Jednotné přihlašování a Centrum řízení

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli zadat přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Federační protokol SAML 2,0 (Security Assertion Markup Language) se používá k zajištění ověřování jednotného přihlašování mezi cloudem Webex a vaším zprostředkovatelem identity (IdP).

Profily

Aplikace Webex podporuje pouze profil jednotného přihlašování webového prohlížeče. V profilu jednotného přihlašování webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP inicioval vazbu POST -> POST

  • SP inicioval vazbu REDIRECT -> POST

Formát NameID

Protokol SAML 2,0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty NameID.

  • urn:oáza:names:tc:SAML:2.0:nameid-format:transient

  • urn:oáza:names:tc:SAML:1.1:nameid-format:nespecifikováno

  • urn:oáza:names:tc:SAML:1.1:nameid-format:emailAdresa

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

Integrace Control Hubu s Microsoft Azure

Webex podporuje pouze jednoho poskytovatele identity pro každou žádost o ověření. Postup ověřování je následující: Uživatel > Ověření Webex > IdP 1 > Ověření Webex > Uživatel. To znamená, že i když se různí uživatelé mohou ověřovat pomocí různých poskytovatelů identity, uživatel nemůže během jednoho procesu ověřování přepínat mezi více poskytovateli identity. Veškeré další kroky, jako je vícefaktorové ověření, musí být integrovány s jediným poskytovatelem identity používaným pro daný konkrétní požadavek.

Průvodci konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou fungovat pro integraci jednotného přihlašování , ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikaceWebex, schůzekWebex a dalších služeb spravovaných v Centruřízení). Pokud je váš web Webex integrován do Centrařízení, web Webex zdědí správu uživatelů. Pokud nemůžete přistupovat ke schůzkám Webex tímto způsobem a není spravováno v Centruřízení, musíte provést samostatnou integraci, abyste povolili jednotné přihlašování pro schůzkyWebex. (Viz Konfigurace jednotného přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve Správě webu.)

Než začnete

Pro SSO a prostředí Control Hub musí poskytovatelé identity splňovat specifikaci SAML 2.0. Kromě toho musí být poskytovatelé identity nakonfigurováni následujícím způsobem:

  • V Azure Active Directory je poskytování služeb podporováno pouze v manuálním režimu. Tento dokument se vztahuje pouze na integraci jediného přihlášení (SSO).
  • Stávající zákazníci služby Webex s předchozími konfiguracemi federace se mohou setkat se standardní šablonou Webex Entra ID kvůli změnám v atributech SAML. Doporučujeme nastavit vlastní federaci Entra ID, aby bylo možné to vyřešit pomocí předchozího nastavení SAML. Ujistěte se, že jste provedli test jednotného přihlašování v prostředí Control Hub, abyste umožnili kompatibilitu a vyřešili případné nesrovnalosti.

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.com, přejděte na Správa > Nastaveníorganizace a pak přejděte na Ověřovánía pak přepněte na nastavení jednotného přihlašování a spusťte průvodce instalací.

2

Zvolte typ certifikátu pro vaši organizaci:

  • Podepsané společností Cisco – Tuto volbu doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsaný veřejnou certifikační autoritou – Bezpečnější, ale budete muset metadata aktualizovat často (pokud poskytovatel identity nepodporuje klíče typu „trust anchor“).

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

3

Stáhněte soubor metadat.

Název souboru metadat Webex je idb-meta--SP.xml.

Konfigurace nastavení aplikace SSO v Azure

Než začnete

1

Přihlaste se do portálu Azure na adrese https://portal.azure.com pomocí svých přihlašovacích údajů správce.

2

Pokud nevidíte ikonu Azure Active Directory, klikněte na položku Další služby.

3

Přejděte do Azure Active Directory pro vaši organizaci.

4

Přejděte do nabídky Podnikové aplikace a klikněte na tlačítko Přidat.

