Jednotné přihlašování a Control Hub

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Webex a poskytovatelem identity (IdP).

Profily

Webex App podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče webex app podporuje následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NameID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Webex App podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

SingleLogout

Webex App podporuje jediný profil odhlášení. V aplikaci Webexse uživatel může odhlásit z aplikace, která používá protokol SAML pro ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Řídicího centra s PingFederate pro jednotné přihlašování


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikace Webex , schůzekWebex a dalších služebspravovaných v Centru řízení ). Pokud je web Webex integrován do centra Control Hub , web Webex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Webex tímto způsobem a nejsou spravovány v ovládacím centru , musíte provéstsamostatnou integraci, abyste povolili SSO pro schůzky Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

Než začnete

Pro SSO a Control Hubmusí idp odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comčásti Přejděte do > Nastavení organizace pro správu a potom přejděte na Ověřování a potom přepněte nastavení Jednotné přihlašování a spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Společnost Cisco podepsalasmlouvu sama – tuto volbu doporučujeme. Podepište certifikát, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale budete muset často aktualizovat metadata (pokud dodavatel IdP nepodporuje kotvy důvěryhodnosti).

 

Kotvy důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci k idp.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex jeidb-meta-<org-ID>-SP.xml.

Konfigurace nového připojení poskytovatele služeb

1

Přejděte na portál pro správu PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

V části SP CONNECTIONS vyberte Vytvořit nový.

3

Vyberte tlačítko Nepoužívat šablonu pro toto přepínač připojení a vyberte Další .

4

Vyberte Profily SSO prohlížečea klikněte na Další .

5

Vyberte kartu Importovat metadata.

6

Kliknutím na Zvolit soubor vyhledejte soubor metadat stažený z Ovládacího centra a potomklikněte na Další .

7

Zkontrolujte informace na kartě Obecné informace a klikněte na Hotovo.

Konfigurace jednotného přihlašování prohlížeče

1

Na portálu pro správu PingFederate vyberte Konfigurovat jednotné služby prohlížeče.

2

Zaškrtněte políčko SSO iniciované sp a klikněte na Další .

3

Vyberte Konfigurovat vytváření kontrolního výrazu.

  1. Změňte formát NameID na Přechodný a zaškrtněte políčko Zahrnout atributy kromě přechodného identifikátoru.

  2. Rozšiřte atributy smlouvy přidáním atributů pošty a uid ve formátu urrn:oasis:names:tc:SAML:2.0:attrname-format-basica potom klikněte na Další .

  3. Vyberte Mapovat novou instanci adaptéru a vyberte mechanismus ověřování. V rozevíracím výběru ADAPTER INSTANCE vyberte jeden z dříve nakonfigurovaných mechanismů ověřování a klikněte na Další .

  4. Pomocí jednoho mapovacího přepínače vyberte načíst další atributy z více úložišť dat a klikněte na Další.

  5. Vyberte Přidat zdroj atributů a přidejte řadič domény služby Active Directory pro doménu a klikněte na Další.

  6. Zadejte základní DN a vyberte třídu kořenových objektů <Show All="" Attributes="">. Do textového pole Filtr zadejte filtr LDAP a klikněte na Další.

    Položka musí obsahovat atribut, který očekáváte, že uživatel poskytne. Musí také obsahovat hodnotu, na kterou mapuje ve zdrojích LDAP. Pokud je například služba Active Directory nastavena na filtrování atributu přihlášení systému Windows, zadejte sAMAccountName=${Username}.

  7. Vyberte zdroj a hodnotu a namapujte atributy kontrolního výrazu pomocí atributů poskytnutých úložištěm dat služby AD. (Nezadávejte nic pro kritéria vystavování.)

  8. Ověřte, zda má konfigurace assertionu mapování identit nastavené na přechodné , kontrakty atributů nastavené na uida instance adaptéru nastavené na1.


     

    Atribut uid by se měl mapovat na e-mailovou adresu uživatele.

4

Vyberte Konfigurovat nastavení protokolu.

  1. U povolených vazeb SAML zaškrtněte pouze políčka POST a Přesměrování.

  2. V části Zásady podpisu vyberte Vždy podepsat saml assertion.

    Nastavení protokolu by mělo vypadat následovně.

  3. Vyberte Konfigurovat přihlašovací údaje pro konfiguraci certifikátu pro kontrolní výraz.

  4. Vyberte certifikát, který již byl vytvořen pro kontrolní výrazy SAML.

5

Na obrazovce Aktivace a Souhrn nastavte stav připojení na Aktivní.

Export metadat z PingFederate

1

Na hlavní obrazovce klikněte na Spravovat všechny sp.

2

Najděte právě vytvořené připojení a klikněte na Exportovat metadata.

3

Vyberte certifikát, který chcete použít k podepsání exportovaného souboru z rozbalovacího rozevíracího výběru.

4

Klikněte na Exportovat.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idpu a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Centra řízení .

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku s výběrem certifikátu v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v aplikaci https://admin.webex.comSpráva > Nastavení organizace , přejděte na Ověřování a zvolte Akce > Importmetadat.
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné pouze v případě, že váš IdP použil veřejnou certifikační autoritu k podepsání metadat.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To zahrnuje, pokud metadata nejsou podepsána, podepsána nebo podepsána soukromou certifikační autoritou.

3

Vyberte Otestovat nastavení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. Tento krok zastaví falešně pozitivní výsledky z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Úspěšný test. Zapněte SSO a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Neúspěšný test. Vypněte SSO a klikněte na Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.