Jednotné přihlašování (SSO) umožňuje uživatelům bezpečně se přihlásit ke službě Webex ověřením u společného poskytovatele identity vaší organizace. Poskytovatel identity (IdP) bezpečně ukládá a spravuje digitální identity vašich uživatelů a poskytuje uživatelům Webex ověřovací službu.

Proč možná potřebujete více poskytovatelů identity

Mnoho velkých společností prochází fúzemi a akvizicemi a tyto společnosti mají jen zřídkakdy stejné IT infrastruktury a poskytovatele identity. Vládní instituce mají pod sebou různé organizace a agentury. Tyto organizace mají často jednu e-mailovou adresu pro svá IT oddělení a infrastrukturu. Hlavní vzdělávací instituce mají centrální nákupní oddělení, ale různé univerzity a vysoké školy s různými IT organizacemi a odděleními.

Je běžné, že poskytovatelé identity a poskytovatelé služeb (SP) se navzájem sdružují. Poskytovatel identity odpovídá za ověření přihlašovacích údajů vašich uživatelů a poskytovatel služeb důvěřuje ověřování provedené poskytovatelem identity. To uživatelům umožňuje přístup k různým aplikacím a službám SaaS pomocí stejné digitální identity. Pokud však vaše organizace z nějakého důvodu nemůže sdružovat poskytovatele identity, Webex poskytne alternativní řešení na podporu více poskytovatelů identity. Z těchto důvodů vám poskytujeme možnost nakonfigurovat SSO pro více poskytovatelů identity v aplikaci Webex a zjednodušit proces ověřování uživatelů.

Omezení

  • V současné době jako poskytovatelé identity podporujeme pouze SAML, OpenID Connect a Webex Identity.

Mimo rozsah

  • Nakonfigurujte přiřazení skupin.

V této části se dozvíte, jak můžete integrovat své poskytovatele identity (IdP) s vaší organizací Webex. Můžete si vybrat poskytovatele identity, který nejlépe vyhovuje požadavkům vaší organizace.

Pokud hledáte integraci SSO webu Webex Meetings (spravovaného ve správě webu), přečtěte si článek Konfigurace jednotného přihlašování pro správu Webex.

Požadavky

Než začnete

Zajistěte splnění následujících podmínek:

  • Chcete-li nakonfigurovat SSO s více poskytovateli identity v prostředí Control Hub, musíte mít sadu Webex Extended Security Pack.
  • V prostředí Control Hub musíte mít roli správce s úplnými právy.
  • Před nastavením více poskytovatelů identity byste měli naplánovat chování pravidel směrování.
Po konfiguraci počátečního poskytovatele identity se použije výchozí pravidlo směrování. Jako výchozí však můžete nastavit jiného poskytovatele identity. V tomto článku najdete článek Přidání nebo úprava pravidla směrování na kartě Pravidla směrování.
Konfigurovat SAML
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity a spusťte průvodce konfigurací.

3

Vyberte jako svého zprostředkovatele identity uživatele SAML a klikněte na tlačítko Další.

4

Vyberte typ certifikátu:

  • Podepsané společností Cisco – Tuto volbu doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsaný veřejnou certifikační autoritou – Bezpečnější, ale budete muset metadata aktualizovat často (pokud poskytovatel identity nepodporuje klíče typu „trust anchor“).
Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.
5

Klikněte na možnost Stáhnout metadata a poté na možnost Další.

Název souboru metadat aplikace Webex je idb-meta-<org-ID>-SP.xml.

6

Nahrajte soubor metadat poskytovatele identity nebo vyplňte konfigurační formulář.

Při nahrávání souboru metadat existují dva způsoby, jak ověřit metadata od poskytovatele identity zákazníka:

  • Poskytovatel identity zákazníka uvede podpis v metadatech s podpisem veřejné kořenové certifikační autority.
  • Poskytovatel identity zákazníka uvede soukromou certifikační autoritu s vlastním podpisem nebo neuvede podpis pro svá metadata. Tato možnost je méně bezpečná.
V opačném případě zadejte informace o poskytovateli identity do konfiguračního formuláře.

