Single Sign-on og Webex Control Hub

Single Sign-on (SSO) er en sessions-eller bruger godkendelsesproces, der tillader en bruger at give legitimationsoplysninger adgang til en eller flere applikationer. Processen godkender brugere for alle de applikationer, de får rettigheder til. Den eliminerer yderligere meddelelser, når brugere skifter applikationer under en bestemt session.

(SAML 2,0)-Federation Protocol (Security Assertion Markup Language) bruges til at give SSO godkendelse mellem Cisco Webex Cloud og din identitetsudbyder (IdP).

Profil

Cisco Webex Teams understøtter kun Web-browseren SSO profilen. I webbrowser SSO-profilen understøtter Cisco Webex Teams følgende bindinger:

  • SP startede efter > POST binding

  • SP igangsatte omdirigering-> POST binding

NameID-format

SAML 2,0-protokollen understøtter flere NameID-formater til kommunikation om en specifik bruger. Cisco Webex Teams understøtter følgende NameID-formater.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: forbigående

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: ikke angivet

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

I de metadata, du indlæser fra din IdP, er den første indtastning konfigureret til brug i Cisco Webex.

Integrer Cisco Webex Control Hub med Okta til Single Sign-on


Konfigurations guiderne viser et specifikt eksempel på SSO integration, men giver ikke udtømmende konfiguration for alle muligheder. For eksempel er integrations trinene for nameid-format urn: Oasis: Names: TC: Saml: 2.0: nameid-format: forbigående er dokumenteret. Andre formater såsom urn: Oasis: Names: TC: Saml: 1.1: nameid-format: ikke angivet eller urn: Oasis: Names: TC: Saml: 1.1: nameid-format: emailAddress vil fungere til SSO integration, men er uden for vores dokumentations område.

Opsæt denne integration for brugere i din Cisco Webex organisation (herunder Cisco Webex Teams, Cisco Webex Meetings og andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex-websted er integreret i Cisco Webex Control Hub, arver Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Cisco Webex Meetings på denne måde, og det ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO for Cisco Webex Meetings. (Se Konfigurer Single Sign-on Webex for yderligere oplysninger i SSO-integration i webstedsadministration.)

Inden du begynder

  • For SSO og Cisco Webex Control Hub skal IdPs overholde SAML 2,0-specifikationen. Derudover skal IdPs konfigureres på følgende måde:
    • Indstil NameID-format attributten til urn: Oasis: Names: TC: SAML: 2.0: NameID-format:forbigående

    • Konfigurer et krav på IdP for at inkludere UID- attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Cisco Katalogforbindelse eller bruger attributten, der passer til den, der er valgt i Cisco Webex identitetstjeneste. (Denne attribut kan være E-mail-adresser eller bruger-kontonavn, f. eks.) Se de brugertilpassede attributoplysninger i https://www.Cisco.com/go/hybrid-Services-Directory for vejledning.

    • Brug en understøttet browser: Vi anbefaler den seneste version af Mozilla Firefox eller Google Chrome.

    • Deaktiver alle pop op-blokeringer i din browser.

Download Cisco Webex metadata til dit lokale system

1

Fra kunde visningen i https://admin.webex.comskal du gå til indstillingerog derefter rulle til godkendelse.

2

Klik på Modificer, klik på Integrer en tredjeparts identitetsudbyder. (Avanceret), og klik derefter på næste.

3

Download metadata-filen.

Cisco Webex metadata-filnavn er IDB-meta-<org-ID>-Sp. XML.

Konfigurer Okta til Cisco Webex-tjenesteydelser

1

Log ind på Okta-lejeren (example.Okta.com, hvor eksempel er din virksomheds-eller organisationsnavn) som administrator, gå til applikationer, og klik derefter på Tilføj applikation.

2

Søg efter "Cisco Webex" , og Tilføj applikationen til din lejer.

3

Klik på næste , og klik derefter på Saml 2,0.

4

Åbn den metadata-fil, du har downloadet fra Cisco Webex Control Hub i din browser. Kopier URL-adresserne for entityID (øverst i filen) og assertionConsumerService-placeringen (i bunden af filen).

Figur 1. Eksempel på fremhævet entityID i Control hub metadata-fil
Figur 2. Eksempel på fremhævet assertionConsumerService placering i Control hub metadata-fil
5

fanen Cisco Webex i Okta skal du rulle til Avancerede indstillingerog derefter indsætte objekt-id og angivelse forbrugerservice værdier, som du kopierede fra Control hub-metadatafilen og derefter gemme ændringer.

6

Klik på Log på , og download derefter Okta metadata-filen fra du vil importere denne fil tilbage til din Control hub-forekomst.

7

Klik på opgaver, Vælg alle brugere og alle relevante grupper, som du vil knytte til apps og tjenester, der administreres i Control hub, klik på Tildel, og klik derefter på udført.

Du kan tildele en bruger eller en gruppe. Spring ikke dette trin over. ellers vil din Control hub og Okta-integration ikke virke.

Importer IdP-metadata og aktiver enkeltlogon efter en test

Når du har eksporteret Cisco Webex-metadata, skal du konfigurere din IdP og downloade IdP-metadata til dit lokale system, du er klar til at importere det til din Cisco Webex organisation fra Control hub.

Inden du begynder

Test ikke SSO-integration fra identitets udbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.

1

Vælg én:

  • Gå tilbage til siden Cisco Webex Control Hub – Eksporter Directory-metadata i din browser, og klik på næste.
  • Hvis Control hub ikke længere er åben i browser-fanen, skal https://admin.webex.comdu gå til indstillinger i kunde visningen i, rulle til godkendelse, vælge Integrer en tredjeparts identitetsudbyder (avanceret)og derefter klikke på næste på siden betroet metadatafil (som du allerede har gjort det før).
2

På siden Importer IdP-metadata skal du enten trække og slippe IdP metadata-fil på siden eller bruge valgmuligheden browser for at finde og overføre metadatafilen. Klik på Næste.

Hvis metadataene ikke er underskrevet, er signeret med et selvsigneret certifikat eller er signeret med en privat virksomheds certifikatudsteder (CA), anbefaler vi, at du bruger kræver certifikat underskrevet af en certifikat myndighed i metadata (mere sikker). Hvis certifikatet er selvsigneret, skal du vælge valgmuligheden mindre sikker.

3

Vælg test SSO forbindelse, og når en ny browser fane åbner, skal du godkende med IdP ved at logge ind.


 

Hvis du modtager en bekræftelses fejl, kan der være et problem med legitimationsoplysningerne. Kontroller Brugernavn og adgangskode, og prøv igen.

En Webex Teams fejl betyder som regel et problem med opsætningen af SSO. I dette tilfælde gennemgå trinene igen, især trinene, hvor du kopierer og indsætter Control hub-metadata i IdP-opsætningen.

4

Vend tilbage til browser fanen i Control hub.

  • Hvis testen blev gennemført, skal du vælge denne test blev udført. Aktiver valgmuligheden Single Sign-on , og klik på næste.
  • Hvis testen ikke lykkedes, skal du vælge denne test blev ikke udført. Deaktiver valgmuligheden Single Sign-on , og klik på næste.

Næste trin

Du kan følge proceduren i Skjul automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex teams brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af kommunikation til brugere i din organisation.