Jednorázové přihlášení aControl Hub

Jednotlivé přihlášení (SSO) je proces relace nebo autentizace uživatele, který uživateli umožňuje poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces autentizuje uživatele pro všechny aplikace, na které mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během konkrétní relace.

Protokol SAML 2.0 (Security Assertion Markup Language) se používá k ověření SSO meziWebexcloud a vašeho poskytovatele identity (IdP).

Profily

Aplikace Webexpodporuje pouze SSO profil webového prohlížeče. Ve webovém prohlížeči SSO profil,Aplikace Webexpodporuje následující vazby:

  • SP zahájen POST -> POST BINDING

  • SP zahájeno PŘESMĚROVÁNÍ -> POST BINDING

Formát ID jména

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli.Aplikace Webexpodporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete ze svého IdP, je první položka nakonfigurována pro použití vWebex.

IntegraceControl Hubs Microsoft Azure


 

Průvodci konfigurací ukazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například integrační kroky pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude pracovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavit tuto integraci pro uživatele ve vašemWebexorganizace (včetněAplikace Webex,Webex Meetings, a další služby poskytované vControl Hub). PokudWebexpracoviště je integrováno doControl Hub,Webexweb zdědí správu uživatelů. Pokud nemáte přístupWebex Meetingstímto způsobem a není řízen vControl Hub, musíte provést samostatnou integraci, abyste povolili SSO proWebex Meetings. (Další informace o integraci SSO v administraci pracoviště naleznete v kapitole Konfigurace jednotného přihlášení pro Webex.)

Než začnete

Pro SSO aControl Hub, IdP musí odpovídat specifikaci SAML 2.0. Kromě toho musí být IdP nakonfigurovány následujícím způsobem:


 

V Azure Active Directory je poskytování služeb podporováno pouze v manuálním režimu. Tento dokument se vztahuje pouze na integraci jediného přihlášení (SSO).

StáhnoutWebexmetadata do místního systému

1

Ze zákaznického pohledu v přejdi na https://admin.webex.com Správa > Nastavení organizace a poté přejděte na Authentication (Ověření) a poté přepnutím na Single login (Jedno přihlášení) spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Samo-podepsáno společností Cisco- tuto volbu doporučujeme. Podepište nám certifikát, abyste jej mohli obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou- Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel IdP nepodporuje kotvy důvěry).

 

Důvěryhodné kotvy jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdeš v dokumentaci k IdP.

3

Stáhnout soubor metadat.

TenWebexnázev souboru metadat je idb-meta-<org-ID>-SP.xml.

Konfigurace nastavení aplikace SSO v Azure

Než začnete

1

Přihlaste se do portálu Azure na adrese https://portal.azure.com pomocí svých přihlašovacích údajů správce.

2

Pokud nevidíte ikonu Azure Active Directory, klikněte na položku Další služby.

3

Přejděte do Azure Active Directory pro vaši organizaci.

4

Přejděte do nabídky Podnikové aplikace a klikněte na tlačítko Přidat.

5

Klikněte na tlačítko Přidat aplikaci z galerie.

6

Do vyhledávacího pole napište Cisco Webex.

7

Na panelu výsledků vyberte položku Cisco Webex a pro přidání aplikace klikněte na tlačítko Vytvořit.

8

Chcete-li se ujistit, že se aplikace Webex, kterou jste přidali pro jednorázové přihlášení, nezobrazuje na uživatelském portálu, otevřete novou aplikaci. V části Spravovat klikněte na položku Vlastnosti a nastavte možnost Viditelné pro uživatele? na možnost Ne.

Nepodporujeme zviditelnění aplikace Webex pro uživatele.

9

Nastavit jednotné přihlášení:

  1. V části Spravovat klikněte na položku Jedno přihlášení a v části Vybrat metodu jednoho přihlášení vyberte možnost SAML.