Klepněte na tlačítko Další.

7

(Volitelně) Název atributu SAML pro uživatelské jméno Webex nebo primární e-mailovou adresu můžete změnit z uid na něco dohodnutého s manažerem IdP, jako jsou email, upn atd.

8

(Volitelné) Nakonfigurujte nastavení Just In Time (JIT) a odpověď mapování SAML.

Viz téma Konfigurace aplikace Just In Time (JIT) a mapování SAML na kartě Správa poskytovatelů identity v tomto článku.
9

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověření, může dojít k problému s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li zobrazit prostředí jednotného přihlašování, doporučujeme kliknout na možnost Zkopírovat adresu URL do schránky na této obrazovce a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

10

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a poskytovatele identity a klikněte na tlačítko Aktivovat.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.
Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Můžete nastavit pravidlo směrování. V tomto článku najdete článek Přidání nebo úprava pravidla směrování na kartě Pravidla směrování.

Chcete-li zakázat e-maily odeslané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle pokynů v části Potlačit automatické e-maily . Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Konfigurovat OpenID Connect
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity a spusťte průvodce konfigurací.

3

Vyberte jako svého poskytovatele identity možnost OpenID Connect a klikněte na tlačítko Další.

4

Zadejte informace o svém poskytovateli identity.

  • Jméno – jméno pro identifikaci vašeho poskytovatele identity.
  • ID klienta – Jedinečné ID pro identifikaci vás a vašeho poskytovatele identity.
  • Tajemství klienta – heslo, které znáte vy a váš zprostředkovatel identity.
  • Rozsahy– rozsahy, které mají být přidruženy k vašemu poskytovateli identity.

5

Zvolte, jak přidat koncové body. To lze provést automaticky nebo ručně.

  • Pomocí vyhledávací adresy URL můžete automaticky přidat koncové body.

    • Zadejte adresu URL zjišťování pro svého IdP. Tato adresa URL automaticky vyplní potřebné koncové body pro jednotné odhlášení OIDC (SLO).
    • Zapněte možnost Povolit automatické odhlášení relace , aby byli uživatelé při odhlášení z aplikace Webex odhlášeni z všech připojených aplikací a služeb.

  • Pokud upřednostňujete možnost Ruční přidání všech informací o koncovém bodu, přidejte následující podrobnosti.

    • Vydavatel – Zadejte adresu URL vydavatele uvedenou vaším poskytovatelem identity.
    • Koncový bod autorizace – Zadejte adresu URL koncového bodu autorizace.
    • Koncový bod tokenu – Zadejte adresu URL koncového bodu tokenu.
    • JWKS koncový bod – Zadejte adresu URL JSON Web Key Set (JWKS).
    • Koncový bod informací o uživateli – Zadejte adresu URL koncového bodu informací o uživateli.
    • Pokud je možnost Povolit automatické odhlášení relace zapnutá, musíte zadat adresu URL koncového bodu odhlášení z relace pro povolení jednotného odhlášení (SLO) ve všech připojených aplikacích.
    Další informace naleznete v příručce ke konfiguraci OpenID Connect.

6

(Volitelné) Nakonfigurujte nastavení funkce Just In Time (JIT).

Viz téma Konfigurace aplikace Just In Time (JIT) a mapování SAML na kartě Správa poskytovatelů identity v tomto článku.
7

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověření, může dojít k problému s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li zobrazit prostředí jednotného přihlašování, doporučujeme kliknout na možnost Zkopírovat adresu URL do schránky na této obrazovce a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

8

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a poskytovatele identity a klikněte na tlačítko Aktivovat.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.
Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Můžete nastavit pravidlo směrování. V tomto článku najdete článek Přidání nebo úprava pravidla směrování na kartě Pravidla směrování.

Chcete-li zakázat e-maily odeslané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle pokynů v části Potlačit automatické e-maily . Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Konfigurace identity Webex
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity a spusťte průvodce konfigurací.

