Jednotné přihlašování a Ovládací centrum Webex

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Cisco Webex a poskytovatelem identity (IdP).

Profily

Cisco Webex Teams podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče podporuje Cisco Webex Teams následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NAMEID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Cisco Webex Teams podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití v cisco Webex.

SingleLogout

Cisco Webex Teams podporuje jediný profil odhlášení. V aplikaci Cisco Webex Teams se uživatel může odhlásit z aplikace, která používá protokol SAML pro jedno odhlášení k ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace F5 Big IP s Cisco Webex Control Hub pro jednotné přihlašování


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Cisco Webex (včetně Cisco Webex Teams , CiscoWebex Meetings a dalších služebspravovaných v Cisco Webex Control Hub). Pokud je web Webex integrován do centra Cisco Webex Control Hub , webWebex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Cisco Webex tímto způsobem a není spravován v centru Cisco Webex Control Hub, musíte provést samostatnou integraci, abyste povolili SSO pro schůzky Cisco Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Než začnete

Pro SSO a Cisco Webex Control Hubmusí idP odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:

Stáhněte si metadata Cisco Webex do místního systému

1

V zobrazení zákazníka v https://admin.webex.comaplikaci přejděte do Nastavení a přejděte na Ověřování.

2

Klikněte na Upravit, klikněte na Integrovat poskytovatele identity třetí strany. (Upřesnit)a potom klikněte na Další.

3

Stáhněte si soubor metadat.

Název souboru metadat Cisco Webex jeidb-meta-<org-ID>-SP.xml.

Konfigurace externího poskytovatele služeb a poskytovatele identity

1

Z administračního rozhraní BIG-IP F5 přejděte na Zásady přístupu > SAML > BIG-IP jako IdP.

2

V části Externí konektory SP vyberteVytvořit > z metadat .

3

Zadejte smysluplný název názvu poskytovatele služeb, například <yourorganizationname>.ciscowebex.com.

4

V části Nastavení zabezpečenízaškrtněte následující políčka:

  • Odpověď musí být podepsána
  • Kontrolní výraz musí být podepsán
5

Vraťte se k zásadám přístupu > SAML > BIG-IP jako IdPa pak vytvořte novou službu poskytovatele identity (IdP).

6

Zadejte smysluplný název názvu služby IdP, například CI.

7

Pro ID entity IdP použijte FQDN serveru Big-IP s něčím vpředu – například https://bigip0a.uc8sevtlab13.com/CI.

8

V části Nastavení kontrolníhovýrazu vyberte přechodný identifikátor pro typ předmětu výrazu.

9

V části Assertion Subject Valuevrátíte hodnotu e-mailu uživatele %{session.ad.last.attr.mail}.

10

Vraťte atributy mail a uid s hodnotou %{session.ad.last.attr.mail}.

11

V části Nastavení zabezpečení vyberte certifikát propodepsání kontrolního výrazu.

12

Uložte změny a pak spojte poskytovatele služeb a poskytovatele identity, kterého jste vytvořili.

Stáhněte si metadata F5 Big-IP

1

Vyberte Exportovat službu IDP.

2

Ujistěte se, že hodnota Metadata znaménka je Ano .

3

Stáhněte si soubor metadat na plochu nebo na místo, které můžete snadno najít.

Přidání zásad přístupu

1

Přejděte na zásady přístupu > přístupové profily > SAML a vytvořte prostředek SAML pro idp, který jste vytvořili.

2

Přejděte do svého přístupového profilu a upravte zásady přístupu, které používáte pro WebEx Messenger CAS.

3

Přidejte novou položku na kartu Přihlášení s názvem Přihlašovací stránka a ponechte výchozí hodnoty.

4

Přidejte novou položku na kartu Ověřování s názvemAD Auth a zadejte službu Active Directory jako server.

5

Na úspěšné větvi přidejte dotaz AD z karty Ověřování

6

Přejděte na Pravidla větve a změňte je na Dotaz AD je předán.

7

V úspěšné větvi AD Query přidejte na kartu Přiřazení rozšířené přiřazení zdrojů.

8

Klikněte na Přidat/odstranit a přidejte dva prostředky SAML se všemi prostředky SAML a webtopem, který jste vytvořili.

9

V případě Možnosti Konec vyberte Povolit.

Zásady přístupu by měly vypadat takto:

Přidružení přístupového profilu k virtuálnímu serveru

Přístupový profil je nutné přidružit k virtuálnímu serveru, který jste vytvořili.

1

Přejděte na místní provoz > virtuální servery.

2

Otevřete přístupové profily a ověřte, zda k profilu není přidružen žádný virtuální server.

3

Vyberte Upřesnit přiřazení prostředků.

4

Vyberte Přidat nebo odstranit a přidejte nový prostředek SAML.

5

Zavřete okna návrhu zásad přístupu a použijte nové zásady přístupu.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Cisco Webex, konfiguraci idp a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Cisco Webex z Control Hub.

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku Cisco Webex Control Hub – Export adresářových metadat v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v https://admin.webex.comaplikaci , přejděte do Nastavení , přejděte na Ověřování , zvolte Integrovat poskytovatele identity třetí strany(Upřesnit)a potom klikněte na Další na stránce souboru důvěryhodných metadat (protože jste to již dříve udělali).
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud metadata nejsou podepsána, jsou podepsána certifikátem podepsaným svým držitelem nebo jsou podepsána privátní certifikační autoritou (CA), doporučujeme použít vyžadovat certifikát podepsaný certifikační autoritou v metadatech (bezpečnější). Pokud je certifikát podepsán svým držitelem, musíte zvolit méně bezpečnou možnost.

3

Vyberte Test připojení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba Webex Teams obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Tento test byl úspěšný. Povolte možnost Jednotné přihlášení a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Tento test byl neúspěšný. Zakažte možnost Jednotné přihlášení a klikněte na Další.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům Webex Teams ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.