Einmaliges Anmelden und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO Authentifizierung zwischen der Webex Cloud und Ihrem Identitätsanbieter (IdP) verwendet.

Profile

Die Webex -App unterstützt nur das SSO -Profil des Webbrowsers. Im SSO -Profil des Webbrowsers unterstützt die Webex -App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex -App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

Integrieren von Control Hub mit Microsoft Azure


 

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. Zum Beispiel sind die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren für die SSO-Integration, werden jedoch nicht in unserer Dokumentation behandelt.

Richten Sie diese Integration für Benutzer in Ihrer Webex Organisation ein (einschließlich Webex App, Webex Meetings und andere Dienste, die in Control Hub verwaltet werden). Wenn Ihre Webex-Seite in Control Hub integriert ist, erbt die Webex-Seite die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und Webex Meetings nicht in Control Hub verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Webex Meetings zu aktivieren. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Vorbereitungen

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:


 

In Azure Active Directory wird die Bereitstellung nur im manuellen Modus unterstützt. In diesem Dokument wird nur die SSO-Integration behandelt.

Laden Sie die Webex -Metadaten auf Ihr lokales System herunter

1

Aus der Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen und blättern Sie zu Authentifizierung , und aktivieren Sie dann das Einmaliges Anmelden , um den Einrichtungsassistenten zu Wizard.

2

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Vertrauensanker).

 

Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

3

Laden Sie die Metadatendatei herunter.

Der Name der Webex Metadatendatei lautet idb-meta-<org-ID> -SP.xml .

SSO Anwendungseinstellungen in Azure konfigurieren

Vorbereitungen

  • Siehe Was ist Azure Active Directory ? , um die IdP-Funktionen in Azure Active Directory zu verstehen.

  • Konfigurieren Sie Azure Active Directory.

  • Erstellen Sie lokale Benutzer oder synchronisieren Sie sie mit einem lokalen Active Directory-System.

  • Öffnen Sie die Webex -Metadatendatei, die Sie aus Control Hub heruntergeladen haben.

  • Es gibt einen verwandten Tutorial auf der Microsoft Dokumentations-Site .

1

Melden Sie sich beim Azure-Portal an unterhttps://portal.azure.com mit Ihren Administrator-Anmeldeinformationen.

2

Wenn das Symbol . nicht angezeigt wird, Azure Active Directory auf das Symbol klicken Weitere Dienste .

3

Gehen Sie zu Azure Active Directory für Ihre Organisation.

4

Gehen Sie zu Unternehmensanwendungen und klicken Sie dann auf Hinzufügen .

5

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

6

Geben Sie in das Suchfeld Cisco Webex .

7

Wählen Sie im Ergebnisbereich Cisco Webex , und klicken Sie dann auf Erstellen um die Anwendung hinzuzufügen.

8

Um sicherzustellen, dass die Webex -Anwendung, die Sie für die Einzelanmeldung hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung. Unter Verwalten , klicken Sie Eigenschaften , und stellen Sie Für Benutzer sichtbar? an Nein .

Das Sichtbarmachen der Webex-App für Benutzer wird nicht unterstützt.

9

Konfigurieren der einmaligen Anmeldung:

  1. Unter Verwalten , klicken Sie Einmaliges Anmelden und dann unter Single-Sign-On-Methode auswählen , wählen SAML .

  2. Klicken Sie auf Metadatendatei hochladen und wählen Sie dann die Metadatendatei aus, die Sie aus Control Hub heruntergeladen haben.

    Metadatendatei in Azure importieren

    Einige Felder werden automatisch für Sie ausgefüllt.

  3. Unter Verwalten, klicken Einmaliges Anmelden mit SAML , klicken Sie Bearbeiten Symbol zum Öffnen Grundlegende SAML Konfiguration .

  4. Kopieren Sie den Antwort- URL Wert und fügen Sie ihn ein in Anmelde URL , und speichern Sie dann Ihre Änderungen.

10

Gehen Sie zu Verwalten > Benutzer und Gruppen und wählen Sie dann die entsprechenden Benutzer und Gruppen aus, denen Sie Zugriff auf die Webex App gewähren möchten.

11

Im Einmaliges Anmelden mit SAML auf der Seite SAML -Signaturzertifikat Abschnitt, klicken Sie auf Herunterladen um die . herunterzuladen Federation Metadata XML (Verbundmetadaten-XML) und speichern Sie sie auf Ihrem Computer.

Importieren Sie die IdP-Metadaten und aktivieren Sie Einzelanmeldung-On nach einem Test

Nachdem Sie die Webex -Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Jetzt können Sie sie aus dem Control Hub in Ihre Webex -Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Seite „Control Hub – Zertifikatsauswahl“ zurück und klicken Sie dann auf Weiter .
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, über die Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen , blättern Sie zu Authentifizierung , und wählen Sie dann Aktionen > Metadaten importieren .
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten den Mehr Sicherheit Option, wenn Sie können. Dies ist nur möglich, wenn Ihr IdP eine öffentliche CA zum Signieren seiner Metadaten verwendet hat.

In allen anderen Fällen müssen Sie den Weniger sicher ein. Dazu gehört auch, ob die Metadaten nicht signiert, selbstsigniert oder von einer privaten Zertifizierungsstelle signiert sind.


 

Okta signiert die Metadaten nicht, also müssen Sie auswählen Weniger sicher für eine Okta SSO -Integration.

3

Auswählen SSO -Einrichtung testen , und wenn eine neue Browser-Registerkarte geöffnet wird, authentifizieren Sie sich beim IdP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Durch diesen Schritt werden False-Positives aufgrund eines Zugriffstokens verhindert, das möglicherweise in einer vorhandenen Sitzung von Ihrer Anmeldung enthalten ist.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test. SSO und klicken Sie auf Weiter .
  • Wenn der Test nicht erfolgreich war, wählen Sie Test nicht erfolgreich. SSO und klicken Sie auf Weiter .

 

Die SSO -Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Optionsfeld auswählen und SSO aktivieren.

Nächste Schritte

Verwenden Sie die Verfahren in Okta-Benutzer mit Cisco Webex Control Hub synchronisieren wenn Sie die Benutzerbereitstellung aus Okta heraus in der Webex Cloud durchführen möchten.

Verwenden Sie die Verfahren in Synchronisieren Sie Azure Active Directory -Benutzer in Cisco Webex Control Hub wenn Sie die Benutzerbereitstellung aus Azure AD heraus in der Webex Cloud durchführen möchten.

Sie können das Verfahren in Automatisierte E-Mails unterdrücken um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Fehlerbehebung bei der Azure-Integration

Stellen Sie beim SAML-Test sicher, dass Sie Mozilla Firefox verwenden und den SAML-Tracer installieren https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Überprüfen Sie die Assertion, die von Azure stammt, um sicherzustellen, dass sie das richtige nameid-Format aufweist und über ein uid-Attribut verfügt, das mit einem Benutzer in der Webex -App übereinstimmt.