3

Vyberte Webex jako svého zprostředkovatele identity a klikněte na tlačítko Další.

4

Zkontrolujte, Přečetl/a jsem a chápu, jak poskytovatel identity Webex funguje , a klikněte na tlačítko Další.

5

Nastavte pravidlo směrování.

V tomto článku najdete článek Přidání nebo úprava pravidla směrování na kartě Pravidla směrování.

Jakmile přidáte pravidlo směrování, váš zprostředkovatel identity se přidá a zobrazí se na kartě Poskytovatel identity .

Co dělat dál

Podle pokynů v části Potlačit automatické e-maily můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Pravidla směrování jsou použitelná při nastavení více než jednoho poskytovatele identity. Pravidla směrování umožňují aplikaci Webex určit, na kterého poskytovatele identity se má odeslat uživatelům, pokud máte nakonfigurováno více poskytovatelů identity.

Při nastavení více než jednoho poskytovatele identity můžete v průvodci konfigurací jednotného přihlašování definovat pravidla směrování. Pokud přeskočíte krok pravidla směrování, centrum Control Hub přidá poskytovatele identity, ale poskytovatele identity neaktivuje. K aktivaci poskytovatele identity je třeba přidat pravidlo směrování.

Přidat nebo upravit pravidla směrování
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Pravidla směrování.

Při konfiguraci prvního poskytovatele identity se pravidlo směrování přidá automaticky a nastaví se jako výchozí pravidlo. Můžete zvolit jiného poskytovatele identity, který chcete později nastavit jako výchozí pravidlo.

4

Klikněte na možnost Přidat nové pravidlo směrování.

5

Zadejte podrobnosti o novém pravidle:

  • Název pravidla – zadejte název pravidla směrování.
  • Vybrat typ směrování– Vyberte doménu nebo skupinu.
  • Pokud se jedná o vaše domény/skupiny – zadejte domény/skupiny v rámci organizace.
  • Pak použít tohoto poskytovatele identity – Vyberte poskytovatele identity.

6

Klikněte na Přidat.

7

Vyberte nové pravidlo směrování a klikněte na tlačítko Aktivovat.

Pokud máte pravidla směrování pro více poskytovatelů identity, můžete změnit pořadí priority pravidla směrování.
Deaktivovat nebo odstranit pravidla směrování
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Pravidla směrování.

4

Vyberte pravidlo směrování.

5

Zvolte, zda chcete pravidlo směrování deaktivovat nebo odstranit .

Doporučujeme, abyste pro poskytovatele identity měli jiné aktivní pravidlo směrování. V opačném případě můžete narazit na problémy s přihlašováním SSO.

Nelze deaktivovat ani odstranit výchozí pravidlo , ale směrovaného poskytovatele identity můžete změnit.
Správa certifikátů poskytovatele identity (IdP)

Než začnete

Čas od času můžete obdržet e-mailové oznámení nebo zobrazit upozornění v Ovládacím centru, že platnost certifikátu IdP vyprší. Vzhledem k tomu, že dodavatelé IdP mají vlastní konkrétní dokumentaci pro obnovení certifikátu, pokrýváme to, co je vyžadováno v Ovládacím centru, spolu s obecnými kroky k načtení aktualizovaných metadat IdP a nahrání do Control Hubu pro obnovení certifikátu.

To platí pouze pro konfiguraci SAML.

1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity, klikněte na nahrát a vyberte možnost Nahrát metadata poskytovatele identity.

Pokud chcete soubor s metadaty stáhnout, klikněte na Stáhnout možnost Stáhnout metadata Idp.
5

Přejděte do rozhraní pro správu IdP a načtěte nový soubor metadat.

6

Vraťte se do prostředí Control Hub a přetáhněte soubor metadat IdP do oblasti pro nahrávání nebo klikněte na možnost Vybrat soubor a nahrajte metadata.

