Single sign-on og Control Hub

Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.

Security Assertion Markup Language (SAML 2.0) Federation-protokollen bruges til at levere SSO-bekræftelse mellem Webex Cloud og din identitetsudbyder (IdP).

Profiler

Webex-appen understøtter kun webbrowserens SSO profil. I webbrowseren til SSO, understøtter Webex-appen følgende bindinger:

  • SP-initieret POST -> POST-binding

  • SP-initieret OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Webex-appen understøtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadata, som du indlæser fra din IdP, konfigureres den første post til brug i Webex.

Integrer Control Hub med Microsoft Azure

Webex understøtter kun én IdP for hver godkendelsesanmodning. Godkendelsesprocesforløbet er som følger: Bruger > Webex-godkendelse > IdP 1 > Webex-godkendelse > Bruger. Det betyder, at selvom forskellige brugere kan godkende ved hjælp af forskellige IdP'er, kan en bruger ikke skifte mellem flere IdP'er under en enkelt godkendelsesproces. Eventuelle yderligere trin, såsom MFA, skal integreres med den enkelte IdP, der bruges til den pågældende anmodning.

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteret. Andre formater som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer også til SSO-integration, men er uden for rammerne af vores dokumentation.

Opsæt denne integration for brugere i din Webex-organisation ( herunder Webex-app, Webex Meetingsog andre tjenester, der administreres i Control Hub). Hvis dit Webex-websted er integreret i Control Hub, så overtager Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Webex Meetings på denne måde, og det ikke administreres i Control Hub, skal du udføre en separat integration for at aktivere SSO for Webex Meetings.

Før du begynder

For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

  • I Azure Active Directory understøttes klargøring kun i manuel tilstand. Dette dokument omhandler kun single sign-on (SSO) integration.
  • Eksisterende Webex-kunder med tidligere Federation-konfigurationer kan støde på problemer med standard Entra ID Webex-skabelonen på grund af ændringer i SAML-attributter. Vi anbefaler at oprette en brugerdefineret Entra ID-føderation for at løse dette ved hjælp af dine tidligere SAML-indstillinger. Sørg for at udføre Control Hub SSO-testen for at sikre kompatibilitet og adressere eventuelle uoverensstemmelser.

Download Webex-metadata til dit lokale system

1

Log ind på Control Hub.

2

Gå til Ledelse > Sikkerhed > Godkendelse.

3

Gå til fanen Identitetsudbyder og klik på Aktiver SSO.

4

Vælg en IdP.

5

Vælg certifikattypen for din organisation:

  • Selvsigneret af Cisco– Vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Signeret af en offentlig certifikatmyndighed— Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

Tillidsankre er offentlige nøgler, der fungerer som en myndighed til at bekræfte en digital underskrifts certifikat. Få yderligere oplysninger i din IdP-dokumentation.

6

Download metadatafilen.

Webex-metadatafilnavnet er idb-meta-<org-ID>-SP.xml.

Konfigurer SSO-indstillinger i Azure

Før du begynder

1

Log ind på Azure-portalen på med https://portal.azure.com dine administratorlegitimationsoplysninger.

2

Hvis du ikke kan se ikonet Azure Active Directory , skal du klikke på Flere tjenester.

3

Gå til Azure Active Directory for din organisation.

4

Gå til Virksomhedsapplikationer, og klik derefter på Tilføj.

5

Klik på Tilføj en applikation fra galleriet.

6

Skriv følgende i søgefeltet Cisco Webex.

7

I resultatruden skal du Cisco Webex, og klik derefter på Opret for at tilføje applikationen.

8

For at sikre, at den Webex-applikation, du har tilføjet til single sign-on, ikke vises i brugerportalen, skal du åbne den nye applikation. Under Administrer skal du klikke Egenskaber og indstille Synlig for brugere? til Nej.

Vi understøtter ikke, at Webex-appen bliver synlig for brugerne.

9

Konfigurer enkelt-log ind:

  1. Under Administrer skal du klikke på Enkelt login og derefter vælge SAML under Vælg en enkelt login-metode.

  2. Klik på Upload metadatafil, og vælg derefter den metadatafil, du downloadede fra Control Hub.

    Importer metadata-fil i Azure

    Nogle felter udfyldes automatisk for dig.

