Einmaliges Anmelden (Single Sign-On; SSO)

WebEx SSO verwendet eine eindeutige ID, um Personen in Ihrer Organisation Zugriff auf alle Unternehmensanwendungen zu geben. Administratoren können WebEx Site-Administration zum Konfigurieren von SSO für Cisco WebEx Anwendungen verwenden.


Single Sign-On ist eine optionale Funktion, die für Ihre Site bereitgestellt sein muss. Wenden Sie sich für weitere Informationen an Ihren Customer Success Manager.

Konfigurieren von SSO

Gehen Sie wie folgt vor, um SSO und SAML 2.0 zu konfigurieren.

Vorbereitungen

Beschaffen Sie die folgenden Anforderungen und richten Sie sie ein:

  • Ein mit SAML 2.0 oder WS Federate 1.0 kompatibles Identity und Access Management (IAM)-Standardsystem, wie etwa CA SiteMinder, ADFS und Ping Identity.

  • Ein X.509-Zertifikat Ihres Unternehmens mit einem öffentlichen Schlüssel von einer vertrauenswürdigen Zertifizierungsstelle, wie etwa VeriSign und Thawte.

  • Einen IAM, der für die Bereitstellung von SAML-Assertions mit den Benutzerkonto-Informationen und SAML-System-IDs konfiguriert ist.

  • Eine IdP-XML-Datei.

  • Einen URL für den IAM-Dienst des Unternehmens.

1

Melden Sie sich bei Site-Administration an, WebEx und wechseln Sie zu Konfiguration > Allgemeine Site-Einstellungen > SSO-Konfiguration.

2

Wählen Sie in der Dropdown-Liste Federation-Protokoll die Option SAML 2.0 aus.

Wenn eine Konfiguration vorhanden ist, werden einige Felder möglicherweise im Voraus ausgefüllt.

3

Klicken Sie auf den Link Zertifikat-Manager für die Site.

4

Wählen Sie im Fenster Zertifikat-Manager für die Site die Option Durchsuchen aus, und navigieren Sie dann zum Speicherort der .CER-Datei für Ihr X.509-Zertifikat.

5

Wählen Sie die .CER-Datei aus, und wählen Sie anschließend OK.

6

Klicken Sie auf Schließen.

7

Geben Sie auf der Seite SSO-Konfiguration die erforderlichen Informationen ein, und wählen Sie die Optionen aus, die Sie aktivieren möchten.

8

Wählen Sie Aktualisieren.

Seite „SSO-Konfiguration“

In der folgenden Tabelle werden die Felder und Optionen der Seite SSO-Konfiguration aufgelistet und beschrieben.


Sie müssen ganz genaue Informationen bei der Konfiguration verwenden. Wenden Sie sich an Ihren Identitätsanbieter, wenn Sie Fragen zu den erforderlichen Informationen für die Konfiguration von SSO auf Ihrer Site haben.

Tabelle 1. Felder und Optionen der Seite „SSO-Konfiguration“

Feld oder Option

Beschreibung

SSO-Profil

Gibt an, wie Benutzer auf die WebEx Site zugreifen. Wählen Sie SP initialisiert, wenn Benutzer auf der WebEx Meeting-Site starten und zum Unternehmens-IdP-System zur Authentifizierung weitergeleitet werden. Wählen Sie IdP initialisiert, wenn Benutzer über das Unternehmens-IAM-System auf WebEx zugreifen.

SAML-Metadaten importieren (Link)

Klicken Sie darauf, um das Dialogfeld Verknüpfte SSO-Konfiguration für das Web – SAML-Metadaten zu öffnen. Die Felder der importierten Metadaten umfassen die Folgenden:

  • AuthnRequestSigned Destination

  • Herausgeber für SAML (IdP ID)

  • Anmelde-URL für SSO-Dienst des Kunden

Webex SAML Issuer (SP ID)

Der URI identifiziert den Cisco WebEx Messenger-Dienst als Dienstanbieter (SP). Die Konfiguration muss mit den Einstellungen im Identity Access Management-System des Kunden übereinstimmen. Empfohlene Benennungskonventionen: Für WebEx Meetings geben Sie die WebEx URL der Meeting Site ein Verwenden Sie für den WebEx Messenger-Dienst das Format „Client-Domäne-Name“ (Beispiel: IM-Client-ADFS-WebexEagle-Com).

