Einmaliges Anmelden (Single Sign-On; SSO)

Webex SSO eine eindeutige ID verwenden, um Personen in Ihrer Organisation Zugriff auf alle Unternehmensanwendungen zu geben. Administratoren können Webex Administration verwenden, um Webex SSO anwendungen zu konfigurieren.

Single Sign-On ist eine optionale Funktion, die für Ihre Site bereitgestellt sein muss. Weitere Informationen erhalten Sie vom Cisco Support.

SSO konfigurieren

Gehen Sie wie folgt vor, um SSO und SAML 2.0 zu konfigurieren.

Vorbereitungen

Beschaffen Sie die folgenden Anforderungen und richten Sie sie ein:

  • Ein mit SAML 2.0 oder WS Federate 1.0 kompatibler Standard-Identitätsanbieter (IdP), wie CA SiteMinder, ADFS und Ping Identity.

    SAML 1.1 und WS Federate 1.0 werden nicht mehr unterstützt und Cisco Webex.

  • Ein X.509-Zertifikat Ihres Unternehmens mit einem öffentlichen Schlüssel von einer vertrauenswürdigen Zertifizierungsstelle, wie etwa VeriSign und Thawte.

  • Ein idP, der für die Bereitstellung von SAML-Assertions mit den Benutzerkonto und SAML-System-IDs konfiguriert ist.

  • Eine IdP-XML-Datei.

  • Einen URL für den IAM-Dienst des Unternehmens.

1

Melden Sie sich bei der Webex-Administration an, gehen Sie zu Konfiguration > Allgemeine Site-Einstellungen > SSO Konfiguration.

2

Wählen Sie in der Dropdown-Liste Federation-Protokoll die Option SAML 2.0 aus.

Wenn eine Konfiguration vorhanden ist, werden einige Felder möglicherweise im Voraus ausgefüllt.

3

Klicken Sie auf den Link Zertifikat-Manager für die Site.

4

Wählen Sie im Fenster Zertifikat-Manager für die Site die Option Durchsuchen aus, und navigieren Sie dann zum Speicherort der .CER-Datei für Ihr X.509-Zertifikat.

5

Wählen Sie die .CER-Datei aus, und wählen Sie anschließend OK.

6

Klicken Sie auf Schließen.

7

Geben Sie auf der Seite SSO-Konfiguration die erforderlichen Informationen ein, und wählen Sie die Optionen aus, die Sie aktivieren möchten.

8

Wählen Sie Aktualisieren.

Seite „SSO-Konfiguration“

In der folgenden Tabelle werden die Felder und Optionen der Seite SSO-Konfiguration aufgelistet und beschrieben.

Sie müssen ganz genaue Informationen bei der Konfiguration verwenden. Wenden Sie sich an Ihren Identitätsanbieter, wenn Sie Fragen zu den erforderlichen Informationen für die Konfiguration von SSO auf Ihrer Site haben.

Tabelle 1. Felder und Optionen der Seite „SSO-Konfiguration“

Feld oder Option

Beschreibung

AuthnContextClassRef

Die SAML-Anweisung, die die Authentifizierung beim Identitätsanbieter beschreibt. Dies muss mit der IAM-Konfiguration übereinstimmen. ADFS-Beispiele: Beispiel urn:federation:authentication:windows oder urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping : urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

Um mehrere AuthnContextClassRef-Werte zu verwenden, fügen Sie ein „;“ hinzu. Beispiel: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Automatische Konto-Erstellung (optional)

Wählen Sie dies aus, um ein Benutzerkonto zu erstellen. Die Felder für UID, E-Mail, Vor- und Nachname müssen eine Vorhanden-Assertion sein.

Automatische Kontenaktualisierung (optional)

Webex-Konten können bei Vorhandensein eines updateTimeStamp-Attributs in t aktualisiert werden Wenn Änderungen im IdP vorgenommen werden, wird der neue Zeitstempel an das Webex-Site gesendet, mit einem Konto mit einem beliebigen in der SAML-Assertion gesendeten Attribut.

SSO-Fehler-URL für Kunden (optional)

Im Fall eines Fehlers erfolgt eine Weiterleitung auf diesen URL, und der Fehlercode wird an den URL angehängt.

Anmelde-URL für SSO-Dienst des Kunden

URL für die SSO-Dienste Ihres Unternehmens. Benutzer melden sich normalerweise mit diesem URL an. Befindet sich in der IdP-XML-Datei (Beispiel: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

Standardmäßige URL für Webex-Zielseite (optional)

Zeigt nach der Authentifizierung eine Zielseite ausschließlich für die Webanwendung an.

SAML-Metadaten importieren (Link)

Klicken Sie darauf, um das Dialogfeld Verknüpfte SSO-Konfiguration für das Web – SAML-Metadaten zu öffnen. Die Felder der importierten Metadaten umfassen die Folgenden:

  • AuthnRequestSigned Destination

  • Herausgeber für SAML (IdP ID)

  • Anmelde-URL für SSO-Dienst des Kunden

Herausgeber für SAML (IdP ID)

Ein URI identifiziert den IdP eindeutig. Die Konfiguration muss mit der Einstellung im Kunden-IAM übereinstimmen. In der IdP-XML-Datei (Beispiel: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

NameID-Format

Muss mit der IdP-Konfiguration übereinstimmen, dabei werden folgende Formate unterstützt:

  • Nicht spezifiziert

  • E-Mail-Adresse

  • X509 Betreffbezeichnung

  • Objektidentifikator

  • Persistent Identifier

UID-Suffix für Active Directory-UPN entfernen

Entfernt die Active Directory-Domäne aus dem User Principal Name (UPN), wenn dies aktiviert ist.

