Jednotné přihlašování a Centrum řízení

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli zadat přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Federační protokol SAML 2,0 (Security Assertion Markup Language) se používá k zajištění ověřování jednotného přihlašování mezi cloudem Webex a vaším zprostředkovatelem identity (IdP).

Profily

Aplikace Webex podporuje pouze profil jednotného přihlašování webového prohlížeče. V profilu jednotného přihlašování webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP inicioval vazbu POST -> POST

  • SP inicioval vazbu REDIRECT -> POST

Formát NameID

Protokol SAML 2,0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idP, je první položka nakonfigurována pro použití ve Webexu.

SingleLogout

Aplikace Webex podporuje jeden profil odhlášení. V aplikaciWebex se uživatel může odhlásit z aplikace, která používá protokol jednotného odhlášení SAML k ukončení relace a potvrzení, že se odhlásí pomocí svého IdP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Control Hub s PingFederate

Průvodci konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například jsou zdokumentovány kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budou fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikaceWebex, schůzekWebex a dalších služeb spravovaných v Centruřízení). Pokud je váš web Webex integrován do Centrařízení, web Webex zdědí správu uživatelů. Pokud nemůžete přistupovat ke schůzkám Webex tímto způsobem a není spravováno v Centruřízení, musíte provést samostatnou integraci, abyste povolili jednotné přihlašování pro schůzkyWebex.

Než začnete

Pro SSO a prostředí Control Hub musí poskytovatelé identity splňovat specifikaci SAML 2.0. Kromě toho musí být poskytovatelé identity nakonfigurováni následujícím způsobem:

Stažení metadat Webexu do místního systému

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity a klikněte na Aktivovat jednotné přihlašování.

4

Vyberte poskytovatele identity.

5

Zvolte typ certifikátu pro vaši organizaci:

  • S vlastním podpisem od Cisco– Tuto možnost doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou— Bezpečnější, ale budete muset často aktualizovat metadata (pokud váš dodavatel IdP nepodporuje důvěryhodné kotvy).

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

6

Stáhněte soubor metadat.

Název souboru metadat Webexu je idb-meta-<org-ID>-SP.xml.

Konfigurace nového připojení poskytovatele služeb

1

Přejděte na administrační portál PingFederate (https://:9999/pingfederate/app).

2

V části SP CONNECTIONS vyberte Vytvořit nový .

3

Vyberte tlačítko Nepoužívat šablonu pro toto přepínač připojení a vyberte Další .

4

Vyberte Profily SSO prohlížečea klikněte na Další .

5

Vyberte kartu Importovat metadata.

6

Klikněte na Vybrat soubor pro vyhledání a import souboru metadat, který jste si stáhli z Control Hub, a poté klikněte na Další.

7

Zkontrolujte informace na kartě Obecné informace a klikněte na Hotovo.

Konfigurace jednotného přihlašování prohlížeče

1

Na portálu pro správu PingFederate vyberte Konfigurovat jednotné služby prohlížeče.

2

Zaškrtněte políčko SSO iniciované sp a klikněte na Další .

3

Vyberte Konfigurovat vytváření kontrolního výrazu.

  1. Změňte formát NameID na Přechodný a zaškrtněte políčko Zahrnout atributy kromě přechodného identifikátoru.

  2. Rozšiřte atributy smlouvy přidáním atributů mail a uid ve formátu urn:oasis:names:tc:SAML:2.0:attrname-format-basica poté klikněte na Další.

  3. Vyberte Mapovat novou instanci adaptéru a vyberte mechanismus ověřování. V rozevíracím výběru ADAPTER INSTANCE vyberte jeden z dříve nakonfigurovaných mechanismů ověřování a klikněte na Další .

  4. Pomocí jednoho mapovacího přepínače vyberte načíst další atributy z více úložišť dat a klikněte na Další.

  5. Vyberte Přidat zdroj atributů a přidejte řadič domény služby Active Directory pro doménu a klikněte na Další.

  6. Zadejte základní DN a vyberte třídu kořenových objektů <Show All Attributes>. Do textového pole Filtr zadejte filtr LDAP a klikněte na Další.

    Položka musí obsahovat atribut, který očekáváte, že uživatel poskytne. Musí také obsahovat hodnotu, na kterou mapuje ve zdrojích LDAP. Pokud je například služba Active Directory nastavena na filtrování atributu přihlášení systému Windows, zadejte sAMAccountName=${Username}.

  7. Vyberte zdroj a hodnotu a namapujte atributy kontrolního výrazu pomocí atributů poskytnutých úložištěm dat služby AD. (Nezadávejte nic pro kritéria vystavování.)

  8. Ověřte, zda má konfigurace assertionu mapování identit nastavené na přechodné , kontrakty atributů nastavené na uida instance adaptéru nastavené na 1.

    Atribut uid by se měl mapovat na e-mailovou adresu uživatele.

4

Vyberte Konfigurovat nastavení protokolu.

  1. U povolených vazeb SAML zaškrtněte pouze políčka POST a Přesměrování.

  2. V části Zásady podpisu vyberte Vždy podepsat saml assertion.

    Nastavení protokolu by mělo vypadat následovně.

  3. Vyberte Konfigurovat přihlašovací údaje pro konfiguraci certifikátu pro kontrolní výraz.

  4. Vyberte certifikát, který již byl vytvořen pro kontrolní výrazy SAML.

5

Na obrazovce Aktivace a Souhrn nastavte stav připojení na Aktivní .

Export metadat z PingFederate

1

Na hlavní obrazovce klikněte na Spravovat všechny sp.

2

Najděte právě vytvořené připojení a klikněte na Exportovat metadata.

3

Vyberte certifikát, který chcete použít k podepsání exportovaného souboru z rozbalovacího rozevíracího výběru.

4

Klikněte na Exportovat.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu , konfiguraci IdP a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Control Hub.

Než začnete

Netestujte integraci jednotného přihlašování z rozhraní zprostředkovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test jednotného přihlašování Centra Control Hub .

1

Vyberte si jednu:

  • Vraťte se v prohlížeči na stránku pro výběr certifikátu v Control Hubu a klikněte na tlačítko Další.
  • Pokud již není otevřené na kartě prohlížeče, znovu otevřete Control Hub. V zobrazení zákazníka v Control Hub přejděte na Správa > Zabezpečení > Ověřování, vyberte IdP a poté zvolte Akce > Importovat metadata.
2

Na stránce Importovat metadata IdP buď přetáhněte soubor s metadaty IdP na stránku, nebo použijte prohlížeč souborů k vyhledání a nahrání souboru s metadaty. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější . To je možné jenom v případě, že váš zprostředkovatel identity použil k podepsání svých metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít možnost Méně zabezpečené . To platí i v případě, že metadata nejsou podepsána, podepsána svým držitelem nebo podepsána soukromou certifikační autoritou.

Okta metadata nepodepisuje, takže pro integraci jednotného přihlašování Okta musíte zvolit Méně bezpečné .

3

Vyberte Test nastavení SSOa po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte jednotné přihlašování a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vypněte jednotné přihlašování a klikněte na Další.

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Použijte postupy v tématu Synchronizace uživatelů Okta do řídicího centra Cisco Webex, pokud chcete provádět zřizování uživatelů z Okta do cloudu Webex.

Použijte postupy v Synchronizaci uživatelů Azure Active Directory do řídicího centra Cisco Webex, pokud chcete provádět poskytování uživatelů z Azure AD do cloudu Webex.

Chcete-li zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle pokynů v části Potlačení automatických e-mailů. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.