  2. Klepněte na tlačítko Nahrát soubor metadat a vyberte soubor metadat, ze kterého jste stáhliControl Hub.

    Importovat soubor metadat v Azure

    Některá pole jsou automaticky vyplněna za vás.

  3. V části Spravovat klikněte na možnost Nastavit jednotné přihlášení pomocí SAML, kliknutím na ikonu Upravit otevřete položku Základní konfigurace SAML.

  4. Zkopírujte hodnotu adresy URL odpovědi, vložte ji do adresy URL přihlášení a uložte změny.

10

Přejděte do části Správa > Uživatelé a skupiny a vyberte příslušné uživatele a skupiny, ke kterým chcete udělit přístupAplikace Webex.

11

Na stránce Set up Single Sign-On with SAML v části SAML Signing Certificate (Podpisový certifikát SAML) klepněte na tlačítko Download (Stáhnout) a stáhněte si metadata Federace XML a uložte je do svého počítače.

Importovat metadata IdP a povolit jednorázové přihlášení po testu

Po exportuWebexmetadata, nakonfigurujte IdP a stáhněte si metadata IdP do místního systému, jste připraveni je importovat do svéhoWebexorganizace odControl Hub.

Než začnete

Nezkoušejte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme pouze toky iniciované poskytovatelem služeb (SP-iniciované), takže musíte použítControl HubSSO test pro tuto integraci.

1

Vyberte si jednu:

  • Vraťte se doControl Hub– stránku výběru certifikátů v prohlížeči a klepněte na tlačítko Další.
  • PokudControl Hubna kartě prohlížeče se již neotevírá. V zobrazení pro zákazníky přejděte do https://admin.webex.comnabídky Správa > Nastavení organizace, přejděte na možnost Ověření a vyberte položky Akce > Import metadat.
2

Na stránce Import metadat IdP buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klepněte na tlačítko Další.

Měli byste použít bezpečnější možnost, pokud můžete. To je možné pouze v případě, že váš IdP použil k podpisu svých metadat veřejného CA.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To platí i v případě, že metadata nejsou podepsána, vlastnoručně podepsána nebo podepsána soukromou CA.


 

Okta nepodepisuje metadata, takže musíte zvolit méně bezpečné pro integraci Okta SSO.

3

Vyberte Test nastavení SSO a po otevření nové karty prohlížeče ověřte pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověření, může nastat problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

OdpověďAplikace Webexchyba obvykle znamená problém s nastavením SSO. V tomto případě projděte kroky znovu, zejména kroky, kde kopírujete a vkládáteControl Hubmetadata do nastavení IdP.


 

Chcete-li zobrazit přihlašovací údaje SSO přímo, můžete také kliknout na tlačítko Kopírovat adresu URL do schránky z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášení pomocí SSO. Tento krok zastaví falešné pozitiva kvůli přístupovému tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se doControl Hubkartu prohlížeče.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte SSO a klepněte na tlačítko Další.
  • Pokud byl test neúspěšný, vyberte možnost Neúspěšný test. Vypněte SSO a klepněte na tlačítko Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Použijte postupy v Synchronizaci uživatelů Okta do řídicího centra Cisco Webex, pokud chcete provádět poskytování uživatelů z Okta do Webex cloudu.

Použijte postupy v Synchronizaci uživatelů Azure Active Directory do řídicího centra Cisco Webex, pokud chcete provádět poskytování uživatelů z Azure AD do cloudu Webex.

Pro zakázání e-mailů, které jsou odesílány do nových, můžete postupovat podle pokynů v části Potlačit automatické e-mailyAplikace Webexuživatelů ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání sdělení uživatelům ve vaší organizaci.

Řešení problémů s integrací Azure

Při provádění testu SAML se ujistěte, že používáte Mozilla Firefox a instalujete SAML tracer z https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Zkontrolujte tvrzení, které pochází z Azure, abyste se ujistili, že má správný formát nameid a má atribut uid, který odpovídá uživateli vAplikace Webex.