Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer sicher bei Webex anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren. Ein Identitätsanbieter (IdP) speichert und verwaltet die digitalen Identitäten Ihrer Benutzer sicher und stellt den Benutzerauthentifizierungsdienst für Ihre Webex-Benutzer bereit.

Warum Sie möglicherweise mehrere IdPs benötigen

Viele große Unternehmen unterliegen Fusionen und Übernahmen, und diese Unternehmen haben selten die gleiche IT-Infrastruktur und Identitätsanbieter. Regierungsinstitutionen haben verschiedene Organisationen und Agenturen unter ihnen. Oft haben diese Organisationen eine einzige E-Mail-Adresse für ihre eigenen IT-Abteilungen bzw. ihre eigene Infrastruktur. Große Bildungseinrichtungen haben eine zentrale Einkaufsabteilung, aber verschiedene Universitäten und Hochschulen mit verschiedenen IT-Organisationen und Abteilungen.

Es ist üblich, IdPs und Dienstleister (SPs) im Verbund zu sehen. Der IdP ist für die Authentifizierung der Anmeldeinformationen Ihrer Benutzer verantwortlich, und der SP vertraut der Authentifizierung durch den IdP. Auf diese Weise können Ihre Benutzer mit derselben digitalen Identität auf verschiedene SaaS-Anwendungen und -Dienste zugreifen. Wenn Ihre Organisation aus irgendeinem Grund nicht zwischen den IdPs wechseln kann, bietet Webex eine Problemumgehung zur Unterstützung mehrerer IdPs. Aus diesen Gründen bieten wir Ihnen die Möglichkeit, SSO für mehrere IdPs in Webex zu konfigurieren und den Authentifizierungsprozess Ihrer Benutzer zu vereinfachen.

Beschränkungen

  • Diese Funktion ist nur verfügbar, wenn Sie das erweiterte Sicherheitspaket von Webex erworben haben.
  • Wir unterstützen derzeit nur SAML, OpenID Connect und Webex Identity als Identitätsanbieter.

Nicht in Reichweite

  • Gruppenzuweisungen konfigurieren.

In diesem Abschnitt wird beschrieben, wie Sie Ihre Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können. Sie können die IdPs auswählen, die den Anforderungen Ihrer Organisation am besten entsprechen.

Wenn Sie nach der SSO-Integration einer Webex Meetings-Site (verwaltet in Site-Administration) suchen, finden Sie weitere Informationen unter Konfigurieren der einmaligen Anmeldung für Webex Administration .

Voraussetzungen

Vorbereitungen

Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • Sie müssen über das erweiterte Sicherheitspaket von Webex verfügen, um SSO mit mehreren IdPs in Control Hub zu konfigurieren.
  • Sie müssen eine Vollständige Administratorrolle in Control Hub haben.
  • Eine Metadatendatei vom IdP, die an Webex übergeben werden soll, und eine Metadatendatei von Webex, die an den IdP übergeben werden soll. Weitere Informationen finden Sie unter Integration der einmaligen Anmeldung in Control Hub . Dies gilt nur für die SAML-Konfiguration.
  • Sie sollten Ihr Routing-Regelverhalten planen, bevor Sie mehrere IdPs einrichten.

 
Die Standard-Routing-Regel wird angewendet, wenn Sie Ihren anfänglichen IdP konfigurieren. Sie können jedoch einen anderen IdP als Standard festlegen. Siehe „Routing-Regel hinzufügen oder bearbeiten“ in der Registerkarte „Routing-Regeln“ in diesem Artikel.

SAML konfigurieren

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie SAML als Ihren IdP aus, und klicken Sie auf Next .

4

Wählen Sie den Zertifikattyp aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr IdP-Anbieter unterstützt Anker für Vertrauenszertifikate).

 
Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.
5

Klicken Sie auf Metadaten herunterladen und klicken Sie dann auf Weiter.

Der Name der Webex-App-Metadatendatei lautet idb-meta-SP.xml<org-ID>.

