Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer auf sichere Weise bei Webex anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren. Ein Identitätsanbieter (Identity Provider, IdP) speichert und verwaltet die digitalen Identitäten Ihrer Benutzer sicher und stellt den Benutzerauthentifizierungsdienst für Ihre Webex-Benutzer bereit.

Warum Sie möglicherweise mehrere IdPs benötigen

Viele große Unternehmen durchlaufen Fusionen und Übernahmen, und diese Unternehmen verfügen selten über die gleichen IT-Infrastrukturen und Identitätsanbieter. Staatliche Institutionen verfügen über verschiedene Organisationen und Behörden. Häufig verfügen diese Organisationen über eine einzige E-Mail-Adresse für ihre eigenen IT-Abteilungen bzw. ihre eigene Infrastruktur. Große Bildungseinrichtungen haben eine zentrale Einkaufsabteilung, aber verschiedene Universitäten und Hochschulen mit unterschiedlichen IT-Organisationen und -Abteilungen.

Es ist üblich, dass sich IdPs und Dienstanbieter (SPs) miteinander verbinden. Der IdP ist für die Authentifizierung der Anmeldeinformationen Ihrer Benutzer verantwortlich, und der SP vertraut der Authentifizierung durch den IdP. Auf diese Weise können Ihre Benutzer mithilfe derselben digitalen Identität auf verschiedene SaaS-Anwendungen und -Dienste zugreifen. Wenn Ihre Organisation jedoch aus irgendeinem Grund keinen Verbund zwischen den IdPs herstellen kann, bietet Webex eine Problemumgehung zur Unterstützung mehrerer IdPs an. Aus diesen Gründen geben wir Ihnen die Möglichkeit, SSO für mehrere IdPs in Webex zu konfigurieren und den Authentifizierungsprozess Ihrer Benutzer zu vereinfachen.

Beschränkungen

  • Diese Funktion ist nur verfügbar, wenn Sie das erweiterte Sicherheitspaket für Webex erworben haben.
  • Derzeit unterstützen wir nur SAML, OpenID Connect und Webex Identity als Identitätsanbieter.

Nicht im Gestaltungsbereich

  • Konfigurieren Sie Gruppenzuweisungen.

In diesem Abschnitt wird erläutert, wie Sie Ihre Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können. Sie können die IdPs auswählen, die den Anforderungen Ihrer Organisation am besten entsprechen.

Wenn Sie eine SSO-Integration für eine Webex Meetings-Site (verwaltet in der Site-Administration) suchen, lesen Sie Konfigurieren der einmaligen Anmeldung für Webex-Administration.

Voraussetzungen

Vorbereitungen

Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • Sie benötigen das erweiterte Sicherheitspaket für Webex, um SSO mit mehreren IdPs in Control Hub zu konfigurieren.
  • Sie müssen in Control Hub über eine vollständige Administratorrolle verfügen.
  • Eine Metadatendatei vom IdP, die Webex übergeben werden soll, und eine Metadatendatei von Webex, die dem IdP übergeben werden soll. Weitere Informationen finden Sie unter Single Sign-On-Integration in Control Hub. Dies gilt nur für die SAML-Konfiguration.
  • Sie sollten das Verhalten Ihrer Routing-Regeln planen, bevor Sie mehrere IdPs einrichten.
Die Standard-Routing-Regel wird angewendet, sobald Sie Ihren ursprünglichen IdP konfiguriert haben. Sie können jedoch einen anderen IdP als Standard festlegen. Weitere Informationen finden Sie auf der Registerkarte Routing-Regeln in diesem Artikel unter Routing-Regel hinzufügen oder bearbeiten .
SAML konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie SAML als Ihren IdP aus und klicken Sie auf Weiter.

4

Wählen Sie den Zertifikattyp aus:

  • Selbstsigniert von Cisco – Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Anchors für Vertrauensstellung).
Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.
5

Klicken Sie auf Metadaten herunterladen und klicken Sie dann auf Weiter.

Der Name der Metadatendatei der Webex-App lautet idb-meta--SP.xml.

6

Laden Sie Ihre IdPs-Metadatendatei hoch oder füllen Sie das Konfigurationsformular aus.

Beim Hochladen der Metadatendatei gibt es zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.
  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.
Geben Sie andernfalls im Konfigurationsformular die IdP-Informationen ein.

