Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace a přejděte na Ověřování a pak zapněte možnost Jednotné přihlašování nastavením spusťte průvodce nastavením.

Vyberte typ certifikátu pro organizaci:

• Podepsané společností Cisco – Doporučujeme tuto možnost. Certifikát nám nechte podepsat, takže jej stačí obnovovat jednou za pět let.
• Podepsáno veřejnou certifikační autoritou – Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel poskytovatele identity nepodporuje kotvy důvěry).

Kotvy důvěry jsou veřejné klíče, které fungují jako autorizace k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci poskytovatele identity.

Stáhněte si soubor metadat.

Přejděte do adresáře /opt/shibboleth-idp/conf pro přístup k ukázkovým souborům.

Rozhodněte, jaký způsob autorizace použít – například LDAP se váže ke službě Active Directory.

Upravte soubor handler.xml následovně:

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>

Vyplněním podrobností služby Active Directory umožníte ověření. Zadejte konfiguraci souboru login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Přidejte stažený soubor ze služby Webex SP do adresáře /opt/shibboleth-idp/metadata.

Upravit relying.xml soubor; za značku Re Party přidejte podrobnosti výrazu SAML pro aplikaci Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Uvnitř značky metadata:Meta Provider přidejte umístění souboru:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

V části Datový konektor zadejte, kde chcete načíst atributy o uživatelích.

Active Directory s ID MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>

V části Definice atributů si ponechte to, co je již v konfiguraci pro ID.

Přidejte další atribut, který SP očekává, a definujte, na co mapuje ve zdroji atributů.

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

V souboru attribute-filter.xml definujte atribut, který chcete poskytnout každé smlouvě SP.

Uvolněte atribut uid do smlouvy o SP se službou Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravidlo, které jste vytvořili v atributu attribute-resolver.xml, by mělo mít zásadu pro uvolnění atributu mail-attr na ID , které odpovídá službě Webex.

Stáhněte soubor metadat ze serveru Shibboleth v /opt/shibboleth-idp/metadata. Název souboru je idp-metadata.xml.

Vyberte si jednu:

• Vraťte se v prohlížeči na stránku Control Hub – výběr certifikátu a klikněte na Další .
• Pokud již není Control Hub otevřená na kartě prohlížeče, z zobrazení zákazníka vhttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a pak zvolte možnost Akce > Importovat metadata .

Na stránce Import metadata poskytovatele identity přetáhněte soubor metadat IdP na stránku nebo použijte možnost prohlížeče k vyhledání a nahrání souboru metadat. Klepněte na tlačítko Další.

Měli byste použít Bezpečnější Pokud můžete, možnost . To je možné pouze v případě, že váš poskytovatel identity použil k podepsání metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít Méně bezpečné možnost. To platí i pro případy, kdy metadata nejsou podepsána, podepsána svým držitelem nebo soukromou certifikační autoritou.

Okta metadata nepodepisuje, takže si musíte vybrat Méně bezpečné pro integraci Okta SSO .

Vyberte možnost Testovat nastavení SSO a když se otevře nová karta prohlížeče, přihlaste se u poskytovatele identity (IdP).

Pokud se zobrazí chyba ověření, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu. Chyba aplikace Webex obvykle znamená problém s nastavením SSO . V takovém případě si tyto kroky projděte znovu, zejména ty, kdy zkopírujete a vložíte metadata Control Hub do nastavení IdP.

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy kvůli přístupovému tokenu, který se může nacházet ve stávající relaci od vás, když se přihlašujete.

Vraťte se na kartu prohlížeče Control Hub.

• Pokud byl test úspěšný, vyberte Test byl úspěšný. Zapněte SSO a klikněte Další .
• Pokud byl test neúspěšný, vyberte Test byl úspěšný. Vypněte SSO a klikněte Další .

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete SSO.