6

Laden Sie Ihre IdPs-Metadatendatei hoch oder füllen Sie das Konfigurationsformular aus.

Beim Hochladen der Metadatendatei gibt es zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.
  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.
Andernfalls geben Sie im Konfigurationsformular die IdP-Informationen ein.

Klicken Sie auf Weiter.

7

(Optional) Sie können den Namen des SAML-Attributs für Webex Benutzername oder Primäre E-Mail-Adresse ändern über uid zu einer mit dem IdP-Manager vereinbarten Sache wie email, upn, usw.

8

(Optional) Konfigurieren Sie die JIT-Einstellungen und die SAML-Zuordnungsantwort.

Siehe „Just In Time (JIT) konfigurieren“ und „SAML-Zuordnung“ in der Registerkarte „IdPs verwalten“ in diesem Artikel.
9

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich bei dem IdP, indem Sie sich anmelden, wenn eine neue Browser-Registerkarte geöffnet wird.


 

Testen Sie die SSO -Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, kann ein Problem mit den Anmeldeinformationen auftreten. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in Zwischenablage kopieren von diesem Bildschirm aus zu klicken und sie in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren .
  • Wenn der Test nicht erfolgreich war, wählen Sie Test nicht erfolgreich. Gehen Sie zurück zu den vorherigen Schritten, um Fehler zu beheben.

 
Die SSO-Konfiguration wird in Ihrer Organisation nur wirksam, wenn Sie die erste Optionsschaltfläche auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Siehe „Routing-Regel hinzufügen oder bearbeiten“ in der Registerkarte „Routing-Regeln“ in diesem Artikel.

Befolgen Sie das Verfahren unter „Automatische E-Mails unterdrücken“ , um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

OpenID Connect konfigurieren

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie OpenID Connect als Ihren IdP aus und klicken Sie auf Next .

4

Geben Sie Ihre IdP-Informationen ein.

  • Name – Der Name, der Ihren IdP identifiziert.
  • Client-ID – Die eindeutige ID, mit der Sie und Ihr IdP identifiziert werden.
  • Client Secret – Das Passwort, das Sie und Ihr IdP kennen.
  • Bereiche – Die Bereiche, die Ihrem IdP zugeordnet werden sollen.
5

Wählen Sie aus, wie Endpunkte hinzugefügt werden sollen. Dies kann automatisch oder manuell erfolgen.

  • Ermittlungs-URL verwenden – Geben Sie die Konfigurations-URL für Ihren IdP ein.
  • Endpunktinformationen manuell hinzufügen – Geben Sie die folgenden Details ein.

    • Aussteller
    • Autorisierungsendpunkt
    • Token-Endpunkt
    • JWKS-Endpunkt
    • Benutzerinformationen-Endpunkt
    Weitere Informationen finden Sie im OpenID Connect Konfigurationsleitfaden .
6

(Optional) Konfigurieren Sie die JIT-Einstellungen (Just In Time).

Siehe „Just In Time (JIT) konfigurieren“ und „SAML-Zuordnung“ in der Registerkarte „IdPs verwalten“ in diesem Artikel.
7

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich bei dem IdP, indem Sie sich anmelden, wenn eine neue Browser-Registerkarte geöffnet wird.


 

Testen Sie die SSO -Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, kann ein Problem mit den Anmeldeinformationen auftreten. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in Zwischenablage kopieren von diesem Bildschirm aus zu klicken und sie in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

8

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren .
  • Wenn der Test nicht erfolgreich war, wählen Sie Test nicht erfolgreich. Gehen Sie zurück zu den vorherigen Schritten, um Fehler zu beheben.

 
Die SSO-Konfiguration wird in Ihrer Organisation nur wirksam, wenn Sie die erste Optionsschaltfläche auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Siehe „Routing-Regel hinzufügen oder bearbeiten“ in der Registerkarte „Routing-Regeln“ in diesem Artikel.

Befolgen Sie das Verfahren unter „Automatische E-Mails unterdrücken“ , um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Webex-Identität konfigurieren

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie Webex als Ihren IdP aus, und klicken Sie auf Weiter .

