Single Sign-on og Webex Control Hub

Single Sign-on (SSO) er en sessions-eller bruger godkendelsesproces, der tillader en bruger at give legitimationsoplysninger adgang til en eller flere applikationer. Processen godkender brugere for alle de applikationer, de får rettigheder til. Den eliminerer yderligere meddelelser, når brugere skifter applikationer under en bestemt session.

(SAML 2,0)-Federation Protocol (Security Assertion Markup Language) bruges til at give SSO godkendelse mellem Cisco Webex Cloud og din identitetsudbyder (IdP).

Profil

Cisco Webex Teams understøtter kun Web-browseren SSO profilen. I webbrowser SSO-profilen understøtter Cisco Webex Teams følgende bindinger:

  • SP startede efter > POST binding

  • SP igangsatte omdirigering-> POST binding

NameID-format

SAML 2,0-protokollen understøtter flere NameID-formater til kommunikation om en specifik bruger. Cisco Webex Teams understøtter følgende NameID-formater.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: forbigående

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: ikke angivet

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

I de metadata, du indlæser fra din IdP, er den første indtastning konfigureret til brug i Cisco Webex.

SingleLogout

Cisco Webex Teams understøtter single log ud-profilen. I Cisco Webex Teams-appen kan en bruger logge ud af applikationen, der bruger SAML single log-protokollen til at afslutte sessionen og bekræfte, at du logger ud med din IdP. Sørg for, at din IdP er konfigureret til SingleLogout.

Integrer F5 stor IP med Cisco Webex Control Hub til Single Sign-on


Konfigurations guiderne viser et specifikt eksempel på SSO integration, men giver ikke udtømmende konfiguration for alle muligheder. For eksempel er integrations trinene for nameid-format urn: Oasis: Names: TC: Saml: 2.0: nameid-format: forbigående er dokumenteret. Andre formater såsom urn: Oasis: Names: TC: Saml: 1.1: nameid-format: ikke angivet eller urn: Oasis: Names: TC: Saml: 1.1: nameid-format: emailAddress vil fungere til SSO integration, men er uden for vores dokumentations område.

Opsæt denne integration for brugere i din Cisco Webex organisation (herunder Cisco Webex Teams, Cisco Webex Meetings og andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex-websted er integreret i Cisco Webex Control Hub, arver Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Cisco Webex Meetings på denne måde, og det ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO for Cisco Webex Meetings. (Se Konfigurer Single Sign-on Webex for yderligere oplysninger i SSO-integration i webstedsadministration.)

Inden du begynder

For SSO og Cisco Webex Control Hub skal IdPs overholde SAML 2,0-specifikationen. Derudover skal IdPs konfigureres på følgende måde:

Download Cisco Webex metadata til dit lokale system

1

Fra kunde visningen i https://admin.webex.comskal du gå til indstillingerog derefter rulle til godkendelse.

2

Klik på Modificer, klik på Integrer en tredjeparts identitetsudbyder. (Avanceret), og klik derefter på næste.

3

Download metadata-filen.

Cisco Webex metadata-filnavn er IDB-meta-<org-ID>-Sp. XML.

Konfigurer den eksterne Tjenesteudbyder og Identitetsudbyder

1

Fra din store IP F5-administrationsgrænseflade skal du gå til Access Policy > Saml > Big-IP som IDP.

2

Fra eksterne SP-konnektorerskal du vælge Opret > fra metadata.

3

Indtast et sigende navn for navnet på serviceudbyderen, såsom <yourorganizationname>. ciscowebex.com.

4

Under sikkerhedsindstillingerskal du markere følgende afkrydsningsfelter:

  • Svar skal underskrives
  • Erklæring skal underskrives
5

Vend tilbage til Access Policy > Saml > Big-IP som IDP, og opret derefter en ny identitetsudbyder (IDP)-tjeneste.

6

Indtast et sigende navn for IdP-tjenesteydelsens navn, såsom CI.

7

For IdP-enheds-ID skal du bruge FQDNen af den store IP-server med noget foran, f. eks. https://bigip0a.uc8sevtlab13.com/CI.

8

Under indstillings indstillingerskal du vælge midlertidigt id for erklæringsemne type.

9

For ansvars emne værdienreturneres værdien af e-mailen for brugeren % {session. ad. den sidste. attr. mail}.

10

Returner attributterne e-mail og UID med værdien % {session. ad. den sidste. attr. mail}.

