Single sign-on og Control Hub

Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.

Security Assertion Markup Language (SAML 2.0) Federation-protokollen bruges til at levere SSO-bekræftelse mellem Webex Cloud og din identitetsudbyder (IdP).

Profiler

Webex-appen understøtter kun webbrowserens SSO profil. I webbrowseren til SSO, understøtter Webex-appen følgende bindinger:

  • SP-initieret POST -> POST-binding

  • SP-initieret OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Webex-appen understøtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadata, som du indlæser fra din IdP, konfigureres den første post til brug i Webex.

Integrer Control Hub med Okta

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. Integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient er f.eks. dokumenteret. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil fungere for SSO-integration, men er uden for rammerne af vores dokumentation.

Opsæt denne integration for brugere i din Webex-organisation ( herunder Webex-app, Webex Meetingsog andre tjenester, der administreres i Control Hub). Hvis dit Webex-websted er integreret i Control Hub, så overtager Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Webex Meetings på denne måde, og det ikke administreres i Control Hub, skal du udføre en separat integration for at aktivere SSO for Webex Meetings. (Se Configure Single Sign-On for Webex (konfigurer single sign-on til Webex) for at få flere oplysninger om SSO-integration i webstedsadministration.)

Før du begynder

  • For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

  • Webex understøtter kun flows, der startes af tjenesteudbyder (SP). Dette betyder, at brugere skal starte deres sessioner fra Webex-webstedet. Dette sikrer, at godkendelse dirigeres korrekt gennem Webex-platformen.

Download Webex-metadata til dit lokale system

1

I kundevisningen i https://admin.webex.comskal du gå til Administration > Organisationsindstillinger og derefter rulle ned til Godkendelse og derefter aktivere enkelt login-indstillingen for at starte opsætningsguiden.

2

Vælg certifikattypen for din organisation:

  • Selvsigneret af Cisco – vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Underskrevet af en offentlig certifikatmyndighed – Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

Tillidsankre er offentlige nøgler, der fungerer som en myndighed til at bekræfte en digital underskrifts certifikat. Få yderligere oplysninger i din IdP-dokumentation.

3

Download metadatafilen.

Navnet på Webex-metadata-filen er idb-meta-<org-ID>-SP.xml.

Konfigurer Okta til Webex-tjenesteydelser

Når du konfigurerer Cisco Webex -applikationen i Okta-administrationsportalen, skal du konfigurere standardikonet for applikationen til at forblive skjult. For at gøre dette skal du gå til Appindstillinger > Applikationssynlighed og markere Vis ikke applikationsikonet for brugere og Vis ikke applikationsikonet i Okta-mobilappen.

1

Log ind på Okta-lejeren (example.okta.com, hvor example dit virksomheds- eller organisationsnavn er) som administrator, gå til Applikationer, og klik derefter på Tilføj applikation.

2

Søg efter Cisco Webex , og føj applikationen til din lejer.

3

Klik på Næste , og klik derefter på SAML 2.0.

4

Åbn metadatafilen, du downloadede fra Control Hub, i din browser. Kopier URL-adresserne for entityID 'et (øverst i filen) og assertionConsumerService-placeringen (i bunden af filen).

Eksempel på fremhævet entityID i Control hub metadata-fil

Eksempel på fremhævet assertionConsumerService placering i Control hub metadata-fil

5

fanen Cisco WebEx i Okta skal du rulle til Avancerede indstillingerog derefter indsætte objekt-id og angivelse forbrugerservice værdier, som du kopierede fra Control hub-metadatafilen og derefter gemme ændringer.

6

Klik på Log ind , og download derefter Okta-metadatafilen. Du importerer denne fil tilbage til din Control Hub-forekomst.

For at give brugere adgang til deres specifikke Webex-websted kan du oprette en brugerdefineret applikation i Okta. Opret et weblink, der leder brugere til deres unikke Webex-websteds URL-adresse. Sørg for at justere indstillingerne for programsynlighed i Okta, så dette brugerdefinerede programikon er synligt for brugere.
7

Klik på opgaver, Vælg alle brugere og alle relevante grupper, som du vil knytte til apps og tjenester, der administreres i Control hub, klik på Tildel, og klik derefter på udført.

Du kan tildele en bruger eller en gruppe. Spring ikke dette trin over. ellers vil din Control hub og Okta-integration ikke virke.

Importer IdP-metadata, og single sign-on efter en test

Når du har eksporteret Webex-metadata , konfigureret din IdP og downloade IdP-metadata til dit lokale system, er du klar til at importere dem i din Webex-organisation fra Control Hub.

Før du begynder

Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.

1

Vælg én:

  • Vend tilbage til siden Control Hub – valg af certifikat i din browser, og klik derefter på Næste.
  • Hvis Control Hub ikke længere er åben i browserfanen, skal du fra kundevisningen i https://admin.webex.com gå til Administration > Organisationsindstillinger, rulle ned til Godkendelse og derefter vælge Handlinger > Importer metadata.
2

På siden Import IdP Metadata (importer IdP-metadata) skal du enten trække og slippe IdP-metadatafilen ind på siden eller bruge filbrowseren til at finde og overføre metadatafilen. Klik på Næste.

Du bør bruge valgmuligheden Mere sikker , hvis du kan. Dette er kun muligt, hvis din IdP brugte en offentlig CA til at underskrive dens metadata.

I alle andre tilfælde skal du bruge valgmuligheden Mindre sikker. Dette omfatter, hvis metadataene ikke er signeret, selv underskrevet eller underskrevet af en privat CA.

Okta underskriver ikke metadata, så du skal vælge Mindre sikker for en Okta SSO integration.

3

Vælg Test SSO-opsætning, og når en ny browserfane åbnes, skal du godkende med IdP'en ved at logge ind.

Hvis du får en godkendelsesfejl, kan der være et problem med legitimationsoplysningerne. Kontrollér brugernavnet og adgangskoden, og prøv igen.

En Webex App-fejl betyder som regel et problem med SSO opsætning. I dette tilfælde skal du gennemgå trinnene igen, særligt de trin, hvor du kopierer og indsætter Control Hub-metadataene i IdP-opsætningen.

Hvis du vil se SSO-loginprocessen direkte, kan du også klikke på Kopiér URL-adresse til udklipsholder fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette trin stopper falske positiver, som følge af et adgangstoken, som kan være i en eksisterende session, hvor du er logget ind.

4

Vend tilbage til Control Hub-browserfanen.

  • Hvis testen blev udført, skal du vælge Vellykket test. Tænd for SSO, og klik på Næste.
  • Hvis testen mislykkedes, skal du vælge Mislykket test. Slå disse indstillinger SSO , og klik på Næste.

Konfigurationen SSO træder ikke i kraft i din organisation, medmindre du først vælger valgknap og aktiverer SSO.

Hvad er næste trin?

Brug fremgangsmåderne i Synkroniser Okta-brugere i Cisco Webex Control Hub , hvis du vil udføre brugerklargøring fra Okta i Webex-skyen.

Brug fremgangsmåderne i Synkroniser Azure Active Directory brugere i Cisco Webex Control Hub , hvis du vil udføre brugerklargøring af Azure AD i Webex-skyen.

Du kan følge proceduren i Undertryk automatiserede e-mails for at deaktivere e-mails, der sendes til nye brugere af Webex-appen i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.