4

Überprüfen Sie Ich habe gelesen und verstanden, wie Webex IdP funktioniert und klicken Sie auf Weiter .

5

Richten Sie eine Routing-Regel ein.

Siehe „Routing-Regel hinzufügen oder bearbeiten“ in der Registerkarte „Routing-Regeln“ in diesem Artikel.

Nachdem Sie eine Routing-Regel hinzugefügt haben, wird Ihr IdP hinzugefügt und auf der Registerkarte Identitätsanbieter angezeigt.

Nächste Schritte

Sie können das Verfahren in Automatisierte E-Mails unterdrücken um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Routing-Regeln sind anwendbar, wenn mehr als ein IdP eingerichtet wird. Mit Routing-Regeln kann Webex festlegen, an welchen IdP Ihre Benutzer gesendet werden sollen, wenn Sie mehrere IdPs konfiguriert haben.

Wenn Sie mehr als einen IdP einrichten, können Sie Ihre Routing-Regeln im SSO-Konfigurationsassistenten definieren. Wenn Sie den Schritt zur Routing-Regel überspringen, fügt Control Hub den IdP hinzu, aktiviert ihn aber nicht. Sie müssen eine Routing-Regel hinzufügen, um den IdP zu aktivieren.

Routing-Regeln hinzufügen oder bearbeiten

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Gehen Sie zur Registerkarte Routing-Regeln .


 

Bei der Konfiguration Ihres ersten IdP wird die Routing-Regel automatisch hinzugefügt und als „ Standardregel“ festgelegt. Sie können später einen anderen IdP als Standardregel festlegen.

4

Klicken Sie auf Neue Routing-Regel hinzufügen .

5

Geben Sie die Details für eine neue Regel ein:

  • Regelname : Geben Sie den Namen für die Routing-Regel ein.
  • Routing-Typ auswählen – Wählen Sie eine Domäne oder Gruppe aus.
  • Wenn es sich um Ihre Domänen/Gruppen handelt: Geben Sie die Domänen/Gruppen innerhalb Ihrer Organisation ein.
  • Verwenden Sie dann diesen Identitätsanbieter. – Wählen Sie den IdP aus.
6

Klicken Sie auf Hinzufügen.

7

Wählen Sie die neue Routing-Regel aus und klicken Sie auf Aktivieren.


 
Sie können die Reihenfolge der Routing-Regel-Priorität ändern, wenn Sie Routing-Regeln für mehrere IdPs haben.

Routing-Regeln deaktivieren oder löschen

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Gehen Sie zur Registerkarte Routing-Regeln .

4

Wählen Sie die Routing-Regel aus.

5

Wählen Sie diese Option aus, wenn Sie die Routing-Regel deaktivieren oder löschen möchten.

Es wird empfohlen, eine andere aktive Routing-Regel für den IdP festzulegen. Andernfalls können Probleme mit Ihrer SSO-Anmeldung auftreten.


 
Die Standardregel kann nicht deaktiviert oder gelöscht werden, aber Sie können den gerouteten IdP ändern.

Ihre Identitätsanbieter-Zertifikate (IdP) verwalten

Vorbereitungen


 

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter über eine eigene spezifische Dokumentation für die Zertifikatsverlängerung verfügen, behandeln wir die Erfordernisse in Control Hub sowie allgemeine Schritte zum Abrufen aktualisierter IdP-Metadaten und zum Hochladen in Control Hub, um das Zertifikat zu erneuern.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Zum IdP wechseln, klicken Sie aufuploadund wählen Sie Idp-metadaten hochladen .

Klicken Sie zum Herunterladen der Metadatendatei aufDownloadund wählen Sie Idp-metadaten herunterladen .
5

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

6

Kehren Sie zum Control Hub zurück und ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in den Upload-Bereich oder klicken Sie auf Datei auswählen , um die Metadaten hochzuladen.

7

Wählen Sie je nachdem, wie Ihre IdP-Metadaten signiert sind, „Weniger sicher“ (selbstsigniert) oder „Mehr sicher“ (von einer öffentlichen Zertifizierungsstelle signiert) aus, und klicken Sie auf „Speichern“ .

