- Startseite
- /
- Artikel
Danke für Ihr Feedback.
In diesem Artikel
Feedback?Sie können eine Single Sign-On (SSO)-Integration zwischen einer Control Hub-Kundenorganisation und einer Bereitstellung konfigurieren, die Microsoft Entra ID als Identitätsanbieter (IdP) verwendet.
Einmalige Anmeldung und Control Hub
Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.
Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.
Profile
Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser- und SSO unterstützt Webex App die folgenden Bindungen:
-
SP initiierte POST -> POST-Bindung
-
SP initiierte REDIRECT -> POST-Bindung
NameID Format
Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.
Control Hub mit Microsoft Entra ID integrieren
Webex unterstützt nur einen Identitätsanbieter (IdP) pro Authentifizierungsanfrage. Der Authentifizierungsablauf ist wie folgt: Benutzer > Webex-Authentifizierung > IdP 1 > Webex-Authentifizierung > Benutzer. Dies bedeutet, dass sich zwar verschiedene Benutzer mit unterschiedlichen Identitätsanbietern authentifizieren können, ein Benutzer aber während eines einzigen Authentifizierungsprozesses nicht zwischen mehreren Identitätsanbietern wechseln kann. Zusätzliche Schritte wie beispielsweise die Multi-Faktor-Authentifizierung (MFA) müssen in den einzelnen Identitätsanbieter (IdP) integriert werden, der für die jeweilige Anfrage verwendet wird.
Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. Beispielsweise sind die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren zwar für die SSO-Integration, fallen aber nicht in den Geltungsbereich unserer Dokumentation.
Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich webex App, Webex Meetingsund andere Dienste, die im Control Hub verwaltet werden). Wenn Ihre Webex-Site in Control Hubintegriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hubverwaltet wird, müssen Sie eine separate Integration tun, um SSO-Benutzer Webex Meetings .
Vorbereitungen
Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
- In Entra ID wird die Bereitstellung nur im manuellen Modus unterstützt. In diesem Dokument wird nur die SSO-Integration behandelt.
- Bestehende Webex-Kunden mit früheren Verbundkonfigurationen könnten aufgrund von Änderungen an den SAML-Attributen auf Probleme mit der Standard-Entra-ID-Webex-Vorlage stoßen. Wir empfehlen, zur Lösung dieses Problems eine benutzerdefinierte Entra-ID-Föderation unter Verwendung Ihrer bisherigen SAML-Einstellungen einzurichten. Stellen Sie sicher, dass Sie den Control Hub SSO-Test durchführen, um die Kompatibilität zu gewährleisten und etwaige Diskrepanzen zu beheben.
Herunterladen der Webex-Metadaten auf Ihr lokales System
| 1 | |
| 2 |
Gehe zu . |
| 3 |
Gehen Sie zum Tab Identitätsanbieter und klicken Sie auf SSO aktivieren. |
| 4 |
Wählen Sie einen Identitätsanbieter (IdP) aus. |
| 5 |
Wählen Sie den Zertifikattyp für Ihre Organisation aus:
Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation. |
| 6 |
Laden Sie die Metadatendatei herunter. Der Name der Webex-Metadatendatei lautet idb-meta-<org-ID>-SP.xml. |
Konfigurieren Sie die SSO-Anwendungseinstellungen in Entra ID.
Vorbereitungen
-
Siehe Was ist Microsoft Entra?, um die IdP-Funktionen in Entra ID zu verstehen.
-
Konfigurieren Sie die Microsoft Entra ID.
-
Erstellen Sie lokale Benutzer oder synchronisieren Sie mit einem lokalen Entra ID-System.
-
Öffnen Sie die Webex-Metadatendatei, die Sie aus Control Hub heruntergeladenhaben.
-
Auf der Dokumentationsseite von Microsoft finden Sie eine entsprechende Anleitung.
| 1 |
Melden Sie sich im Microsoft Entra Admin Center an. |
| 2 |
Falls Sie das Symbol Microsoft Entra ID nicht sehen können, klicken Sie auf Weitere Dienste.  |
| 3 |
Gehen Sie zu Microsoft Entra ID für Ihre Organisation.  |
| 4 |
Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen. |
| 5 |
Klicken Sie auf Anwendung aus dem Katalog hinzufügen. |
| 6 |
Geben Sie in das Suchfeld Cisco Webex.  |
| 7 |
Wählen Sie im Ergebnisbereich die Option Cisco Webex, und klicken Sie dann auf Erstellen, um die Anwendung hinzuzufügen.  |
| 8 |
Um sicherzustellen, dass die Webex-Anwendung, die Sie für einmaliges Anmelden hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung. Klicken Sie unter Verwalten auf Eigenschaften und legen Sie Für Nutzer sichtbar? auf Nein fest.  Wir unterstützen es nicht, die Webex-App für Benutzer sichtbar zu machen. |
| 9 |
Konfigurieren der einmaligen Anmeldung:
|
| 10 |
Gehe zu Verwalten > Benutzer und Gruppen, und wählen Sie dann die entsprechenden Benutzer und Gruppen aus, denen Sie Zugriff auf die Webex App gewähren möchten. |
| 11 |
Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten im Abschnitt SAML Signierzertifikat auf Download, um die Federation Metadata XML herunterzuladen und sie auf Ihrem Computer zu speichern.  |
Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test
Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisation importieren.
Vorbereitungen
Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.
| 1 |
Wählen Sie eine Option:
|
| 2 |
Auf der Seite „IdP-Metadaten importieren“ können Sie die IdP-Metadatendatei entweder per Drag & Drop auf die Seite ziehen oder die Metadatendatei über die Dateiauswahl suchen und hochladen. Klicken Sie auf Weiter.
Sie sollten die Option "Sicherer" verwenden , wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat. In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind. Okta signieren die Metadaten nicht. Sie müssen daher für eine Okta-Integration Weniger sicher SSO auswählen. |
| 3 |
Wählen Sie Test SSO setupaus und melden Sie sich beim Öffnen eines neuen Browser-Tabs beim IdP an, um sich zu authentifizieren. Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut. Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen. Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet. |
| 4 |
Kehren Sie zur Registerkarte Control Hub im Browser zurück.
Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO. |
Nächste Schritte
Verwenden Sie die in Synchronisieren von Okta-Benutzern mit Control Hub beschriebenen Verfahren, wenn Sie die Benutzerbereitstellung von Okta in die Webex-Cloud durchführen möchten.
Verwenden Sie die in Synchronisieren von Microsoft Entra ID-Benutzern mit Control Hub beschriebenen Verfahren, wenn Sie die Benutzerbereitstellung von Entra ID in die Webex-Cloud durchführen möchten.
Sie können die in Unterdrücken automatisierter E-Mails beschriebene Vorgehensweise befolgen, um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.
Fehlerbehebung bei der Entra ID-Integration
Stellen Sie beim SAML-Test sicher, dass Sie Mozilla Firefox verwenden und den SAML-Tracer installieren https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
Prüfen Sie die von Entra ID stammende Assertion, um sicherzustellen, dass sie das korrekte NameID-Format aufweist und ein Attribut UID besitzt, das mit einem Benutzer in der Webex-App übereinstimmt.