Herausgeber für SAML (IdP ID)

Ein URI identifiziert den IdP eindeutig. Die Konfiguration muss mit der Einstellung im Kunden-IAM übereinstimmen. In der IdP-XML-Datei (Beispiel: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Anmelde-URL für SSO-Dienst des Kunden

URL für die SSO-Dienste Ihres Unternehmens. Benutzer melden sich normalerweise mit diesem URL an. In der IdP-XML-Datei (Beispiel: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

Sie können eine Webex-Konfigurationsdatei mit SAML-Metadaten exportieren.

Sie können einige Metadaten exportieren, die dann in Zukunft importiert werden können. Die Felder der exportierten Metadaten umfassen die Folgenden:

  • AuthnRequestSigned Destination

  • Herausgeber für SAML (IdP ID)

  • Anmelde-URL für SSO-Dienst des Kunden

NameID-Format

Muss mit der IAM-Konfiguration übereinstimmen, wobei die folgenden Formate unterstützt werden:

  • Nicht spezifiziert

  • E-Mail-Adresse

  • X509 Betreffbezeichnung

  • Objektidentifikator

  • Persistent Identifier

AuthnContextClassRef

Die SAML-Anweisung, die die Authentifizierung beim Identitätsanbieter beschreibt. Dies muss mit der IAM-Konfiguration übereinstimmen. ADFS-Beispiele: urn:federation:authentication:windows oder urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping-Beispiel: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified Hinweis: Um mehrere AuthnContextClassRef-Werte zu verwenden, fügen Sie ein „;“ hinzu. Beispiel: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Standardmäßige URL für Webex-Zielseite (optional)

Zeigt nach der Authentifizierung eine Zielseite ausschließlich für die Webanwendung an.

SSO-Fehler-URL für Kunden (optional)

Im Fall eines Fehlers erfolgt eine Weiterleitung auf diesen URL, und der Fehlercode wird an den URL angehängt.

Single Logout (optional)

Aktivieren Sie diese Option, um die Abmeldung vorzuschreiben und den Abmelde-URL festzulegen.


 

Von IdP initiiertes Single Logout wird nicht unterstützt.

Signaturalgorithmus für AuthnRequest

Für höhere Sicherheit können Sie jetzt Zertifikate mit SHA-1-, SHA-256- oder SHA-512-Signatur generieren.

SSO-Authentifizierung für Teilnehmer

Diese Funktion sorgt für mehr Transparenz bei der Benutzerauthentifizierung der SAML-Assertion für interne Teilnehmer, die WebEx Meetings, WebEx Training und WebEx Events verwenden. Bei Aktivierung wird von dieser Funktion WebEx Meetings "Kennzeichnung als interner Benutzer auf der Teilnehmerliste anzeigen" überschrieben.

Automatische Konto-Erstellung (optional)

Wählen Sie dies aus, um ein Benutzerkonto zu erstellen. Die Felder für UID, E-Mail, Vor- und Nachname müssen in der SAML-Assertion vorhanden sein.

Automatische Kontenaktualisierung (optional)

WebEx Konten können bei Vorhandensein eines updateTimeStamp-Attributs in der SAML-Assertion aktualisiert werden. Wenn Änderungen in der IAM vorgenommen werden, wird der neue Zeitstempel an die WebEx Site gesendet, die das Konto mit einem beliebigen in der SAML-Assertion Attribut aktualisiert.

UID-Suffix für Active Directory-UPN entfernen

Entfernt die Active Directory-Domäne aus dem User Principal Name (UPN), wenn dies aktiviert ist.