7

Zvolte možnost Méně zabezpečené (podepsáno vlastním podpisem) nebo Více zabezpečené (podepsáno veřejnou certifikační autoritou) v závislosti na tom, jak jsou metadata IdP podepsána, a klikněte na tlačítko Uložit.

8

Nakonfigurujte nastavení Just In Time (JIT) a odpověď mapování SAML.

Viz téma Konfigurace aplikace Just In Time (JIT) a mapování SAML na kartě Správa poskytovatelů identity v tomto článku.
9

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověření, může dojít k problému s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li zobrazit prostředí jednotného přihlašování, doporučujeme kliknout na možnost Zkopírovat adresu URL do schránky na této obrazovce a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

10

Klikněte na možnost Uložit.

Správa certifikátů poskytovatele služeb

Než začnete

Při obnovování certifikátu SP se doporučuje aktualizovat všechny poskytovatele identity ve vaší organizaci.

To platí pouze pro konfiguraci SAML.

1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity a klikněte na .

5

Klikněte na možnost Zkontrolovat certifikáty a datum vypršení platnosti.

Tím přejdete do okna Certifikáty poskytovatele služeb .
6

Klikněte na možnost Obnovit certifikát.

7

Vyberte typ IdP ve vaší organizaci:

  • Zprostředkovatel identity podporující více certifikátů
  • Zprostředkovatel identity podporující jeden certifikát
8

Vyberte typ certifikátu pro obnovení:

  • Podepsané společností Cisco – Tuto volbu doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsaný veřejnou certifikační autoritou – Bezpečnější, ale budete muset metadata aktualizovat často (pokud poskytovatel identity nepodporuje klíče typu „trust anchor“).
Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.
9

Kliknutím na možnost Stáhnout metadata nebo Stáhnout certifikát stáhnete kopii aktualizovaného souboru metadat nebo certifikátu z cloudu Webex.

10

Přejděte do rozhraní pro správu poskytovatele identity a nahrajte nový soubor metadat Webex nebo certifikát.

Tento krok může být proveden prostřednictvím karty prohlížeče, protokolu RDP (Vzdálené plochy) nebo prostřednictvím konkrétní podpory poskytovatele cloudu v závislosti na nastavení IdP a na tom, zda jste za tento krok zodpovědní vy nebo samostatný správce IdP.

Další informace najdete v našich průvodcích pro integraci jednotného přihlašování nebo se obraťte na správce poskytovatele identity s žádostí o podporu. Pokud používáte službu Active Directory Federation Services (AD FS), můžete zjistit, jak aktualizovat metadata Webex ve službě AD FS.

11

Vraťte se do rozhraní Control Hub a klikněte na tlačítko Další.

12

Vyberte možnost Všichni poskytovatelé identity byli úspěšně aktualizováni a klikněte na tlačítko Další.

Tím se nahraje soubor metadat SP nebo certifikát všem poskytovatelům identity ve vaší organizaci.

13

Klikněte na tlačítko Dokončit obnovení.

Vyzkoušet nastavení SSO

Než začnete

1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity a klikněte na Nabídka Další .

5

Vyberte Testovat poskytovatele identity.

6

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Pokud se zobrazí chyba ověření, může dojít k problému s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li zobrazit prostředí jednotného přihlašování, doporučujeme kliknout na možnost Zkopírovat adresu URL do schránky na této obrazovce a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

7

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a poskytovatele identity a klikněte na tlačítko Uložit.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.
Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Konfigurovat mapování Just In Time (JIT) a SAML

Než začnete

Ujistěte se, že jsou splněny následující předpoklady:

  • Jednotné přihlašování je už nakonfigurované.

  • Domény již byly ověřeny.

  • Domény jsou deklarovány a zapnuty. Tato funkce zajišťuje, aby uživatelé z vaší domény byli vytvořeni a aktualizováni jednou při každém ověření u vašeho poskytovatele identity.

  • Pokud je povolena funkce DirSync nebo Azure AD, vytvoření nebo aktualizace jit SAML nebude fungovat.

