Jednotné přihlašování a Control Hub

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Webex a poskytovatelem identity (IdP).

Profily

Webex App podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče webex app podporuje následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NameID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Webex App podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

Integrace Control Hubu s Microsoft Azure


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikace Webex , schůzekWebex a dalších služebspravovaných v Centru řízení ). Pokud je web Webex integrován do centra Control Hub , web Webex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Webex tímto způsobem a nejsou spravovány v ovládacím centru , musíte provéstsamostatnou integraci, abyste povolili SSO pro schůzky Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Než začnete

Pro SSO a Control Hubmusí idp odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:


V Azure Active Directory je zřizování podporováno jenom v ručním režimu. Tento dokument se vztahuje pouze na integraci jednotného přihlašování (SSO).

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comčásti Přejděte do > Nastavení organizace pro správu a potom přejděte na Ověřování a potom přepněte nastavení Jednotné přihlašování a spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Společnost Cisco podepsalasmlouvu sama – tuto volbu doporučujeme. Podepište certifikát, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale budete muset často aktualizovat metadata (pokud dodavatel IdP nepodporuje kotvy důvěryhodnosti).

 

Kotvy důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci k idp.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex jeidb-meta-<org-ID>-SP.xml.

Konfigurace nastavení aplikací jednotného jednotného systému zabezpečení v Azure

Než začnete

  • Informace o tom, co je Azure Active Directory, najdete v tématu Co je Azure Active Directory, abyste porozuměli možnostem idp v Azure Active Directory.

  • Konfigurace Azure Active Directory.

  • Vytvořte místní uživatele nebo synchronizujte s místním systémem active directory.

  • Otevřete soubor metadat Webexu, který jste stáhli z Ovládacího centra.

  • Na webu dokumentace společnosti Microsoft je související kurz.

1

Přihlaste se k Azure Portal pomocí https://portal.azure.com přihlašovacích údajů správce.

2

Přejděte do Azure Active Directory pro vaši organizaci.

3

Přejděte na Podnikové aplikace a klikněte na Přidat .

4

Z galerie klikněte na Přidat aplikaci.

5

Do vyhledávacího pole zadejte Cisco Webex.

6

V podokně výsledků vyberte Cisco Webexa kliknutím na Přidat přidejte aplikaci.

Zobrazí se zpráva, že aplikace byla úspěšně přidána.

7

Chcete-li zajistit, aby se aplikace Webex, kterou jste přidali pro jednotné přihlašování, nezobrazuje na uživatelském portálu, otevřete novou aplikaci, přejděte na Vlastnostia nastavte Visible pro uživatele?

8

Konfigurace jednotného přihlašování:

  1. Po vytvoření smlouvy s aplikací přejděte na kartu Jednotné přihlašování a potom v části Vybratmetodu jednotného přihlašovánízvolte SAML.

  2. Na stránce Nastavit jednotné přihlašování pomocí SAML otevřete základníkonfiguraci SAML kliknutím na ikonu Upravit.

  3. Klikněte na Nahrát soubor metadat a vyberte soubor metadat, který jste stáhli z Ovládacího centra.

    Některá pole jsou automaticky vyplněna za vás.

  4. Zkopírujte hodnotu adresy URL odpovědi a vložte ji do adresy URL Přihlášení auložte změny.

9

Přejděte na Spravovat > uživatelů a skupin a vyberte příslušné uživatele askupiny, kterým chcete udělit přístup k aplikaci Webex.

10

Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na Stáhnout a stáhněte xml metadat federace a uložte jej do počítače.

11

Na stránce Vlastnosti se ujistěte, že je viditelné pro uživatele?

Nepodporujeme zviditelnění aplikace Webex uživatelům.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idpu a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Centra řízení .

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku s výběrem certifikátu v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v aplikaci https://admin.webex.comSpráva > Nastavení organizace , přejděte na Ověřování a zvolte Akce > Importmetadat.
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné pouze v případě, že váš IdP použil veřejnou certifikační autoritu k podepsání metadat.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To zahrnuje, pokud metadata nejsou podepsána, podepsána nebo podepsána soukromou certifikační autoritou.

3

Vyberte Otestovat nastavení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. Tento krok zastaví falešně pozitivní výsledky z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Úspěšný test. Zapněte SSO a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Neúspěšný test. Vypněte SSO a klikněte na Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Poradce při potížích s integrací Azure

Při provádění saml testu se ujistěte, že používáte Mozilla Firefox a nainstalujete sledovací zařízení SAML z https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Zkontrolujte kontrolní výraz, který pochází z Azure, abyste se ujistili, že má správný formát nameid a má atribut uid, který odpovídá uživateli ve WebexAppu .