертификат за вашата организация:

Самоподписан от Cisco— Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.
Подписан от орган за публичен сертификат— По-сигурен, но ще трябва често да актуализирате метаданните (освен ако доставчикът ви на IdP поддържа котви за доверие).

Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.

Изтеглете файла с метаданни.

Уебекс метаданните filename е idb-meta-<org-ID>-SP.xml.

Конфигуриране на нова връзка с доставчик на услуги

1	Отидете на вашия портал за администриране на PingFederate ( `https://<FQDN of PingFederate>:9999/pingfederate/app`).
2	Под SP ВРЪЗКИизберете Създаване на нов.
3	Изберете бутона Не използвайте шаблон за този радио бутон за връзка, след което изберете Напред .
4	Изберете SSO профили на браузъра, след което щракнете върху Напред.
5	Изберете раздела Импортиране на метаданни.
6	Щракнете върху Избор на файл, за да сърфирате в и импортирате файла с метаданни, който сте изтеглили от Контролния център , след което щракнете върху Напред.
7	Прегледайте информацията в раздела Обща информация и след това щракнете върху Готово.

Конфигуриране на еднократната идентификация на браузъра

От портала за администриране на PingFederate изберете Конфигуриране на SSO на браузъра.

Поставете отметка в квадратчето Иницииран от SP SSO, след което щракнете върху Напред .

Изберете Конфигуриране на създаване на assertion.

Променете квадратчето NameID-формат на преходен и поставете отметка в квадратчето Включи атрибутите в допълнение към преходния идентификатор.
Удължете атрибутите на договора, като добавите атрибути за поща иuid във форматurn:oasis:names:tc:SAML:2.0:attrname-format-basic, след което щракнете върху Напред .
Изберете Карта нов екземпляр на адаптер, за да изберете механизъм за удостоверяване. От падащия екземпляр на адаптер изберете един от предварително конфигурираните механизми за удостоверяване, след което щракнете върху Напред.
Изберете извличането на допълнителни атрибути от няколко магазина за данни с помощта на един бутон за съпоставяне на радио, след което щракнете върху Напред.
Изберете Добавяне на източник на атрибут, за да добавите домейновия контролер на Active Directory за домейна и след това щракнете върху напред.
Задайте Базов DN и изберете класа на главния обект <Show All Attributes>. В текстовото поле Филтър въведете LDAP филтъра и след това щракнете върху Напред.

Записът трябва да съдържа атрибута, който очаквате потребителят да предостави. Той също така трябва да съдържа стойността, с която се съпоставя в източниците на LDAP. Например, ако вашата активна директория е настроена да филтрира в атрибута за вход в Windows, въведете sAMAccountName=${Потребителско име}.
Изберете източника и стойността, за да нанесете атрибутите на assertion с атрибутите, предоставени от ad datastore. (Не въвеждайте нищо за Критерии за издаване.)

Проверете дали конфигурацията на assertion има съпоставяне на самоличността, зададено на Преходен ,Атрибутен договор, зададен на uid , и Екземпляри наадаптер, зададени на 1.

Атрибутът uid трябва да се съпоставя с имейл адреса на потребителя.

Изберете Конфигуриране на настройките на протокола.

За допустими SAML свързвания проверете само квадратчетата POST и Redirect.
За Правила за подпис изберете Винаги подписвайте SAML assertion.

Настройките на протокола трябва да изглеждат като следните.
Изберете Конфигуриране на идентификационни данни, за да конфигурирате сертификата за твърдението.
Изберете сертификата, който вече е създаден за SAML твърдения.

На екрана Активиране и резюме задайте състоянието на връзкатана Активен.

Експортиране на метаданни от PingFederate

1	На главния екран щракнете върху Управление на всички SP.
2	Намерете връзката, която току-що създадохте, и щракнете върху Експортиране на метаданни.
3	Изберете сертификата, който да използвате за подписване на експортирания файл от падащия.
4	Щракнете върху Експортиране.

Импортиране на IdP метаданните и разрешаване на еднократна идентификация след тест

След като експортирате метаданните на Webex, конфигурирате вашия IdP и изтеглите метаданните на IdP в локалната си система, сте готови да го импортирате във вашата Webex организация от Control Hub.

Преди да започнете

Не тествайте SSO интеграция от интерфейса на доставчика на самоличност (IdP). Ние поддържаме само потоци, инициирани от Доставчик на услуги (инициирани от SP), така че трябва да използвате sSO теста на контролния център за тази интеграция.

Изберете един:

Върнете се в контролния център – страницата за избор на сертификат във вашия браузър и след това щракнете върху Напред.
Ако Контролният център вече не е отворен в раздела на браузъра, от изгледа на клиента в , отидете на https://admin.webex.comУправление > Настройки на организацията , превъртете до Удостоверяване , след което изберете Действия > Импортиране наметаданни .

На страницата Импортиране на IdP метаданни или плъзнете и пуснете файла с метаданни на IdP на страницата или използвайте опцията за браузър на файлове, за да локализирате и качите файла с метаданни. Щракнете върху Напред.

Трябва да използвате опцията По-сигурна, ако можете. Това е възможно само ако вашият IdP е използвал публичен CA, за да подпише метаданните си.

Във всички останали случаи трябва да използвате опцията По-малко защитена. Това включва, ако метаданните не са подписани, самоподписани или подписани от частен CA.

Изберете Настройка на Тест SSO и когато се отвори нов раздел на браузъра, удостоверете с IdP, като влезете в профила си.

Ако получите грешка при удостоверяване може да има проблем с идентификационните данни. Проверете потребителското име и паролата и опитайте отново.

Грешка в Webex App обикновено означава проблем с настройката на SSO. В този случай преминете отново през стъпките, особено стъпките, където копирате и поставяте метаданните на контролния център в настройката на IdP.

За да видите директно опита за влизане в SSO, можете също да щракнете върху Копиране на URL адрес в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да минете през влизане със SSO. Тази стъпка спира фалшивите положителни резултати поради маркер за достъп, който може да е в съществуваща сесия от вас, в който сте влезли.

Върнете се в раздела браузър на контролния център.

Ако тестът е бил успешен, изберете Успешен тест. Включете SSO и щракнете върху Напред.
Ако тестът е бил неуспешен, изберете Неуспешен тест. Изключете SSO и щракнете върху Напред.

Конфигурацията на SSO не влиза в сила във вашата организация, освен ако не изберете първия радио бутон и активирате SSO.

Какво да направите след това

Можете да следвате процедурата в Потискане на автоматизирани имейли, за да забраните имейли, които се изпращат на нови потребители на Webex App във вашата организация. Документът съдържа и най-добри практики за изпращане на комуникации на потребители във вашата организация.