  • Je povolena možnost "Blokovat aktualizaci profilu uživatele". Mapování aktualizací SAML je povoleno, protože tato konfigurace řídí schopnost uživatele upravovat atributy. Metody vytváření a aktualizace řízené správcem jsou stále podporovány.

Při nastavování SAML JIT se službou Azure AD nebo poskytovatelem identity, pokud e-mail není trvalým identifikátorem, doporučujeme použít externalId atribut propojení k namapování na jedinečný identifikátor. Pokud zjistíme, že e-mail neodpovídá atributu propojení, bude uživatel vyzván k ověření své identity nebo vytvoření nového uživatele se správnou e-mailovou adresou.

Nově vytvoření uživatelé automaticky nezískají přiřazené licence, pokud organizace nemá nastavenou šablonu automatické licence.

1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity a klikněte na Nabídka Další .

5

Vyberte Upravit mapování SAML.

6

Nakonfigurujte nastavení funkce Just-in-Time (JIT).

  • Vytvořit nebo aktivovat uživatele: pokud není nalezen žádný aktivní uživatel, vytvoří ho identita Webex a aktualizuje atributy poté, co se uživatel ověří u poskytovatele identity.
  • Aktualizujte uživatele pomocí atributů SAML: Pokud je nalezen uživatel s e-mailovou adresou, webex identity aktualizuje uživatele atributy mapovanými v kontrolním výrazu SAML.
Ověřte, že se uživatelé mohou přihlásit pomocí jiné, neidentifikovatelné e-mailové adresy.

7

Nakonfigurujte atributy požadované mapováním SAML.

Tabulka 1. Požadované atributy

Název atributu identity Webex

Název atributu SAML

Popis atributu

Uživatelské jméno / Primární e-mailová adresa

Příklad: uid

Namapujte atribut UID na e-mail, upn nebo edupersonprincipalname zřízeného uživatele.

8

Nakonfigurujte atributy propojení.

Toto by mělo být pro uživatele jedinečné. Používá se k vyhledání uživatele, aby služba Webex mohla aktualizovat všechny atributy profilu, včetně e-mailu uživatele.
Tabulka 2. Atributy propojení

Název atributu identity Webex

Název atributu SAML

Popis atributu

externalId

Příklad: user.objectid

K identifikaci tohoto uživatele z jiných individuálních profilů. To je nezbytné při mapování mezi adresáři nebo změně atributů jiných profilu.

počet zaměstnanců

Příklad: user.employeeid

Číslo zaměstnance uživatele nebo identifikační číslo v jeho HR systému. Povšimněte si, že to není pro externalid, protože můžete znovu použít nebo recyklovat employeenumber pro jiné uživatele.

Atribut rozšíření 1

Příklad: user.extensionattribute1

Namapujte tyto vlastní atributy na rozšířené atributy ve službě Active Directory, Azure nebo ve vašem adresáři pro sledovací kódy.

Atribut rozšíření 2

Příklad: user.extensionattribute2

Atribut rozšíření 3

Příklad: user.extensionattribute3

Atribut rozšíření 4

Příklad: uživatel.extensionlattribute4

Atribut rozšíření 5

Příklad: user.extensionattribute5

9

Nakonfigurujte atributy profilu.

Tabulka 3. Atributy profilu

Název atributu identity Webex

Název atributu SAML

Popis atributu

externalId

Příklad: user.objectid

K identifikaci tohoto uživatele z jiných individuálních profilů. To je nezbytné při mapování mezi adresáři nebo změně atributů jiných profilu.

počet zaměstnanců

Příklad: user.employeeid

Číslo zaměstnance tohoto uživatele nebo identifikační číslo v rámci jeho HR systému. Všimněte si, že to není pro "externalid", protože můžete znovu použít nebo recyklovat "číslo zaměstnance" pro ostatní uživatele.

preferovanýjazyk

Příklad: user.preferredjazyk

Upřednostňovaný jazyk uživatele.

dějiště

Příklad: uživatel.locale

Primární místo výkonu práce uživatele.