Klicken Sie auf Weiter.

7

(Optional) Sie können den Namen des SAML-Attributs für den Webex-Benutzernamen oder die primäre E-Mail-Adresse von uid in etwas ändern, das mit dem IdP-Manager vereinbart wurde, z. B. email, upn usw.

8

(Optional) Konfigurieren Sie die JIT-Einstellungen (Just In Time) und die SAML-Zuordnungsantwort.

Weitere Informationen finden Sie in diesem Artikel unter JIT- und SAML-Zuordnung konfigurieren auf der Registerkarte „IdPs verwalten“.
9

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich, wenn sich eine neue Browser-Registerkarte öffnet, durch Anmeldung beim IdP.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in die Zwischenablage kopieren von diesem Bildschirm aus zu klicken und in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Kehren Sie zu den vorherigen Schritten zurück, um Fehler zu beheben.
Die SSO-Konfiguration wird in Ihrer Organisation nur wirksam, wenn Sie das erste Optionsfeld auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Weitere Informationen finden Sie auf der Registerkarte Routing-Regeln in diesem Artikel unter Routing-Regel hinzufügen oder bearbeiten .

Sie können das Verfahren unter Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

OpenID Connect konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie als IdP OpenID Connect aus und klicken Sie auf Weiter.

4

Geben Sie Ihre IdP-Informationen ein.

  • Name – Der Name, um Ihren IdP zu identifizieren.
  • Client-ID – Die eindeutige ID, mit der Sie und Ihr IdP identifiziert werden können.
  • Client Secret – Das Passwort, das Sie und Ihr IdP kennen.
  • Bereiche – Die Bereiche, die Ihrem IdP zugeordnet werden sollen.

5

Wählen Sie aus, wie Endpunkte hinzugefügt werden sollen. Dies kann automatisch oder manuell erfolgen.

  • Such-URL verwenden: Geben Sie die Konfigurations-URL für Ihren IdP ein.
  • Informationen zu Endpunkten manuell hinzufügen: Geben Sie die folgenden Details ein.

    • Aussteller
    • Autorisierungsendpunkt
    • Token-Endpunkt
    • JWKS-Endpunkt
    • Benutzerinformationen-Endpunkt
    Weitere Informationen finden Sie im Konfigurationshandbuch für OpenID Connect.

6

(Optional) Konfigurieren Sie die JIT-Einstellungen (Just In Time).

Weitere Informationen finden Sie in diesem Artikel unter JIT- und SAML-Zuordnung konfigurieren auf der Registerkarte „IdPs verwalten“.
7

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich, wenn sich eine neue Browser-Registerkarte öffnet, durch Anmeldung beim IdP.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in die Zwischenablage kopieren von diesem Bildschirm aus zu klicken und in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

8

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Kehren Sie zu den vorherigen Schritten zurück, um Fehler zu beheben.
Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie das erste Optionsfeld auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Weitere Informationen finden Sie auf der Registerkarte Routing-Regeln in diesem Artikel unter Routing-Regel hinzufügen oder bearbeiten .

Sie können das Verfahren unter Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Webex-Identität konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten , um den Konfigurationsassistenten zu starten.

3

Wählen Sie Webex als IdP aus und klicken Sie auf Weiter.

4

Aktivieren Sie das Kontrollkästchen Ich habe die Funktionsweise von Webex IdP gelesen und verstanden , und klicken Sie auf Weiter.

5

Richten Sie eine Routing-Regel ein.

Weitere Informationen finden Sie auf der Registerkarte Routing-Regeln in diesem Artikel unter Routing-Regel hinzufügen oder bearbeiten .

Nachdem Sie eine Routing-Regel hinzugefügt haben, wird Ihr IdP hinzugefügt und auf der Registerkarte Identitätsanbieter angezeigt.

Nächste Schritte

Anhand des Verfahrens unter Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Benutzer der Webex-App in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Routing-Regeln gelten, wenn Sie mehr als einen IdP einrichten. Routing-Regeln ermöglichen es Webex, zu welchem IdP Ihre Benutzer senden soll, wenn Sie mehrere IdPs konfiguriert haben.

Wenn Sie mehr als einen IdP einrichten, können Sie Ihre Routing-Regeln im SSO-Konfigurationsassistenten definieren. Wenn Sie den Schritt der Routing-Regel überspringen, fügt Control Hub den IdP hinzu, aktiviert ihn jedoch nicht. Sie müssen eine Routing-Regel hinzufügen, um den IdP zu aktivieren.