8

Konfigurieren Sie die JIT-Einstellungen (Just In Time) und SAML-Zuordnungsantwort.

Siehe „Just In Time (JIT) konfigurieren“ und „SAML-Zuordnung“ in der Registerkarte „IdPs verwalten“ in diesem Artikel.
9

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich bei dem IdP, indem Sie sich anmelden, wenn eine neue Browser-Registerkarte geöffnet wird.


 

Testen Sie die SSO -Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, kann ein Problem mit den Anmeldeinformationen auftreten. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in Zwischenablage kopieren von diesem Bildschirm aus zu klicken und sie in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Klicken Sie auf Speichern.

Ihre Service Provider (SP)-Zertifikate verwalten

Vorbereitungen


 

Es wird empfohlen, dass Sie alle Ihre IdPs in Ihrer Organisation aktualisieren, wenn Sie Ihr SP-Zertifikat erneuern.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf.

5

Klicken Sie auf Zertifikate und Ablaufdatum prüfen .

Dies führt Sie zum Fenster Dienstanbieterzertifikate .
6

Klicken Sie auf Zertifikat verlängern .

7

Wählen Sie den IdP-Typ in Ihrer Organisation aus:

  • Ein IdP, der mehrere Zertifikate unterstützt
  • Ein IdP, der ein einzelnes Zertifikat unterstützt
8

Wählen Sie den Zertifikatstyp für die Erneuerung aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Vertrauensanker).

 
Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.
9

Klicken Sie auf Metadaten herunterladen oder Zertifikat herunterladen , um eine Kopie der aktualisierten Metadatendatei oder des Zertifikats aus der Webex-Cloud herunterzuladen.

10

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Webex-Metadatendatei oder das neue Webex-Zertifikat hochzuladen.

Dieser Schritt kann über eine Browser-Registerkarte, ein Remote Desktop Protocol (RDP) oder über einen bestimmten Cloud-Provider-Support ausgeführt werden, abhängig von Ihrer IdP-Einrichtung und davon, ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.

Weitere Informationen finden Sie in unseren SSO-Integrationsleitfäden oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten. Wenn Sie Active Directory Federation Services (AD FS) verwenden, können Sie sehen, wie Sie Webex-Metadaten in AD FS aktualisieren.

11

Kehren Sie zur Control Hub-Oberfläche zurück und klicken Sie auf Weiter .

12

Wählen Sie Alle IdPs wurden erfolgreich aktualisiert und klicken Sie auf Weiter .

Dadurch wird die SP-Metadatendatei oder das Zertifikat auf alle IdPs in Ihrer Organisation hochgeladen.

13

Klicken Sie auf Erneuerung abschließen .

SSO-Einrichtung prüfen

Vorbereitungen

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf.

5

Wählen Sie IdP testen .

6

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich bei dem IdP, indem Sie sich anmelden, wenn eine neue Browser-Registerkarte geöffnet wird.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann ein Problem mit den Anmeldeinformationen auftreten. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in Zwischenablage kopieren von diesem Bildschirm aus zu klicken und sie in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

7

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test. Aktivieren Sie SSO und IdP und klicken Sie auf Speichern .
  • Wenn der Test nicht erfolgreich war, wählen Sie Test nicht erfolgreich. Gehen Sie zurück zu den vorherigen Schritten, um Fehler zu beheben.

 
Die SSO -Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Optionsfeld auswählen und SSO aktivieren.

Just In Time (JIT)- und SAML-Zuordnung konfigurieren

Vorbereitungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • SSO ist bereits konfiguriert.

  • Die Domänen wurden bereits verifiziert.

  • Die Domänen werden beansprucht und aktiviert. Diese Funktion stellt sicher, dass Benutzer aus Ihrer Domäne einmal erstellt und aktualisiert werden, wenn sie sich bei Ihrem IdP authentifizieren.