11

Under sikkerhedsindstillingerskal du vælge et certifikat for at signere bekræftelsen.

12

Gem dine ændringer, og bind derefter serviceudbyderen og identitetsudbyderen, som du oprettede.

Download F5 af den store-IP-metadata

1

Vælg EKSPORTER IDP-tjenesteydelse.

2

Sørg for, at metadata værdien er Ja.

3

Download metadata-filen til din desktop eller en placering, som du nemt kan finde.

Tilføj en adgangspolitik

1

Gå til Access Policy > Access-profiler > Saml , og Opret en Saml-ressource til den IDP, du oprettede.

2

Gå til din adgangs profil, og Rediger den adgangspolitik, du bruger til Webex Messenger-NØGLECENTRE.

3

Tilføj et nyt element på fanen Log ind med siden navn på Log ud , og Forlad standardværdierne.

4

Tilføj et nyt element i fanen bekræftelse med navnet ad auth , og Angiv din Active Directory som serveren.

5

I den udførte forgrening, Tilføj annonce forespørgsel fra fanen bekræftelse

6

Gå til gren regler , og Skift den til ad-forespørgsel.

7

Tilføj Avanceret ressourcetildeling fra fanen tildeling i en vellykket forgrening af ad-forespørgsel .

8

Klik på Tilføj/slet , og Tilføj to ressourcer , SAML med alle de Saml-ressourcer og den Webtop , du oprettede.

9

Vælg Tillad for Vælg afslutning .

Adgangsreglen bør se ud som dette skærmbillede:

Tilknyt adgangs profilen til den virtuelle server

Du skal knytte adgangs profilen til den virtuelle server, du har oprettet.

1

Gå til virtuelle servere med lokal trafik > .

2

Åbn adgangs profiler for at bekræfte, at ingen virtuel server er tilknyttet profilen.

3

Vælg Avanceret ressourcetildeling.

4

Vælg Tilføj/slet for at tilføje den nye Saml-ressource.

5

Luk Access Policy-design vinduerne, og Anvend den nye adgangspolitik.

Importer IdP-metadata og aktiver enkeltlogon efter en test

Når du har eksporteret Cisco Webex-metadata, skal du konfigurere din IdP og downloade IdP-metadata til dit lokale system, du er klar til at importere det til din Cisco Webex organisation fra Control hub.

Inden du begynder

Test ikke SSO-integration fra identitets udbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.

1

Vælg én:

  • Gå tilbage til siden Cisco Webex Control Hub – Eksporter Directory-metadata i din browser, og klik på næste.
  • Hvis Control hub ikke længere er åben i browser-fanen, skal https://admin.webex.comdu gå til indstillinger i kunde visningen i, rulle til godkendelse, vælge Integrer en tredjeparts identitetsudbyder (avanceret)og derefter klikke på næste på siden betroet metadatafil (som du allerede har gjort det før).
2

På siden Importer IdP-metadata skal du enten trække og slippe IdP metadata-fil på siden eller bruge valgmuligheden browser for at finde og overføre metadatafilen. Klik på Næste.

Hvis metadataene ikke er underskrevet, er signeret med et selvsigneret certifikat eller er signeret med en privat virksomheds certifikatudsteder (CA), anbefaler vi, at du bruger kræver certifikat underskrevet af en certifikat myndighed i metadata (mere sikker). Hvis certifikatet er selvsigneret, skal du vælge valgmuligheden mindre sikker.

3

Vælg test SSO forbindelse, og når en ny browser fane åbner, skal du godkende med IDP ved at logge ind.


 

Hvis du modtager en bekræftelses fejl, kan der være et problem med legitimationsoplysningerne. Kontroller Brugernavn og adgangskode, og prøv igen.

En Webex Teams fejl betyder som regel et problem med opsætningen af SSO. I dette tilfælde gennemgå trinene igen, især trinene, hvor du kopierer og indsætter Control hub-metadata i IdP-opsætningen.

4

Vend tilbage til browser fanen i Control hub.

  • Hvis testen blev gennemført, skal du vælge denne test blev udført. Aktiver valgmuligheden Single Sign-on , og klik på næste.
  • Hvis testen ikke lykkedes, skal du vælge denne test blev ikke udført. Deaktiver valgmuligheden Single Sign-on , og klik på næste.

Næste trin

Du kan følge proceduren i Skjul automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex teams brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af kommunikation til brugere i din organisation.