Routing-Regeln hinzufügen oder bearbeiten
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Rufen Sie die Registerkarte Routing-Regeln auf.

Wenn Sie Ihren ersten IdP konfigurieren, wird die Routing-Regel automatisch hinzugefügt und als Standardregel festgelegt. Sie können einen anderen IdP auswählen, der später als Standardregel festgelegt werden soll.

4

Klicken Sie auf Neue Routing-Regel hinzufügen.

5

Geben Sie die Details für eine neue Regel ein:

  • Regelname: Geben Sie den Namen für die Routing-Regel ein.
  • Routing-Typ auswählen: Wählen Sie eine Domäne oder eine Gruppe aus.
  • Wenn es sich um Ihre Domänen/Gruppen handelt: Geben Sie die Domänen/Gruppen innerhalb Ihrer Organisation ein.
  • Verwenden Sie dann diesen Identitätsanbieter: Wählen Sie den IdP aus.

6

Klicken Sie auf Hinzufügen.

7

Wählen Sie die neue Routing-Regel aus und klicken Sie auf Aktivieren.

Sie können die Prioritätsreihenfolge der Routing-Regel ändern, wenn Sie Routing-Regeln für mehrere IdPs haben.
Routing-Regeln deaktivieren oder löschen
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Rufen Sie die Registerkarte Routing-Regeln auf.

4

Wählen Sie die Routing-Regel aus.

5

Wählen Sie aus, ob Sie die Routing-Regel deaktivieren oder löschen möchten.

Es wird empfohlen, dass Sie eine weitere aktive Routing-Regel für den IdP haben. Andernfalls können Probleme mit Ihrer SSO-Anmeldung auftreten.

Die Standardregel kann nicht deaktiviert oder gelöscht werden, aber Sie können den weitergeleiteten IdP ändern.
Ihre Identitätsanbieter-Zertifikate (IdP) verwalten

Vorbereitungen

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter über ihre eigene spezifische Dokumentation für die Zertifikatserneuerung verfügen, decken wir die in Control Hub erforderlichen Informationen zusammen mit allgemeinen Schritten zum Abrufen aktualisierter IdP-Metadaten und laden sie auf Control Hub hoch, um das Zertifikat zu erneuern.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Gehen Sie zum IdP, klicken Sie auf hochladen und wählen Sie IdP-Metadaten hochladen aus.

Klicken Sie zum Herunterladen der Metadatendatei auf Download und wählen Sie Idp-metadaten herunterladen aus.
5

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

6

Kehren Sie zu Control Hub zurück und ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in den Upload-Bereich oder klicken Sie auf Datei auswählen , um die Metadaten hochzuladen.

7

Wählen Sie Weniger sicher (selbstsigniert) oder Sicherer (signiert von einer öffentlichen Zertifizierungsstelle), je nachdem, wie Ihre IdP-Metadaten signiert sind, und klicken Sie auf Speichern.

8

Konfigurieren Sie die JIT-Einstellungen (Just In Time) und die SAML-Zuordnungsantwort.

Weitere Informationen finden Sie in diesem Artikel unter JIT- und SAML-Zuordnung konfigurieren auf der Registerkarte „IdPs verwalten“.
9

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich, wenn sich eine neue Browser-Registerkarte öffnet, durch Anmeldung beim IdP.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie einen Authentifizierungsfehler erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in die Zwischenablage kopieren von diesem Bildschirm aus zu klicken und in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Klicken Sie auf Speichern.

Serviceanbieterzertifikate verwalten

Vorbereitungen

Es wird empfohlen, dass Sie alle IdPs in Ihrer Organisation aktualisieren, wenn Sie Ihr SP-Zertifikat erneuern.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf .

5

Klicken Sie auf Zertifikate und Ablaufdatum prüfen.

Daraufhin gelangen Sie zum Fenster Serviceanbieter-Zertifikate .
6

Klicken Sie auf Zertifikat erneuern.