časové pásmo

Příklad: user.timezone

Primární časové pásmo uživatele.

zobrazovanéJméno

Příklad: user.displayname

Zobrazované jméno uživatele ve službě Webex.

name.givenName

Příklad: user.givenname

Křestní jméno uživatele.

name.familyName

Příklad: user.příjmení

Příjmení uživatele.

addresses.streetAddress

Příklad: user.streetaddress

Adresa ulice jejich primárního pracoviště.

adresy.stav

Příklad: uživatel.stav

Stav jejich primárního pracovního místa.

adresy.oblast

Příklad: uživatel.region

Oblast jejich primárního pracoviště.

addresses.postalCode

Příklad: user.psč

PSČ jejich primárního pracoviště.

adresy.země

Příklad: uživatel.země

Země jejich primárního pracoviště.

phoneNumbers.work

Příklad: telefonní číslo do práce

Pracovní telefonní číslo jejich primárního pracoviště. Používejte pouze mezinárodní formát E.164 (maximálně 15 číslic).

phoneNumbers.extension

Příklad: číslo mobilního telefonu

Pracovní linka jejich primárního pracoviště. Používejte pouze mezinárodní formát E.164 (maximálně 15 číslic).

zájmeno

Příklad: user.zájmeno

Zájmena uživatele. Jedná se o volitelný atribut a uživatel nebo správce jej může zobrazit ve svém profilu.

název

Příklad: user.jobtitle

Název pracovní pozice uživatele.

oddělení

Příklad: user.department

Pracovní oddělení nebo tým uživatele.

zájmeno

Příklad: user.zájmeno

Toto je zájmeno uživatele. Viditelnost tohoto atributu je řízena správcem a uživatelem

správce

Příklad: správce

Manažer uživatele nebo jeho vedoucí týmu.

costcentrum

Příklad: nákladové středisko

Toto je příjmení uživatele známé také jako příjmení nebo příjmení

email.alternate1

Příklad: user.mailnickname

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate2

Příklad: user.primaryauthoritativemail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate3

Příklad: user.alternativeauthoritativemail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate4

Příklad: uživatel.othermail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate5

Příklad: uživatel.othermail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.
10

Nakonfigurujte atributy linek.

Namapujte tyto atributy na rozšířené atributy ve službě Active Directory, Azure nebo ve vašem adresáři pro měřicí kódy.
Tabulka 4. Atributy rozšíření

Název atributu identity Webex

Název atributu SAML

Atribut rozšíření 1

Příklad: user.extensionattribute1

Atribut rozšíření 2

Příklad: user.extensionattribute2

Atribut rozšíření 3

Příklad: user.extensionattribute3

Atribut rozšíření 4

Příklad: user.extensionattribute4

Atribut rozšíření 5

Příklad: user.extensionattribute5

Atribut rozšíření 6

Příklad: user.extensionattribute6

Atribut rozšíření 7

Příklad: user.extensionattribute7

Atribut rozšíření 8

Příklad: user.extensionattribute8

Atribut rozšíření 9

Příklad: user.extensionattribute9

Atribut rozšíření 10

Příklad: user.extensionattribute10

11

Nakonfigurujte atributy skupiny.

  1. Vytvořte skupinu v centru Control Hub a poznamenejte si ID skupiny Webex.
  2. Přejděte do svého adresáře uživatelů nebo poskytovatele identity a nastavte atribut pro uživatele, kteří budou přiřazeni k ID skupiny Webex.
  3. Aktualizujte konfiguraci svého poskytovatele identity, aby zahrnula deklaraci, která nese tento název atributu společně s ID skupiny Webex (např. c65f7d85-b691-42b8-a20b-12345xxxx). Externí ID můžete také použít ke správě změn názvů skupin nebo pro budoucí scénáře integrace. Například synchronizace s Azure AD nebo implementace synchronizace skupiny SCIM.
  4. Zadejte přesný název atributu, který se odešle ve výrazu SAML s ID skupiny. Používá se k přidání uživatele do skupiny.
  5. Pokud používáte skupinu ze svého adresáře k odesílání členů ve výrazu SAML, zadejte přesný název externího ID skupinového objektu.

