- Hjem
- /
- Artikel
Du kan konfigurere en SSO-integration (Single Sign-On) mellem Control Hub og en installation, der bruger Shibboleth som identitetsudbyder (IdP).
Single sign-on og Control Hub
Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.
SAML 2.0 (Security Assertion Markup Language) Federation Protocol bruges til at levere SSO -godkendelse mellem Webex skyen og din identitetsudbyder (IdP).
Profil
Webex -appen understøtter kun webbrowserens SSO -profil. I webbrowserens SSO -profil understøtter Webex -appen følgende bindinger:
SP-initieret POST -> POST-binding
SP-initieret OMDIRIGERING -> POST-binding
NameID-format
SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Webex -appen understøtter følgende NameID-formater.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
I de metadata, som du indlæser fra dit IdP, er den første post konfigureret til brug i Webex.
SingleLogout
Webex-appen understøtter den enkelte logout-profil. I Webex-appen kan en bruger logge ud af applikationen, som bruger SAML-enkeltlogout-protokollen til at afslutte sessionen og bekræfte, at denne logger ud med dit P-id. Sørg for, at din IdP er konfigureret til SingleLogout.
Integrer Control Hub med Shibboleth
Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinene for |
Konfigurer denne integration for brugere i din Webex organisation (herunder Webex appen, Webex Meetings og andre tjenester, der administreres i Control Hub). Hvis dit Webex-websted er integreret i Control Hub, arver Webex-websted brugeradministrationen. Hvis du ikke kan få adgang til Webex Meetings på denne måde, og det ikke administreres i Control Hub, skal du foretage en separat integration for at aktivere SSO for Webex Meetings. (Se Configure Single Sign-On for Webex (konfigurer single sign-on til Webex) for at få flere oplysninger om SSO-integration i webstedsadministration.)
Integrationstrinnene henviser til Shibboleth 2.4.5 i CentOS 7 med Tomcat 7 som webserver.
Før du begynder
For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:
Download Webex -metadataene til dit lokale system
1 | Fra kundevisningen ihttps://admin.webex.com , gå til , og rul derefter til Godkendelse , og slå derefter Single sign-on indstilling for at starte opsætningsguiden. | ||
2 | Vælg certifikattypen for din organisation:
| ||
3 | Download metadatafilen. Webex metadatafilnavnet er idb-meta-<org-ID> -SP.xml . |
Konfigurer godkendelse i Shibboleth-filer
Når du har installeret Shibboleth, får du vist konfigurationsfiler med eksempler.
1 | Gå til mappen /opt/shibboleth-idp/conf for at få adgang til eksempelfilerne. |
2 | Beslut, hvilken godkendelsesmetode der skal bruges – for eksempel bindes LDAP til Active Directory. |
3 | Rediger handler.xml-filen på følgende måde: Bemærk ikke
Kommentar
|
4 | Udfyld oplysningerne i din Active Directory for at tillade godkendelse. Angiv konfigurationen til filen login.config.
|
Konfigurer Shibboleth-tjenesteudbyderkomponenter til SAML-angivelse
1 | Føj filen, som du downloadede fra Webex SP, til mappen /opt/shibboleth-idp/metadata. |
2 | Rediger relying-party.xml fil; efter Standard Relying Party-tagget skal du tilføje oplysningerne om SAML-angivelsen for Webex.
For id skal du bruge enheds-id-værdien fra Webex-metadatafilen. Erstat eksemplets id'et med din organisationsenhed-id. |
3 | Inde i metadata:Metadata-udbydertag skal du tilføje placeringen af filen:
SP-metadataene kommer fra en fil i Shibboleth-filsystemet på den placering, hvor du uploadede metadataene for din Webex-organisation. |
Konfigurer angivelsesattributterne
1 | I afsnittet Dataforbindelse skal du angive, hvor attributter om dine brugere skal hentes. Active Directory med et id på MitLDAP.
|
2 | Behold det, der allerede er i konfigurationen for transient-id, i afsnittet Attributdefinition. |
3 | Tilføj den ekstra attribut, som SP forventer, og definer, hvad den kortlægger til i attributkilden. Knyt attributtens e-mail (e-mailadresseattribut i Active Directory) til uid (brugerid i Webex).
|
4 | Definer, hvilken attribut der skal gives til hver SP-aftale i attribute-filter.xml-filen . Angiv uid-attributten til Webex, der knytter til brugerens e-mailadresse. Frigiv attributten uid til SP-aftalen med Webex.
Den regel, du oprettede i attribute-resolver.xml , skal have en politik for frigivelse af mail-attr-attributten til det Entity-id, der matcher Webex. |
5 | Download metadatafilen fra Shibboleth-serveren i /opt/shibboleth-idp/metadata. Filnavnet er idp-metadata.xml. |
Importer IdP enkeltlogon efter en test
Når du har eksporteret Webex metadataene, konfigureret dit IdP og downloadet IdP-metadataene til dit lokale system, er du klar til at importere dem til din Webex organisation fra Control Hub.
Før du begynder
Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun flows, der er initieret af tjenesteudbydere (SP-initierede), så du skal bruge Control Hub SSO-testen til denne integration.
1 | Vælg én:
| ||||
2 | På siden Import IdP Metadata (importer IdP-metadata) skal du enten trække og slippe IdP-metadatafilen ind på siden eller bruge filbrowseren til at finde og overføre metadatafilen. Klik på Næste. Du skal bruge Mere sikker valgmulighed, hvis du kan. Dette er kun muligt, hvis dit IdP brugte et offentligt CA til at signere sine metadata. I alle andre tilfælde skal du bruge Mindre sikker valgmulighed. Dette omfatter, hvis metadataene ikke er signeret, selvsigneret eller signeret af et privat CA.
| ||||
3 | Vælg Test SSO -opsætningen , og når en ny browserfane åbnes, skal du godkende med IdP'et ved at logge ind.
| ||||
4 | Vend tilbage til Control Hub-browserfanen.
|
Næste trin
Brug procedurerne i Synkroniser Okta-brugere til Cisco Webex Control Hub hvis du vil lave brugerklargøring fra Okta til Webex skyen.
Brug procedurerne i Synkroniser Azure Active Directory brugere til Cisco Webex Control Hub hvis du ønsker at lave brugerklargøring fra Azure AD til Webex skyen.
Du kan følge proceduren i Undertryk automatiske e-mails for at deaktivere e-mails, der sendes til nye Webex App-brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.