Single sign-on og Control Hub

Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.

SAML 2.0 (Security Assertion Markup Language) Federation Protocol bruges til at levere SSO -godkendelse mellem Webex skyen og din identitetsudbyder (IdP).

Profil

Webex -appen understøtter kun webbrowserens SSO -profil. I webbrowserens SSO -profil understøtter Webex -appen følgende bindinger:

  • SP-initieret POST -> POST-binding

  • SP-initieret OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Webex -appen understøtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I de metadata, som du indlæser fra dit IdP, er den første post konfigureret til brug i Webex.

SingleLogout

Webex-appen understøtter den enkelte logout-profil. I Webex-appen kan en bruger logge ud af applikationen, som bruger SAML-enkeltlogout-protokollen til at afslutte sessionen og bekræfte, at denne logger ud med dit P-id. Sørg for, at din IdP er konfigureret til SingleLogout.

Integrer Control Hub med PingFederate


 

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenterede. Andre formater som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integration, men er uden for vores dokumentationsrammer.

Konfigurer denne integration for brugere i din Webex organisation (herunder Webex appen, Webex Meetings og andre tjenester, der administreres i Control Hub). Hvis dit Webex-websted er integreret i Control Hub, arver Webex-websted brugeradministrationen. Hvis du ikke kan få adgang til Webex Meetings på denne måde, og det ikke administreres i Control Hub, skal du foretage en separat integration for at aktivere SSO for Webex Meetings. (Se Configure Single Sign-On for Webex (konfigurer single sign-on til Webex) for at få flere oplysninger om SSO-integration i webstedsadministration.)

Før du begynder

For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

Download Webex -metadataene til dit lokale system

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisationsindstillinger , og rul derefter til Godkendelse , og slå derefter Single sign-on indstilling for at starte opsætningsguiden.

2

Vælg certifikattypen for din organisation:

  • Selvsigneret af Cisco – Vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Underskrevet af en offentlig certifikatudstedelse – Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

 

Tillidsankre er offentlige nøgler, der fungerer som en godkendelse til at bekræfte en digital signaturs certifikat. Få flere oplysninger i dokumentationen til IdP.

3

Download metadatafilen.

Webex metadatafilnavnet er idb-meta-<org-ID> -SP.xml .

Konfigurer en ny tjenesteudbyderforbindelse

1

Gå til din PingFederate Administration-portal ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Under SP CONNECTIONS, vælg Opret ny.

3

Vælg valgknappen Brug ikke en skabelon til denne forbindelse , og vælg derefter Næste.

4

Vælg Browser SSO-profiler, klik derefter på Næste.

5

Vælg fanen Importer metadata .

6

Klik på Vælg fil for at gennemse og importere den metadatafil, du downloadede fra Control Hub, og klik derefter på Næste.

7

Gennemse oplysningerne i fanen Generelle oplysninger, og klik derefter på Udført.

Konfigurer browserenkeltlogon

1

Vælg Konfigurer browser-SSO i portalen Ping Federate Administration fra Ping Federate Administration.

2

Markér afkrydsningsfeltet SP-initieret SSO , og klik derefter på Næste.

3

Vælg Konfigurer oprettelse af angivelse.

  1. Skift navn-id-formatet til Transient , og markér afkrydsningsfeltet Inkluder attributter ud over afkrydsningsfeltet.

  2. Udvid kontraktattributterne ved at tilføje mail- og uid-attributter i formatet urn:oasis:names:tc:SAML:2.0:attrname-format-basic, klik derefter på Næste.

  3. Vælg Tilpas ny adapter-forekomst for at vælge en godkendelsesmekanisme. I rullemenuen ADAPTER-FOREKOMST skal du vælge en af de tidligere konfigurerede godkendelsesmekanismer og derefter klikke på Næste.

  4. Vælg Hent yderligere attributter fra flere datalagre ved hjælp af en kortlægningsradioknap, og klik derefter på Næste.

  5. Vælg Tilføj attributkilde for at tilføje Active Directory Domain Controller for domænet, og klik derefter på Næste.

  6. Angiv base-DN , og vælg rodobjektklassen <Show All="" Attributes="">. Indtast LDAP-filteret i tekstfeltet Filter, og klik derefter på Næste.

    Posten skal indeholde den attribut, som du forventer, at brugeren angiver. Den skal også indeholde den værdi, den kortlægger i LDAP-kilderne. Hvis din aktive telefonbog f.eks. er indstillet til at filtrere på Windows-login-attributten, skal du angive s AMA-kontcount Name=${Username}.