Pokud je uživatel A přiřazen k groupID 1234 a uživatel B přiřazen k groupID 4567, jsou přiřazeni do samostatných skupin. Tento scénář značí, že jeden atribut umožňuje uživatelům přidružit se k více ID skupiny. I když je to méně časté, je to možné a lze to považovat za aditivní změnu. Pokud se například uživatel A zpočátku přihlásí pomocí kódu groupID 1234, stane se členem příslušné skupiny. Pokud se uživatel A později přihlásí pomocí kódu groupID 4567, přidá se také do této druhé skupiny.

Zřizování SAML JIT nepodporuje odebírání uživatelů ze skupin ani žádné odstraňování uživatelů.

Tabulka 5. Atributy skupiny

Název atributu identity Webex

Název atributu SAML

Popis atributu

ID skupiny

Příklad: ID skupiny

Mapování atributů skupiny od poskytovatele IdP na atributy skupiny identit Webex za účelem namapování daného uživatele na skupinu pro licencování nebo službu nastavení.

ID skupiny

Příklad: ID skupiny

Mapování atributů skupiny od poskytovatele IdP na atributy skupiny identit Webex za účelem namapování daného uživatele na skupinu pro licencování nebo službu nastavení.

Seznam atributů kontrolního výrazu SAML pro schůzky Webex naleznete v tématu https://help.webex.com/article/WBX67566.

Odstranit svého poskytovatele identity (IdP)

Než začnete

Doporučujeme, abyste před odstraněním poskytovatele identity nejprve deaktivovali nebo odstranili pravidla směrování poskytovatele identity.
1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity a klikněte na Nabídka Další.

5

Vyberte Odstranit.

1

Přihlaste se k Centru řízení.

2

Přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

3

Přejděte na kartu Poskytovatel identity .

4

Klikněte na možnost Deaktivovat SSO.

Potvrďte deaktivaci jednotného přihlašování.

Po potvrzení bude jednotné přihlašování deaktivováno pro všechny poskytovatele identity v organizaci.

Před vypršením platnosti certifikátů obdržíte v Ovládacím centru výstrahy, ale můžete také proaktivně nastavit pravidla upozornění. Tato pravidla vás předem inzují, že platnost certifikátů SP nebo IdP vyprší. Můžeme vám je poslat e-mailem, mezerou v aplikaci Webexnebo obojím.

Bez ohledu na nakonfigurovaný kanál doručení se všechny výstrahy vždy zobrazí v Ovládacím centru. Další informace najdete v centru upozornění v Centru ovládacích prvku.

1

Přihlaste se k Centru řízení.

2

Přejděte do Centra výstrah.

3

Zvolte Spravovat a pak Všechna pravidla .

4

V seznamu Pravidel vyberte některá z pravidel SSO, která chcete vytvořit:

  • Platnost certifikátu IDP SSO
  • Vypršení platnosti certifikátu SP SSO
5

V části Kanál doručení zaškrtněte políčko e-mail, prostor Webex neboobojí.

Pokud zvolíte E-mail, zadejte e-mailovou adresu, která by měla oznámení obdržet.

Pokud zvolíte možnost prostoru Webex, automaticky se přidáte do prostoru uvnitř aplikace Webex a my tam doručíme oznámení.

6

Uložte si změny.

Co dělat dál

Upozornění na vypršení platnosti certifikátu zasíláme jednou za 15 dní, počínaje 60 dny před vypršením platnosti. (Můžete očekávat výstrahy ke dni 60, 45, 30 a 15.) Výstrahy končí po obnovení certifikátu.

Pokud narazíte na problémy s přihlášením SSO, můžete použít možnost vlastního obnovení SSO a získat přístup do organizace Webex spravované v centru Control Hub. Možnost vlastního obnovení umožňuje aktualizovat nebo zakázat SSO v prostředí Control Hub.