5

Klikněte na tlačítko Přidat aplikaci z galerie.

6

Do vyhledávacího pole napište Cisco Webex.

7

Na panelu výsledků vyberte položku Cisco Webex a pro přidání aplikace klikněte na tlačítko Vytvořit.

8

Chcete-li se ujistit, že se aplikace Webex, kterou jste přidali pro jednorázové přihlášení, nezobrazuje na uživatelském portálu, otevřete novou aplikaci. V části Spravovat klikněte na položku Vlastnosti a nastavte možnost Viditelné pro uživatele? na možnost Ne.

Nepodporujeme zviditelnění aplikace Webex pro uživatele.

9

Nastavit jednotné přihlášení:

  1. V části Spravovat klikněte na položku Jedno přihlášení a v části Vybrat metodu jednoho přihlášení vyberte možnost SAML.

  2. Klikněte na možnost Nahrát soubor metadat a vyberte soubor metadat, který jste stáhli z centra Control Hub.

    Importovat soubor metadat v Azure

    Některá pole jsou automaticky vyplněna za vás.

  3. V části Spravovat klikněte na možnost Nastavit jednotné přihlášení pomocí SAML, kliknutím na ikonu Upravit otevřete položku Základní konfigurace SAML.

  4. Zkopírujte hodnotu adresy URL odpovědi, vložte ji do adresy URL přihlášení a uložte změny.

10

Přejděte do nabídky Správa > Uživatelé a skupiny a poté vyberte příslušné uživatele a skupiny, kterým chcete udělit přístup k aplikaci Webex.

11

Na stránce Set up Single Sign-On with SAML v části SAML Signing Certificate (Podpisový certifikát SAML) klepněte na tlačítko Download (Stáhnout) a stáhněte si metadata Federace XML a uložte je do svého počítače.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu , konfiguraci IdP a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Control Hub.

Než začnete

Netestujte integraci jednotného přihlašování z rozhraní zprostředkovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test jednotného přihlašování Centra Control Hub .

1

Vyberte si jednu:

  • Vraťte se do prostředí Control Hub – stránka pro výběr certifikátu v prohlížeči a klikněte na tlačítko Další.
  • Pokud již není centrum Control Hub na kartě prohlížeče otevřeno, přejděte ze zobrazení zákazníka v https://admin.webex.comdo nabídky Správa > Nastavení organizace, přejděte na volbu Autentizace a pak zvolte možnost Akce > Importovat metadata.
2

Na stránce Importovat metadata IdP přetáhněte soubor metadat IdP na stránku nebo pomocí možnosti prohlížeče souborů vyhledejte a nahrajte soubor metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější . To je možné jenom v případě, že váš zprostředkovatel identity použil k podepsání svých metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít možnost Méně zabezpečené . To platí i v případě, že metadata nejsou podepsána, podepsána svým držitelem nebo podepsána soukromou certifikační autoritou.

Okta metadata nepodepisuje, takže pro integraci jednotného přihlašování Okta musíte zvolit Méně bezpečné .

3

Vyberte možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte jednotné přihlašování a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vypněte jednotné přihlašování a klikněte na Další.

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Použijte postupy v tématu Synchronizace uživatelů Okta do řídicího centra Cisco Webex, pokud chcete provádět zřizování uživatelů z Okta do cloudu Webex.

Použijte postupy v Synchronizaci uživatelů Azure Active Directory do řídicího centra Cisco Webex, pokud chcete provádět poskytování uživatelů z Azure AD do cloudu Webex.

Podle pokynů v části Potlačit automatické e-maily můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Řešení problémů s integrací Azure

Při provádění testu SAML se ujistěte, že používáte Mozilla Firefox a instalujete SAML tracer z https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Zkontrolujte kontrolní výraz, který pochází z Azure, abyste se ujistili, že má správný formát nameid a má atribut uid, který odpovídá uživateli ve WebexAppu .