7

Wählen Sie den IdP-Typ in Ihrer Organisation aus:

  • Ein Identitätsanbieter (IdP), der mehrere Zertifikate unterstützt
  • Ein Identitätsanbieter (IdP), der ein einzelnes Zertifikat unterstützt
8

Wählen Sie den Zertifikattyp für die Verlängerung aus:

  • Selbstsigniert von Cisco – Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Anchors für Vertrauensstellung).
Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.
9

Klicken Sie auf Metadaten herunterladen oder Zertifikat herunterladen , um eine Kopie der aktualisierten Metadatendatei oder des aktualisierten Zertifikats aus der Webex-Cloud herunterzuladen.

10

Navigieren Sie zur IdP-Verwaltungsoberfläche, um die neue Webex-Metadatendatei oder das neue Zertifikat hochzuladen.

Dieser Schritt kann über eine Browser-Registerkarte, ein Remote-Desktop-Protokoll (RDP) oder über einen bestimmten Cloud-Anbieter-Support erfolgen. Dies hängt von Ihrer IdP-Einrichtung ab und ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.

Weitere Informationen finden Sie in unseren SSO-Integrationsleitfäden oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten. Wenn Sie Active Directory Federation Services (AD FS) verwenden, können Sie sehen, wie Sie die Webex-Metadaten in AD FS aktualisieren.

11

Kehren Sie zur Control Hub-Benutzeroberfläche zurück und klicken Sie auf Weiter.

12

Wählen Sie Alle IdPs erfolgreich aktualisiert aus und klicken Sie auf Weiter.

Dadurch wird die SP-Metadatendatei oder das Zertifikat auf alle IdPs in Ihrer Organisation hochgeladen.

13

Klicken Sie auf Erneuerung abschließen.

SSO-Einrichtung prüfen

Vorbereitungen

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf Menü „Mehr“ .

5

Wählen Sie IdP testen aus.

6

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich, wenn sich eine neue Browser-Registerkarte öffnet, durch Anmeldung beim IdP.

Wenn Sie einen Authentifizierungsfehler erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung anzuzeigen, empfehlen wir Ihnen, auf URL in die Zwischenablage kopieren von diesem Bildschirm aus zu klicken und in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

7

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Speichern.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Kehren Sie zu den vorherigen Schritten zurück, um Fehler zu beheben.
Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Just-In-Time-Zuordnung (JIT) und SAML-Zuordnung konfigurieren

Vorbereitungen

Stellen Sie sicher, dass die folgenden Vorbedingungen erfüllt werden:

  • SSO ist bereits konfiguriert.

  • Die Domänen wurden bereits verifiziert.

  • Die Domänen werden beansprucht und aktiviert. Diese Funktion stellt sicher, dass Benutzer aus Ihrer Domäne bei jeder Authentifizierung bei Ihrem IdP einmal erstellt und aktualisiert werden.

  • Wenn DirSync oder Azure AD aktiviert sind, funktioniert das Erstellen oder Aktualisieren von SAML JIT nicht.

  • "Block Benutzerprofil Aktualisierung" ist aktiviert. SAML Update Mapping (SAML-Aktualisierungszuordnung) ist zulässig, da diese Konfiguration die Möglichkeit des Benutzers steuert, die Attribute zu bearbeiten. Vom Administrator kontrollierte Methoden der Erstellung und Aktualisierung werden weiterhin unterstützt.

Wenn Sie SAML JIT mit Azure AD oder einem IdP einrichten, bei dem die E-Mail-Adresse keine dauerhafte Kennung ist, empfehlen wir Ihnen, das verknüpfende Attribut externalId zu verwenden, um einer eindeutigen Kennung zuzuordnen. Wenn wir feststellen, dass die E-Mail nicht mit dem verknüpfenden Attribut übereinstimmt, wird der Benutzer aufgefordert, seine Identität zu verifizieren oder einen neuen Benutzer mit der richtigen E-Mail-Adresse zu erstellen.

Neu erstellte Benutzer erhalten lizenzen nicht automatisch, es sei denn, das Unternehmen hat eine automatische Lizenzvorlage eingerichtet.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf Menü „Mehr“ .

5

Wählen Sie SAML-Zuordnung bearbeiten aus.

6

Konfigurieren Sie die Just-in-Time-Einstellungen (JIT).