  • Wenn DirSync oder Azure AD aktiviert sind, funktioniert das Erstellen oder Aktualisieren von SAML JIT nicht.

  • „Benutzerprofilaktualisierung blockieren“ ist aktiviert. Die SAML-Aktualisierungszuordnung ist zulässig, da diese Konfiguration die Möglichkeit des Benutzers steuert, die Attribute zu bearbeiten. Vom Administrator kontrollierte Methoden der Erstellung und Aktualisierung werden weiterhin unterstützt.


 

Wenn Sie SAML JIT mit Azure AD oder einem IdP einrichten, bei dem die E-Mail keine dauerhafte ID ist, empfehlen wir die Verwendung der externalId Verknüpfung des Attributs zur Zuordnung zu einer eindeutigen Kennung. Wenn festgestellt wird, dass die E-Mail nicht mit dem Verknüpfungsattribut übereinstimmt, wird der Benutzer aufgefordert, seine Identität zu überprüfen oder einen neuen Benutzer mit der richtigen E-Mail-Adresse zu erstellen.

Neu erstellte Benutzer erhalten nicht automatisch zugewiesene Lizenzen, es sei denn, die Organisation hat eine automatische Lizenzvorlage eingerichtet.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf.

5

Wählen Sie SAML-Zuordnung bearbeiten .

6

Konfigurieren Sie JIT-Einstellungen (Just-in-Time) .

  • Benutzer erstellen oder aktivieren: Wenn kein aktiver Benutzer gefunden wird, erstellt Webex Identity den Benutzer und aktualisiert die Attribute, nachdem sich der Benutzer beim IdP authentifiziert hat.
  • Benutzer mit SAML-Attributen aktualisieren: Wenn ein Benutzer mit E-Mail-Adresse gefunden wird, aktualisiert Webex Identity den Benutzer mit den Attributen, die in der SAML-Assertion zugeordnet sind.
Bestätigen Sie, dass sich Benutzer mit einer anderen, nicht identifizierbaren E-Mail-Adresse anmelden können.
7

Konfigurieren Sie SAML-Zuordnung erforderliche Attribute .

Tabelle 1: Erforderliche Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Benutzername/primäre E-Mail-Adresse

Beispiel: Uid

Ordnen Sie das UID-Attribut der angegebenen E-Mail-Adresse des Benutzers, UPN oder edupersonprincipalname zu.

8

Konfigurieren Sie das Attribut „Verknüpfen“ .

Dies sollte für den Benutzer eindeutig sein. Es wird verwendet, um einen Benutzer zu suchen, damit Webex alle Profilattribute aktualisieren kann, einschließlich der E-Mail-Adresse für einen Benutzer.
Tabelle 2: Verknüpfende Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Beschäftigtenzahl

Beispiel: user.employeeid

Die Mitarbeiter-Nummer des Benutzers oder eine Identifikationsnummer in der Personalabteilung des Benutzers. Beachten Sie, dass dies nicht für externalid, da Sie wiederverwenden oder recyceln können employeenumber für andere Benutzer.

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Ordnen Sie diese benutzerdefinierten Attribute für Tracking-Codes den erweiterten Attributen in Active Directory, Azure oder Ihrem Verzeichnis zu.

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionlattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

9

Konfigurieren Sie Profilattribute .

Tabelle 3. Profilattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Beschäftigtenzahl

Beispiel: user.employeeid

Die Mitarbeiter-Nummer dieses Benutzers oder eine Identifikationsnummer innerhalb seines HR-Systems. Beachten Sie, dass dies nicht für "extern gültig" ist, da Sie "Employeenumber" für andere Benutzer wiederverwenden oder recyceln können.

preferredLanguage

Beispiel: user.preferredlanguage

Die bevorzugte Sprache des Benutzers.

locale

Beispiel: user.locale

Der primäre Arbeitsstandort des Benutzers.

timezone

Beispiel: Benutzer.Zeitzone

Die primäre Zeitzone des Benutzers.

displayName

Beispiel: user.displayname

Der Anzeigename des Benutzers in Webex.

name.givenName

Beispiel: user.givenname

Der Vorname des Benutzers.

name.familyName

Beispiel: benutzer.Nachname

Der Nachname des Benutzers.

adressen.streetAddress

Beispiel: user.streetaddress

Die Postanschrift des primären Arbeitsstandorts.

