Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser- und SSO unterstützt Webex App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

Integrieren von Control Hub in Microsoft Azure

Webex unterstützt nur einen IdP für jede Authentifizierungsanforderung. Der Authentifizierungsablauf ist wie folgt: Benutzer > Webex-Authentifizierung > IdP 1 > Webex-Authentifizierung > Benutzer. Dies bedeutet, dass sich verschiedene Benutzer zwar mit unterschiedlichen IdPs authentifizieren können, ein Benutzer jedoch während eines einzelnen Authentifizierungsprozesses nicht zwischen mehreren IdPs wechseln kann. Alle zusätzlichen Schritte wie MFA müssen in den einzelnen IdP integriert werden, der für diese bestimmte Anfrage verwendet wird.

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren für die SSO-Integration, liegen jedoch außerhalb des Rahmens unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich webex App, Webex Meetingsund andere Dienste, die im Control Hub verwaltet werden). Wenn Ihre Webex-Site in Control Hubintegriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hubverwaltet wird, müssen Sie eine separate Integration tun, um SSO-Benutzer Webex Meetings .

Vorbereitungen

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

  • In Azure Active Directory wird die Bereitstellung nur im manuellen Modus unterstützt. In diesem Dokument wird nur die Integration der einmaligen Anmeldung Single-Sign-On (SSO) behandelt.
  • Bei bestehenden Webex-Kunden mit früheren Verbundkonfigurationen können aufgrund von Änderungen an den SAML-Attributen Probleme mit der standardmäßigen Entra-ID-Webex-Vorlage auftreten. Wir empfehlen, eine benutzerdefinierte Entra-ID-Föderation einzurichten, um dieses Problem unter Verwendung Ihrer vorherigen SAML-Einstellungen zu lösen. Stellen Sie sicher, dass Sie den Control Hub SSO-Test durchführen, um die Kompatibilität sicherzustellen und etwaige Unstimmigkeiten zu beheben.

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Management > Sicherheit > Authentifizierung.

3

Gehen Sie auf den Reiter Identitätsanbieter und klicken Sie auf SSO aktivieren.

4

Wählen Sie einen IdP aus.

5

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco– Wir empfehlen diese Auswahl. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Von einer öffentlichen Zertifizierungsstelle signiert– Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr IdP-Anbieter unterstützt Vertrauensanker).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

6

Laden Sie die Metadatendatei herunter.

Der Dateiname der Webex-Metadaten lautet idb-meta-<org-ID>-SP.xml.

Konfigurieren SSO Anwendungseinstellungen in Azure

Vorbereitungen

1

Melden Sie sich im Azure-Portal unter mit https://portal.azure.com Ihren Administrator-Anmeldeinformationen an.

2

Wenn Sie das Azure Active Directory-Symbol nicht sehen können, klicken Sie auf Weitere Dienste.

3

Wechseln Sie zu Azure Active Directory für Ihre Organisation.

4

Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen.

5

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

6

Geben Sie in das Suchfeld Cisco Webex.

7

Wählen Sie im Ergebnisbereich die Option Cisco Webex, und klicken Sie dann auf Erstellen, um die Anwendung hinzuzufügen.

8

Um sicherzustellen, dass die Webex-Anwendung, die Sie für einmaliges Anmelden hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung. Klicken Sie unter Verwalten auf Eigenschaften und legen Sie Für Nutzer sichtbar? auf Nein fest.

Wir unterstützen nicht, die Webex-App für Benutzer sichtbar zu machen.

9

Konfigurieren der einmaligen Anmeldung:

  1. Klicken Sie unter Verwalten auf Single Sign-On, und wählen Sie dann unter Single-Sign-On-Methode auswählen die Option SAML.

  2. Klicken Sie auf Metadatendatei hochladen und wählen Sie dann die Metadatendatei aus, die Sie von Control Hub heruntergeladen haben.

    Metadatendatei in Azure importieren

    Einige Felder werden automatisch für Sie ausgefüllt.

  3. Klicken Sie unter Verwalten auf Single Sign-On mit SAML einrichten und dann auf Bearbeiten, um die grundlegende SAML-Konfiguration zu öffnen.

  4. Kopieren Sie den Wert Antwort-URL , fügen Sie ihn in Anmelde-URL ein und speichern Sie dann Ihre Änderungen.

10

Gehen Sie zu Verwalten > Benutzer und Gruppenund wählen Sie dann die entsprechenden Benutzer und Gruppen aus, denen Sie Zugriff auf die Webex-App gewähren möchten.

11

Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten im Abschnitt SAML Signierzertifikat auf Download, um die Federation Metadata XML herunterzuladen und sie auf Ihrem Computer zu speichern.

Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Seite „Control Hub – Zertifikatauswahl“ zurück und klicken Sie dann auf Weiter.
  • Öffnen Sie Control Hub erneut, wenn es in Ihrem Browser-Tab nicht mehr geöffnet ist. Gehen Sie in der Kundenansicht im Control Hub zu Verwaltung > Sicherheit > Authentifizierung, wählen Sie den IdP aus und wählen Sie dann Aktionen > Metadaten importieren.
2

Ziehen Sie auf der Seite „IdP-Metadaten importieren“ die IdP-Metadatendatei entweder per Drag & Drop auf die Seite oder verwenden Sie die Dateibrowseroption, um die Metadatendatei zu suchen und hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Option "Sicherer" verwenden , wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

Okta signieren die Metadaten nicht. Sie müssen daher für eine Okta-Integration Weniger sicher SSO auswählen.

3

Wählen Sie SSO-Setup testenund authentifizieren Sie sich beim IdP, indem Sie sich anmelden, wenn ein neuer Browser-Tab geöffnet wird.

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO , und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Deaktivieren Sie SSO , und klicken Sie auf Weiter.

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Nächste Schritte

Verwenden Sie die Verfahren zum Synchronisieren von Okta-Benutzern in Cisco Webex Control Hub, wenn Sie die Benutzerbereitstellung über Okta in der Webex-Cloud tun möchten.

Verwenden Sie die Verfahren zum Synchronisieren von Azure Active Directory-Benutzern in Cisco Webex Control Hub , wenn Sie die Benutzerbereitstellung von Azure AD in der Webex-Cloud tun möchten.

Sie können das Verfahren unter Automatisierte E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Problembehandlung bei der Azure-Integration

Stellen Sie beim SAML-Test sicher, dass Sie Mozilla Firefox verwenden und den SAML-Tracer installieren https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Überprüfen Sie die Assertion, die von Azure stammt, um sicherzustellen, dass sie das korrekte nameid-Format auf hat und über ein uid-Attribut verfügt, das mit einem Benutzer in der Webex-App vertrautist.