  3. Under Administrer skal du klikke på Opsæt enkelt tilmelding med SAML og klikke på ikonet Rediger for at åbne Grundlæggende SAML-konfiguration.

  4. Kopier værdien for Svar URL-adresse , og indsæt den i Log på URL-adresse, og gem dine ændringer.

10

Gå til Administrer > Brugere og grupper, og vælg derefter de relevante brugere og grupper, som du vil give adgang til Webex-appen.

11

På siden Opsætning af enkelt login med SAML , i afsnittet SAML signeringscertifikat, skal du klikke på Download for at downloade Federation Metadata XML og gemme den på din computer.

Importer IdP-metadata, og single sign-on efter en test

Når du har eksporteret Webex-metadata , konfigureret din IdP og downloade IdP-metadata til dit lokale system, er du klar til at importere dem i din Webex-organisation fra Control Hub.

Før du begynder

Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.

1

Vælg én:

  • Gå tilbage til Control Hub – siden for valg af certifikat i din browser, og klik derefter på Næste.
  • Genåbn Control Hub, hvis den ikke længere er åben i din browserfane. Fra kundevisningen i Control Hub skal du gå til Administration > Sikkerhed > Godkendelse, vælg IdP'en, og vælg derefter Handlinger > Importer metadata.
2

På siden Importer IdP-metadata skal du enten trække og slippe IdP-metadatafilen over på siden eller bruge filbrowseren til at finde og uploade metadatafilen. Klik på Næste.

Du bør bruge valgmuligheden Mere sikker , hvis du kan. Dette er kun muligt, hvis din IdP brugte en offentlig CA til at underskrive dens metadata.

I alle andre tilfælde skal du bruge valgmuligheden Mindre sikker. Dette omfatter, hvis metadataene ikke er signeret, selv underskrevet eller underskrevet af en privat CA.

Okta underskriver ikke metadata, så du skal vælge Mindre sikker for en Okta SSO integration.

3

Vælg Test SSO-opsætning, og når en ny browserfane åbnes, skal du godkende med IdP'en ved at logge ind.

Hvis du får en godkendelsesfejl, kan der være et problem med legitimationsoplysningerne. Kontrollér brugernavnet og adgangskoden, og prøv igen.

En Webex App-fejl betyder som regel et problem med SSO opsætning. I dette tilfælde skal du gennemgå trinnene igen, særligt de trin, hvor du kopierer og indsætter Control Hub-metadataene i IdP-opsætningen.

Hvis du vil se SSO-loginprocessen direkte, kan du også klikke på Kopiér URL-adresse til udklipsholder fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette trin stopper falske positiver, som følge af et adgangstoken, som kan være i en eksisterende session, hvor du er logget ind.

4

Vend tilbage til Control Hub-browserfanen.

  • Hvis testen blev udført, skal du vælge Vellykket test. Tænd for SSO, og klik på Næste.
  • Hvis testen mislykkedes, skal du vælge Mislykket test. Slå disse indstillinger SSO , og klik på Næste.

Konfigurationen SSO træder ikke i kraft i din organisation, medmindre du først vælger valgknap og aktiverer SSO.

Hvad er næste trin?

Brug fremgangsmåderne i Synkroniser Okta-brugere i Cisco Webex Control Hub , hvis du vil udføre brugerklargøring fra Okta i Webex-skyen.

Brug fremgangsmåderne i Synkroniser Azure Active Directory brugere i Cisco Webex Control Hub , hvis du vil udføre brugerklargøring af Azure AD i Webex-skyen.

Du kan følge proceduren i Undertryk automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex-appbrugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.

Fejlfinding af Azure-integration

Når du udfører SAML-testen, skal du sørge for at bruge Mozilla Firefox, og du installerer SAML-sporings programmet fra https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Kontrollér udsagnet, der kommer fra Azure, for at sikre, at det har det korrekte nameid-format og har et attribut-uid, der matcher en bruger i Webex App.