Jednotné přihlašování a Control Hub

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Webex a poskytovatelem identity (IdP).

Profily

Webex App podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče webex app podporuje následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NameID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Webex App podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

SingleLogout

Webex App podporuje jediný profil odhlášení. V aplikaci Webexse uživatel může odhlásit z aplikace, která používá protokol SAML pro ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Control Hubu s Google Apps


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikace Webex , schůzekWebex a dalších služebspravovaných v Centru řízení ). Pokud je web Webex integrován do centra Control Hub , web Webex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Webex tímto způsobem a nejsou spravovány v ovládacím centru , musíte provéstsamostatnou integraci, abyste povolili SSO pro schůzky Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Než začnete

Pro SSO a Control Hubmusí idp odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comčásti Přejděte do > Nastavení organizace pro správu a potom přejděte na Ověřování a potom přepněte nastavení Jednotné přihlašování a spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Společnost Cisco podepsalasmlouvu sama – tuto volbu doporučujeme. Podepište certifikát, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale budete muset často aktualizovat metadata (pokud dodavatel IdP nepodporuje kotvy důvěryhodnosti).

 

Kotvy důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci k idp.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex jeidb-meta-<org-ID>-SP.xml.

Konfigurace vlastní aplikace ve Správci Google

1

Přihlaste se ke konzoli pro správu Google Apps (https://admin.google.com) pomocí účtu s oprávněními pro správu a klikněte na Aplikace.

2

V zobrazení aplikací klikněte na aplikace SAML.

3

Na stránce SAML Apps klikněte na tlačítko plus (+ ) a na vyskakovací stránce vyberte SETUP MY OWN APP.

4

Na stránce Informace O Idp Google v sekci Možnost 2 klikněte na STÁHNOUT a uložte soubor do snadno dostupného umístění v místním systému.

Soubor metadat Google se stáhne. Formát názvu souboru je GoogleIDPMetadata-<domain name="">.xml.

5

Klikněte na DALŠÍ.

6

Na stránce Základní informace pro vlastní aplikaci zadejte název aplikace Webex App a klikněte na DALŠÍ.

7

Chcete-li vyplnit stránku Podrobnosti poskytovatele služeb, otevřete v textovém editoru soubor metadat Webex, který jste stáhli dříve.

  1. Vyhledejte v souboru metadat Webex"AssertionConsumerService" a zkopírujte adresu URL, která následuje po klíčovém slově Umístění, a vložte ji do pole URL služby na stránce Podrobnosti poskytovatele služeb.

    Příklad:

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. Vyhledejte v souboru metadat Webex"entityID" a zkopírujte adresu URL, která následuje do pole ID entity na stránce Podrobnosti poskytovatele služeb.

    Příklad:

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. "ID jména" by mělo být nastaveno na Základní informace a primární e-mail

  4. "Formát ID jména" by měl být nastaven na NESPECIFIKOVANÝ

  5. Nejsou vyžadována žádná mapování atributů, takže na stránce Mapování atributů klikněte na DOKONČIT

Po vytvoření aplikace Webex SAML ji musíte uživatelům povolit.

8

Klikněte na svislé tečky na pravé straně aplikace Webex SAML a vyberte jednu:

  • Zapnuto pro každého
  • Zapnuto pro některé organizace (a pak vyberte organizace)

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idpu a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Centra řízení .

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku s výběrem certifikátu v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v aplikaci https://admin.webex.comSpráva > Nastavení organizace , přejděte na Ověřování a zvolte Akce > Importmetadat.
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné pouze v případě, že váš IdP použil veřejnou certifikační autoritu k podepsání metadat.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To zahrnuje, pokud metadata nejsou podepsána, podepsána nebo podepsána soukromou certifikační autoritou.

3

Vyberte Otestovat nastavení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. Tento krok zastaví falešně pozitivní výsledky z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Úspěšný test. Zapněte SSO a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Neúspěšný test. Odtrhlo se od SSO a klikněte na Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.