SSO-Profil

Geben Sie an, wie Benutzer auf das Webex-Site. Wählen Sie SP initiiert aus , wenn Benutzer auf der Webex-Meeting-Site starten und zum Unternehmens-IdP-System zur Authentifizierung weitergeleitet werden. Wählen Sie IdP initiiert aus, wenn Benutzer über Webex-Site Unternehmens-IAM-System auf das System zugreifen.

SSO-Authentifizierung für Teilnehmer

Diese Funktion sorgt für mehr Transparenz bei der Benutzerauthentifizierung der SAML-Assertion für interne Teilnehmer, die Webex Meetings, Webex Training und Webex Events. Wenn diese Funktion aktiviert ist, ersetzt sie die Webex Meetings -Funktion „ Etikett / "Beschriftung" als interner Benutzer in der Teilnehmerliste anzeigen“.

Signaturalgorithmus für AuthnRequest

Für höhere Sicherheit können Sie jetzt Zertifikate mit SHA-1-, SHA-256- oder SHA-512-Signatur generieren.

Single Logout (optional)

Aktivieren Sie dies, um die Abmeldung anzufordern und den Abmelde-URL festzulegen.

Von IdP initiiertes Single Logout wird nicht unterstützt.

Webex SAML Issuer (SP ID)

Der URI identifiziert den Webex Messenger-Dienst als Dienstanbieter (SP). Die Konfiguration muss mit den Einstellungen im Identity Access Management-System des Kunden übereinstimmen. Empfohlene Benennungskonventionen: Geben Webex Meetings Site-URL für Webex Meetings-Site ein. Verwenden Sie für den Webex Messenger-Dienst das Format "Client-Domäne-Name" (Beispiel: IM-Client-ADFS-WebexEagle-Com).

Sie können eine Webex-Konfigurationsdatei mit SAML-Metadaten exportieren.

Sie können einige Metadaten exportieren, die dann in Zukunft importiert werden können. Die Felder der exportierten Metadaten umfassen die Folgenden:

  • AuthnRequestSigned Destination

  • Herausgeber für SAML (IdP ID)

  • Anmelde-URL für SSO-Dienst des Kunden

Erneuerung der auslaufenden Zertifikate

Vorbereitungen

Diese Funktion ist nur für Administratoren verfügbar, die SSO Webex-Administration konfiguriert haben und ihre Sites noch nicht im Control Hub verwalten.

Wir empfehlen Ihnen, das Zertifikat vor November 2022 auf Ihren Identitätsanbieter (IdP) zu aktualisieren. Wenn das Zertifikat abläuft, können sich Benutzer möglicherweise nicht erfolgreich anmelden.

1

Melden Sie sich bei der Webex-Administration an, gehen Sie zu Konfiguration > Allgemeine Site-Einstellungen > SSO Konfiguration.

2

Scrollen Sie nach unten zu Site SP Certificate Manager.

Die Details zum ablaufenden und neuen Zertifikat (Seriennummer, Ablaufdatum, Schlüsseldetails, Status und Aktion) werden angezeigt. Das Zertifikat, das aktuell verwendet wird, ist als Aktiv markiert.

3

Rufen Sie das neue Zertifikat auf und klicken Sie auf Zertifikat exportieren.

Sie können auch auf Metadaten exportieren am unteren Bildschirmrand klicken, um die Metadaten mit dem neuen Zertifikat herunterzuladen.

Die neue Zertifikatdatei läuft in einem Jahr ab. Administratoren müssen auf Warnungsbenachrichtigungen achten.

4

Laden Sie die neue Zertifikatsdatei bei Ihrem Identitätsanbieter (IdP) hoch.

5

Wählen Sie das Optionsfeld Aktiv für das neue Zertifikat aus.

6

Klicken Sie auf Aktualisieren.

Das neue Zertifikat ist jetzt aktiv.

7

Testen Sie das neue Zertifikat.

Häufig gestellte Fragen beim Aktualisieren von Zertifikaten

F. Sind alle Administratoren von dieser Funktion betroffen?

A. Nein, nur Administratoren, die In der Webex SSO Konfiguriert haben, sind betroffen.

F. Was passiert, wenn der Administrator das Zertifikat nicht vor dem Fälligkeitsdatum aktualisiert?

A. Das Zertifikat läuft ab und Ihre Benutzer können sich möglicherweise nicht erfolgreich bei Webex anmelden. Wir empfehlen, das Zertifikat vor Oktober 2023 zu aktualisieren.

Wenn das Zertifikat abläuft, können Sie sich weiterhin bei Site-Administration anmelden, um das neue Zertifikat bei Ihrem entsprechenden Identitätsanbieter zu aktualisieren und zu aktivieren. Wenn beim Aktualisieren des Zertifikats Probleme auft sind, wenden Sie sich an Webex Support-Team.

F. Wie lange ist ein neues Zertifikat gültig?

A. Das neue Zertifikat ist etwa ein Jahr gültig. Das Webex-Operations-Team generiert zwei Monate vor Ablauf des vorhandenen Zertifikats ein neues Zertifikat. Dadurch haben Sie Zeit, das Zertifikat vor dem Fälligkeitsdatum zu planen und zu aktualisieren.