Jednotné přihlašování a centrum Control Hub

Jednotné přihlašování (SSO) je proces relace nebo ověření uživatele, který umožňuje uživateli zadat pověření pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají přiřazena práva. Eliminuje další výzvy, když uživatelé během konkrétní relace přepnou aplikace.

Protokol SAML 2.0 (Security Assertion Markup Language) se používá k zajištění SSO mezi cloudem Webex a vaším poskytovatel identity (IdP).

Profily

Aplikace Webex podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP spustil vazbu POST -> POST

  • SP inicializoval vazbu PŘESMĚR -> ZPĚT

Formát ID názvu

Protokol SAML 2.0 podporuje několik formátů ID názvu pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty ID názvů.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načítáte od svého poskytovatele identity, je první položka nakonfigurována pro použití ve Webex.

Odhlásit se

Aplikace Webex podporuje profil jednotného odhlášení. V Aplikaci Webex se může uživatel odhlásit z aplikace, která k ukončení relace používá protokol jednotného odhlášení SAML a toto odhlášení potvrdí pomocí nástroje Idp. Ujistěte se, že je Idp nakonfigurován pro Logout.

Integrace prostředí Control Hub se službou Federate


 

Konfigurační příručky ukazují konkrétní příklad integrace SSO, ale neuvádějí vyčerpávající konfiguraci pro všechny možnosti. Jsou zdokumentovány například integrační kroky pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou při integraci SSO fungovat, avšak naše dokumentace je neuvádí.

Nastavte tuto integraci pro uživatele ve své organizaci Webex (včetně aplikace Webex , Webex Meetings a dalších služeb spravovaných v centru Control Hub). Pokud je váš web Webex integrován v centru Control Hub, zdědí web Webex správu uživatelů. Pokud nemáte k Webex Meetings tento přístup a není spravována v centru Control Hub, musíte provést samostatnou integraci a povolit SSO pro Webex Meetings. (Viz Nakonfigurujte jednotné přihlašování pro Webex naleznete další informace o integraci SSO ve správa webu.)

Než začnete

Pro SSO a prostředí Control Hub musí poskytovatelé identity splňovat specifikaci SAML 2.0. Kromě toho musí být poskytovatelé identity nakonfigurováni následujícím způsobem:

Stáhněte si metadata služby Webex do místního systému

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace a přejděte na Ověřování a pak zapněte možnost Jednotné přihlašování nastavením spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro organizaci:

  • Podepsané společností Cisco – Doporučujeme tuto možnost. Certifikát nám nechte podepsat, takže jej stačí obnovovat jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou – Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel poskytovatele identity nepodporuje kotvy důvěry).

 

Kotvy důvěry jsou veřejné klíče, které fungují jako autorizace k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci poskytovatele identity.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex je idb-meta-<org-ID> -SP.xml .

Konfigurovat připojení nového poskytovatele služeb

1

Přejděte na portál Federate Administration ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

V části PŘIPOJENÍ SP vyberte možnost Vytvořit nové.

3

Vyberte přepínač Nepoužívat šablonu pro toto připojení a pak vyberte možnost Další.

4

Vyberte možnost Profily přihlašování SSO prohlížeče a klikněte na tlačítko Další.

5

Vyberte kartu Importovat metadata.

6

Klikněte na možnost Vybrat soubor a naimportujte soubor metadat, který jste stáhli z prostředí Control Hub, a poté klikněte na tlačítko Další.

7

Zkontrolujte informace na kartě Obecné informace a pak klikněte na Hotovo.

Nakonfigurovat jednotné přihlašování v prohlížeči

1

Na portálu správy Federate vyberte možnost Konfigurovat SSO prohlížeče.

2

Zaškrtněte políčko SSO iniciované SP a klikněte na tlačítko Další.

3

Vyberte možnost Konfigurovat vytváření výrazů.

  1. Změňte formát ID na Transient a zaškrtněte políčko Zahrnout kromě identifikátoru Transient také atributy.

  2. Rozšiřte atributy smlouvy přidáním atributů mail a uid ve formátu urn:oasis:names:tc:SAML:2.0:attrname-format-basic a klikněte na tlačítko Další.

  3. Vyberte možnost Mapovat novou instanci adaptéru a vyberte ověřovací mechanismus. V rozevíracím seznamu INSTANCE ADAPTÉRU vyberte jeden z dříve nakonfigurovaných ověřovacích mechanismů a klikněte na tlačítko Další.

  4. Vyberte Načíst další atributy z více úložišť dat pomocí jednoho přepínače mapování a klikněte na tlačítko Další.

  5. Výběrem možnosti Přidat zdroj atributů přidejte řadič domény služby Active Directory pro doménu a klikněte na tlačítko Další.

