Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Webex unterstützt nur den Webbrowser SSO Profil. Im Webbrowser-SSO-Profil unterstützt Webex die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Webex unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webexkonfiguriert.

Integrieren von Control Hub in Microsoft Azure


Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich Webex , Webex Meetings und andere im Control Hubverwaltete Dienste). Wenn Ihre Webex-Site in Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hub verwaltet wird, müssen Sie eine separate Integration verwenden, um SSO für Webex Meetings. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Vorbereitungen

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:


In Azure Active Directory wird die Bereitstellung nur im manuellen Modus unterstützt. In diesem Dokument wird nur die Integration der einmaligen Anmeldung Single-Sign-On (SSO) behandelt.

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und scrollen Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Name der Webex-Metadatendatei ist idb-meta-<org-ID>-SP.xml.

Konfigurieren der einmaligen Anmeldung – Anwendungseinstellungen in Azure

Vorbereitungen

1

Melden Sie sich im Azure-Portal unter https://portal.azure.com mit Ihren Administrator-Anmeldeinformationen an.

2

Wechseln Sie zu Azure Active Directory für Ihre Organisation.

3

Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen.

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld "" Cisco Webex.

6

Wählen Sie im Ergebnisbereich die Option Cisco Webex aus, und klicken Sie dann auf Hinzufügen, um die Anwendung hinzuzufügen.

In einer Meldung wird angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

7

Um sicherzustellen, dass die Webex-Anwendung, die Sie für einmaliges Anmelden hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung, wechseln Sie zu Eigenschaften und legen Sie Für Benutzer sichtbar fest? auf Nein .

8

Konfigurieren der einmaligen Anmeldung:

  1. Nachdem Sie die Anwendungsvereinbarung erstellt haben, wechseln Sie zur Registerkarte Single Sign-On und wählen Sie dann unter Eine Single-Sign-On-Methode auswählendie Option SAML.

  2. Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten auf das Symbol Bearbeiten, um grundlegende SAML-Konfiguration zuöffnen.

  3. Klicken Sie auf Metadatendatei hochladen und wählen Sie dann die Metadatendatei aus, die Sie aus Control Hub heruntergeladenhaben.

    Einige Felder werden automatisch für Sie ausgefüllt.

  4. Kopieren Sie den Wert Antwort-URL und fügen Sie ihn in Anmelde-URL einund speichern Sie dann Ihre Änderungen.

9

Wechseln Sie zu Verwalten > Benutzer und Gruppen und wählen Sie anschließend die zutreffenden Benutzer und Gruppen aus, denen Sie Zugriff auf Webex gewährenmöchten.

10

Klicken Sie auf der Seite Einmalige Anmeldung mit SAML einrichten im Abschnitt SAML Signierzertifikat auf Download, um die Federation Metadata XML herunterzuladen und sie auf Ihrem Computer zu speichern.

11

Stellen Sie auf der Seite Eigenschaften sicher, dass Für Benutzer sichtbar? auf Nein gesetztist.

Wir unterstützen nicht, die Webex-App für Benutzer sichtbar zu machen.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisationimportieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Seite Control Hub – Verzeichnis-Metadaten exportieren zurück und klicken Sie auf Weiter .
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie in https://admin.webex.com zur Kundenansicht. Gehen Sie zu Einstellungen, scrollen Sie zu Authentifizierung, wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced) aus und klicken Sie dann auf Weiter auf der Seite mit der vertrauenswürdigen Metadatendatei (da Sie dies bereits zuvor getan haben).
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten die sicherere Option verwenden, wenn Sie können ( Durch Zertifizierungsstelle in Metadatensigniertes Zertifikat erforderlich)können. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die weniger sichere Option verwenden (Selbstsigniertes Zertifikat in Metadaten erlauben). Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

3

Wählen Sie SSO-Verbindung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster, indem Sie sich beim IdP anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex-Fehler bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Schritte

Sie können das Verfahren in Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Problembehandlung bei der Integration von Azure Active Directory

Stellen Sie beim SAML-Test sicher, dass Sie Mozilla Firefox verwenden und den SAML-Tracer installieren https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Überprüfen Sie die Assertion, die von Azure stammt, um sicherzustellen, dass sie das korrekte nameid-Format auf hat und über ein uid-Attribut verfügt, das mit einem Benutzer in Webex übereinstimmen.