Adressen.Status

Beispiel: user.status

Der Status des primären Arbeitsstandorts.

Adressen.Region

Beispiel: user.region

Die Region des primären Arbeitsstandorts.

adressen.postalCode

Beispiel: user.postalcode

Die Postleitzahl des primären Arbeitsstandorts.

Adressen.Land

Beispiel: user.country

Das Land des primären Arbeitsstandorts.

phoneNumbers.work

Beispiel: Berufstelefonnummer

Die geschäftliche Telefonnummer des primären Arbeitsstandorts. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

phoneNumbers.extension

Beispiel: Handytelefonnummer

Die geschäftliche Durchwahl der primären geschäftlichen Telefonnummer. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

Pronomen

Beispiel: user.pronoun

Die Pronomen des Benutzers. Dies ist ein optionales Attribut, das der Benutzer oder Administrator in seinem Profil sichtbar machen kann.

title

Beispiel: user.jobtitle

Die Positionsbezeichnung des Benutzers

abteilung

Beispiel: user.department

Die Arbeitsabteilung oder das Team des Benutzers.

Pronomen

Beispiel: user.pronoun

Dies ist das Pronomen des Benutzers. Die Sichtbarkeit dieses Attributs wird durch den Administrator und den Benutzer gesteuert

Manager

Beispiel: Manager

Der Benutzermanager oder die Teamleitung des Benutzers.

Rechenzentrum

Beispiel: Kostenstelle

Dies ist der Nachname des Benutzers, auch bekannt als Nachname oder Familienname

E-Mail.Alternativ1

Beispiel: user.mailnickname

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass sich der Benutzer damit anmelden kann, ordnen Sie die Anmeldung der UID zu.

E-Mail.alternate2

Beispiel: user.primaryauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass sich der Benutzer damit anmelden kann, ordnen Sie die Anmeldung der UID zu.

E-Mail.alternate3

Beispiel: user.alternativeauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass sich der Benutzer damit anmelden kann, ordnen Sie die Anmeldung der UID zu.

E-Mail.alternativ4

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass sich der Benutzer damit anmelden kann, ordnen Sie die Anmeldung der UID zu.

E-Mail.Alternativ5

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass sich der Benutzer damit anmelden kann, ordnen Sie die Anmeldung der UID zu.
10

Konfigurieren Sie Durchwahlattribute .

Ordnen Sie diese Attribute für Tracking-Codes den erweiterten Attributen in Active Directory, Azure oder Ihrem Verzeichnis zu.
Tabelle 4. Durchwahlattribute

Webex-Identitätsattributname

SAML-Attributname

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

Erweiterungsattribut 6

Beispiel: user.extensionattribute6

Erweiterungsattribut 7

Beispiel: user.extensionattribute7

Erweiterungsattribut 8

Beispiel: user.extensionattribute8

Erweiterungsattribut 9

Beispiel: user.extensionattribute9

Erweiterungsattribut 10

Beispiel: user.extensionattribute10

11

Konfigurieren Sie Gruppenattribute .

  1. Erstellen Sie eine Gruppe in Control Hub und notieren Sie sich die Webex-Gruppen-ID.
  2. Rufen Sie Ihr Benutzerverzeichnis oder IdP auf und richten Sie ein Attribut für Benutzer ein, die der Webex-Gruppen-ID zugewiesen werden.
  3. Aktualisieren Sie die Konfiguration Ihres IdP, um einen Anspruch mit diesem Attributnamen zusammen mit der Webex-Gruppen-ID einzuschließen (z. B. c65f7d85-b691-42b8-a20b12345xxxx). Sie können die externe ID auch für die Verwaltung von Änderungen an Gruppennamen oder für zukünftige Integrationsszenarien verwenden. Zum Beispiel Synchronisierung mit Azure AD oder Implementierung der SCIM-Gruppensynchronisierung.
  4. Geben Sie den genauen Namen des Attributs an, das in der SAML-Assertion mit der Gruppen-ID gesendet wird. Dies wird verwendet, um den Benutzer zu einer Gruppe hinzuzufügen.
  5. Geben Sie den exakten Namen der externen ID des Gruppenobjekts an, wenn Sie eine Gruppe aus Ihrem Verzeichnis verwenden, um Mitglieder in der SAML-Assertion zu senden.