  • Benutzer erstellen oder aktivieren: Wenn kein aktiver Benutzer gefunden wird, erstellt Webex Identity den Benutzer und aktualisiert die Attribute, nachdem sich der Benutzer beim IdP authentifiziert hat.
  • Benutzer mit SAML-Attributen aktualisieren: Wenn ein Benutzer mit E-Mail-Adresse gefunden wird, aktualisiert Webex Identity den Benutzer mit den in der SAML-Assertion zugeordneten Attributen.
Bestätigen Sie, dass sich die Benutzer mit einer anderen, nicht identifizierbaren E-Mail-Adresse anmelden können.

7

Konfigurieren Sie die für die SAML-Zuordnung erforderlichen Attribute.

Tabelle 1. Erforderliche Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Benutzername/Primäre E-Mail-Adresse

Beispiel: Uid

Ordnen Sie das UID-Attribut der angegebenen E-Mail-Adresse des Benutzers, UPN oder edupersonprincipalname zu.

8

Konfigurieren Sie die verknüpfenden Attribute.

Dies sollte für den Benutzer eindeutig sein. Sie wird verwendet, um einen Benutzer zu suchen, damit Webex alle Profilattribute aktualisieren kann, einschließlich der E-Mail-Adresse für einen Benutzer.
Tabelle 2: Verknüpfende Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Mitarbeiternummer

Beispiel: user.employeeid

Die Mitarbeiternummer des Benutzers oder eine Identifikationsnummer im HR-System. Beachten Sie, dass dies nicht für externalid ist, da Sie Beschäftigungsnummer für andere Benutzer wiederverwenden oder recyceln können.

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Ordnen Sie diese benutzerdefinierten Attribute erweiterten Attributen in Active Directory, Azure oder Ihrem Verzeichnis für Tracking-Codes zu.

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionlattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

9

Konfigurieren Sie Profilattribute.

Tabelle 3. Profilattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Mitarbeiternummer

Beispiel: user.employeeid

Die Mitarbeiternummer des Nutzers oder eine Identifizierungsnummer innerhalb des Personalsystems. Beachten Sie, dass dies keine "externalid" ist, da Sie die "Mitarbeiternummer" für andere Benutzer wiederverwerten oder wiederverwerten können.

preferredLanguage

Beispiel: user.preferredsprache

Die bevorzugte Sprache des Benutzers.

locale

Beispiel: user.locale

Der primäre Arbeitsstandort des Benutzers.

timezone

Beispiel: user.zeitzone

Die primäre Zeitzone des Benutzers.

displayName

Beispiel: user.displayname

Der Anzeigename des Benutzers in Webex.

name.givenName

Beispiel: user.givenname

Der Vorname des Benutzers.

name.familyName

Beispiel: Benutzer. Nachname

Der Nachname des Benutzers.

Adressen.streetAddress

Beispiel: user.streetaddress

Die Postanschrift des primären Arbeitsstandorts.

Adressen.Status

Beispiel: Benutzerstatus

Der Status ihres primären Arbeitsstandorts.

Adressen.Region

Beispiel: Benutzer.Region

Die Region des primären Arbeitsstandorts.

Adressen.postalCode

Beispiel: user.postalcode

Die Postleitzahl des primären Arbeitsstandorts.

Adressen.Land

Beispiel: Benutzer.Land

Das Land des primären Arbeitsstandorts.

phoneNumbers.work

Beispiel: Telefonnummer (arbeit)

Die geschäftliche Telefonnummer des primären Arbeitsstandorts. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

phoneNumbers.extension

Beispiel: Mobiltelefonnummer

Die geschäftliche Durchwahl der primären geschäftlichen Telefonnummer. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

Pronomen

Beispiel: user.pronoun

Die Pronounen des Benutzers. Dies ist ein optionales Attribut, das der Benutzer oder Administrator in seinen Profil sichtbar machen kann.

title

Beispiel: user.jobtitle

Die Position des Benutzers.

abteilung

Beispiel: Benutzer.Abteilung

Die Arbeitsabteilung oder das Team des Benutzers.

Pronomen

Beispiel: user.pronoun

Dies ist die Pronoun des Benutzers. Die Sichtbarkeit dieses Attributs wird vom Administrator und dem Benutzer gesteuert

manager

Beispiel: manager

Der Manager des Benutzers oder die Teamleitung des Benutzers.

Kostenzentrum

Beispiel: Kostenstelle

Dies ist der Nachname des Benutzers, auch nachnamen oder Nachname genannt.

email.alternate1

Beispiel: user.mailnickname

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate2

Beispiel: user.primaryauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate3

Beispiel: user.alternativeauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate4

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate5

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.
10

Konfigurieren Sie Durchwahlattribute.