  7. Vælg kilden og værdien for at knytte angivelsesattributterne med de attributter, der leveres af AD-databutikken. (Angiv ikke noget for udstedelseskriterierne).

  8. Bekræft, at bekræftelseskonfigurationen har Identitetstilknytningindstil til Forbigående, Attributkontraktindstil til uidog Adapter-forekomsterindstil til 1..


     

    Uid-attributten skal knyttes til brugerens e-mailadresse.

4

Vælg Konfigurer protokolindstillinger.

  1. For tilladelige SAML-bindinger skal du kun markere afkrydsningsfelterne POST og omdirigere afkrydsningsfelterne.

  2. For signaturpolitik skal du vælge Skriv altid SAML-bekræftelsen.

    Protokolindstillingerne skal se ud som følgende.

  3. Vælg Konfigurer legitimationsoplysninger for at konfigurere certifikatet for påstanden.

  4. Vælg det certifikat, der allerede blev oprettet for SAML-påstande.

5

På skærmen Aktivering og oversigt skal du indstille forbindelsesstatus til Aktiv.

Eksporter metadata fra PingFederate

1

På hovedskærmen skal du klikke på Administrer alle SP.

2

Find den forbindelse, du lige har oprettet, og klik på Eksportér metadata.

3

Vælg det certifikat, der skal bruges til at underskrive den eksporterede fil, fra rullemenuen.

4

Tryk på Rapporter

Importer IdP enkeltlogon efter en test

Når du har eksporteret Webex metadataene, konfigureret dit IdP og downloadet IdP-metadataene til dit lokale system, er du klar til at importere dem til din Webex organisation fra Control Hub.

Før du begynder

Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun flows, der er initieret af tjenesteudbydere (SP-initierede), så du skal bruge Control Hub SSO-testen til denne integration.

1

Vælg én:

  • Vend tilbage til siden Control Hub – valg af certifikat i din browser, og klik derefter på Næste .
  • Hvis Control Hub ikke længere er åben i browserfanen, fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisationsindstillinger , rul til Godkendelse , og vælg derefter Handlinger > Importer metadata .
2

På siden Import IdP Metadata (importer IdP-metadata) skal du enten trække og slippe IdP-metadatafilen ind på siden eller bruge filbrowseren til at finde og overføre metadatafilen. Klik på Næste.

Du skal bruge Mere sikker valgmulighed, hvis du kan. Dette er kun muligt, hvis dit IdP brugte et offentligt CA til at signere sine metadata.

I alle andre tilfælde skal du bruge Mindre sikker valgmulighed. Dette omfatter, hvis metadataene ikke er signeret, selvsigneret eller signeret af et privat CA.


 

Okta signerer ikke metadataene, så du skal vælge Mindre sikker til en Okta SSO -integration.

3

Vælg Test SSO -opsætningen , og når en ny browserfane åbnes, skal du godkende med IdP'et ved at logge ind.


 

Hvis du får en godkendelsesfejl, kan der være et problem med legitimationsoplysningerne. Kontrollér brugernavnet og adgangskoden, og prøv igen.

En Webex -appfejl betyder normalt et problem med SSO -opsætningen. I dette tilfælde skal du gennemgå trinnene igen, særligt de trin, hvor du kopierer og indsætter Control Hub-metadataene i IdP-opsætningen.


 

Hvis du vil se SSO-loginprocessen direkte, kan du også klikke på Kopiér URL-adresse til udklipsholder fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette trin stopper falske positiver på grund af et adgangstoken, der kan være i en eksisterende session fra dig, der er logget ind.

4

Vend tilbage til Control Hub-browserfanen.

  • Hvis testen lykkedes, skal du vælge Gennemført test. Slå SSO til og klik Næste .
  • Hvis testen mislykkedes, skal du vælge Mislykket test. Slå SSO fra og klik Næste .

 

SSO -konfigurationen træder ikke i kraft i din organisation, medmindre du vælger den første valgknap og aktiverer SSO.

Næste trin

Brug procedurerne i Synkroniser Okta-brugere til Cisco Webex Control Hub hvis du vil lave brugerklargøring fra Okta til Webex skyen.

Brug procedurerne i Synkroniser Azure Active Directory brugere til Cisco Webex Control Hub hvis du ønsker at lave brugerklargøring fra Azure AD til Webex skyen.

Du kan følge proceduren i Undertryk automatiske e-mails for at deaktivere e-mails, der sendes til nye Webex App-brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.