 

Wenn Benutzer A mit groupID 1234 und Benutzer B mit groupID 4567 sind sie separaten Gruppen zugeordnet. Dieses Szenario zeigt an, dass ein einzelnes Attribut Benutzern die Zuordnung mit mehreren Gruppen-IDs ermöglicht. Dies ist zwar ungewöhnlich, aber möglich und kann als additive Änderung angesehen werden. Beispiel: Wenn sich Benutzer A anfänglich anmeldet mit groupID 1234 werden sie Mitglied der entsprechenden Gruppe. Wenn sich Ein Benutzer später bei der Verwendung anmeldet groupID 4567, sie werden auch zu dieser zweiten Gruppe hinzugefügt.

Die SAML JIT-Bereitstellung unterstützt nicht das Entfernen von Benutzern aus Gruppen oder das Löschen von Benutzern.

Tabelle 5: Gruppenattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Gruppierung

Beispiel: Gruppierung

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

GrouexternalId

Beispiel: GrouexternalId

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

Eine Liste der SAML-Durchsetzungsattribute für Webex Meetings finden Sie unter https://help.webex.com/article/WBX67566.

Ihren Identitätsanbieter (IdP) löschen

Vorbereitungen


 
Es wird empfohlen, zunächst die Routing-Regeln des IdP zu deaktivieren oder zu löschen, bevor Sie den IdP löschen.
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf.

5

Wählen Sie Löschen aus.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

3

Öffnen Sie die Registerkarte Identitätsanbieter .

4

Klicken Sie auf SSO deaktivieren .

SSO-Deaktivierung bestätigen.

Nach der Bestätigung wird SSO für alle IdPs in Ihrer Organisation deaktiviert.

Sie erhalten Warnungen in Control Hub, bevor Zertifikate ablaufen, aber Sie können auch proaktiv Warnungsregeln einrichten. Diese Regeln informieren Sie im Voraus darüber, dass Ihre SP- oder IdP-Zertifikate ablaufen. Diese können wir Ihnen per E-Mail, über einen Bereich in der Webex-App oder über beides senden.


 

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hub angezeigt. Weitere Informationen finden Sie unter Alerts Center in Control Hub .

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Alerts Center .

3

Wählen Sie „Verwalten“ und „Alle Regeln“ .

4

Wählen Sie in der Liste Regeln eine der SSO-Regeln aus, die Sie erstellen möchten:

  • Ablauf des SSO IDP-Zertifikats
  • Ablauf des SSO SP-Zertifikats
5

Aktivieren Sie im Abschnitt „Lieferkanal“ das Kontrollkästchen für E-Mail , Webex-Bereich oder beides.

Wenn Sie E-Mail auswählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.


 

Wenn Sie die Option „Webex-Bereich“ auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex-App hinzugefügt, und wir senden die Benachrichtigungen dorthin.

6

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden alle 15 Tage ab 60 Tagen vor Ablauf Warnungen zum Ablauf des Zertifikats. (Warnungen sind an den Tagen 60, 45, 30 und 15 möglich.) Warnungen werden beendet, wenn Sie das Zertifikat erneuern.

Wenn bei Ihrer SSO-Anmeldung Probleme auftreten, können Sie die SSO-Eigenwiederherstellungsoption verwenden, um Zugriff auf Ihre im Control Hub verwaltete Webex-Organisation zu erhalten. Mit der Option zur Eigenwiederherstellung können Sie SSO in Control Hub aktualisieren oder deaktivieren.