  6. Zadejte Base DN a vyberte kořenovou třídu objektu <Show All="" Attributes="">. V textovém poli Filtr zadejte filtr LDAP a klikněte na tlačítko Další.

    Položka musí obsahovat atribut, který od uživatele očekáváte. Musí také obsahovat hodnotu, na kterou mapuje ve zdrojích LDAP. Pokud je například ve službě Active Directory nastaveno filtrování v atributu přihlášení systému Windows, zadejte sAMAc Name=${Username}.

  7. Vyberte zdroj a hodnotu pro mapování atributů výrazu s atributy poskytnutými datastorem AD. (Do kritérií pro vydání nezadávejte nic.)

  8. Ověřte, že má konfigurace Assertion nastaveno Mapping Identity na Transient, Attribute Contract na uid a Instance adaptéru nastaveny na 1.


     

    Atribut uid by měl namapovat na e-mailovou adresu uživatele.

4

Vyberte možnost Konfigurovat nastavení protokolu.

  1. V případě povolených vazeb SAML zaškrtněte pouze zaškrtávací políčka POST a Přesměrovat .

  2. Pro zásady podpisu vyberte možnost Always sign the SAML Assertion.

    Nastavení protokolu by mělo vypadat následovně.

  3. Výběrem možnosti Konfigurovat pověření nakonfigurujte certifikát pro výraz.

  4. Vyberte certifikát, který již byl vytvořen pro výrazy SAML.

5

Na obrazovce Aktivace a souhrn nastavte Stav připojení na Aktivní.

Exportovat metadata z Federate

1

Na hlavní obrazovce klikněte na možnost Spravovat vše SP.

2

Najděte připojení, které jste právě vytvořili, a klikněte na Exportovat metadata.

3

Z rozevíracího seznamu vyberte certifikát, který chcete použít pro podepsání exportovaného souboru.

4

Klikněte Exportovat .

Po testu importujte metadata poskytovatele identity a povolte jednotné přihlašování

Po exportování metadat služby Webex , konfiguraci poskytovatele identity a stažení metadat poskytovatele identity do místního systému jste připraveni importovat je do organizace Webex z centra Control Hub.

Než začnete

Netestovat integraci SSO z rozhraní poskytovatel identity (IdP). Podporujeme pouze toky iniciované poskytovatelem služeb, takže pro tuto integraci je nutné použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se v prohlížeči na stránku Control Hub – výběr certifikátu a klikněte na Další .
  • Pokud již není Control Hub otevřená na kartě prohlížeče, z zobrazení zákazníka vhttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a pak zvolte možnost Akce > Importovat metadata .
2

Na stránce Import metadata poskytovatele identity přetáhněte soubor metadat IdP na stránku nebo použijte možnost prohlížeče k vyhledání a nahrání souboru metadat. Klepněte na tlačítko Další.

Měli byste použít Bezpečnější Pokud můžete, možnost . To je možné pouze v případě, že váš poskytovatel identity použil k podepsání metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít Méně bezpečné možnost. To platí i pro případy, kdy metadata nejsou podepsána, podepsána svým držitelem nebo soukromou certifikační autoritou.


 

Okta metadata nepodepisuje, takže si musíte vybrat Méně bezpečné pro integraci Okta SSO .

3

Vyberte možnost Testovat nastavení SSO a když se otevře nová karta prohlížeče, přihlaste se u poskytovatele identity (IdP).


 

Pokud se zobrazí chyba ověření, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO . V takovém případě si tyto kroky projděte znovu, zejména ty, kdy zkopírujete a vložíte metadata Control Hub do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy kvůli přístupovému tokenu, který se může nacházet ve stávající relaci od vás, když se přihlašujete.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Test byl úspěšný. Zapněte SSO a klikněte Další .
  • Pokud byl test neúspěšný, vyberte Test byl úspěšný. Vypněte SSO a klikněte Další .

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete SSO.

Co dělat dál

Použijte postupy v Synchronizujte uživatele Okta se službou Cisco Webex Control Hub pokud chcete provést zřizování uživatelů z řešení Okta do cloudu Webex .

Použijte postupy v Synchronizujte uživatele Azure Active Directory do Cisco Webex Control Hub pokud chcete provést zřizování uživatelů mimo Azure AD do cloudu Webex .

Můžete použít postup v Potlačit automatické e-maily zakázání e-mailů odesílaných novým uživatelům aplikace Webex ve vaší organizaci. Tento dokument také obsahuje osvědčené postupy pro rozesílání komunikace uživatelům v organizaci.