Ordnen Sie diese Attribute erweiterten Attributen in Active Directory Azure oder Ihrem Verzeichnis zu, um Tracking-Codes.
Tabelle 4. Erweiterungsattribute

Webex-Identitätsattributname

SAML-Attributname

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

Erweiterungsattribut 6

Beispiel: user.extensionattribute6

Erweiterungsattribut 7

Beispiel: user.extensionattribute7

Erweiterungsattribut 8

Beispiel: user.extensionattribute8

Erweiterungsattribut 9

Beispiel: user.extensionattribute9

Erweiterungsattribut 10

Beispiel: user.extensionattribute10

11

Konfigurieren Sie Gruppenattribute.

  1. Erstellen Sie eine Gruppe in Control Hub und notieren Sie sich die Webex-Gruppen-ID.
  2. Rufen Sie Ihr Benutzerverzeichnis oder Ihren IdP auf und richten Sie ein Attribut für Benutzer ein, die der Webex-Gruppen-ID zugewiesen werden.
  3. Aktualisieren Sie die Konfiguration Ihres IdP, um einen Anspruch aufzunehmen, der diesen Attributnamen zusammen mit der Webex-Gruppen-ID trägt (z. B. c65f7d85-b691-42b8-a20b-12345xxxx). Sie können die externe ID auch zum Verwalten von Änderungen an Gruppennamen oder für zukünftige Integrationsszenarien verwenden. Beispiel: Synchronisierung mit Azure AD oder Implementierung der SCIM-Gruppensynchronisierung.
  4. Geben Sie den exakten Namen des Attributs an, das in der SAML-Assertion mit der Gruppen-ID gesendet wird. Hiermit wird der Benutzer einer Gruppe hinzugefügt.
  5. Geben Sie den exakten Namen der externen ID des Gruppenobjekts an, wenn Sie eine Gruppe aus Ihrem Verzeichnis zum Senden von Mitgliedern in der SAML-Assertion verwenden.

Wenn Benutzer A mit groupID 1234 und Benutzer B mit groupID 4567 verknüpft ist, werden sie separaten Gruppen zugewiesen. Dieses Szenario zeigt an, dass ein einzelnes Attribut es Benutzern ermöglicht, mehrere Gruppen-IDs zuzuordnen. Obwohl dies ungewöhnlich ist, ist es möglich und kann als additive Veränderung betrachtet werden. Wenn sich Benutzer A beispielsweise zunächst mit groupID 1234 anmeldet, wird er Mitglied der entsprechenden Gruppe. Wenn sich Benutzer A später mit groupID 4567 anmeldet, wird er auch dieser zweiten Gruppe hinzugefügt.

Die SAML JIT-Bereitstellung unterstützt nicht das Entfernen von Benutzern aus Gruppen oder das Löschen von Benutzern.

Tabelle 5 Gruppenattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Gruppen-Id

Beispiel: Gruppen-Id

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

GruppeExterneId

Beispiel: GruppeExterneId

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

Eine Liste der SAML-Assertion-Attribute für Webex Meetings finden Sie unter https://help.webex.com/article/WBX67566.

Ihren Identitätsanbieter (IdP) löschen

Vorbereitungen

Es wird empfohlen, dass Sie die Routing-Regeln des IdP zuerst deaktivieren oder löschen, bevor Sie den IdP löschen.
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf Menü „Mehr“.

5

Wählen Sie Löschen aus.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Klicken Sie auf SSO deaktivieren.

SSO-Deaktivierung bestätigen.

Nach der Bestätigung wird SSO für alle IdPs in Ihrer Organisation deaktiviert.

Sie erhalten Warnungen in Control Hub, bevor die Zertifikate Ablaufen, aber Sie können auch proaktiv Warnregeln einrichten. Diese Regeln informieren Sie im Voraus, dass Ihre SP- oder IdP-Zertifikate ablaufen. Wir können ihnen diese per E-Mail, über einen Bereich in der Webex-App oder überbeides senden.

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hubangezeigt. Weitere Informationen finden Sie unter Warnungszentrum im Control Hub.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Alerts Center.

3

Wählen Sie Verwalten und dann Alle Regeln aus.

4

Wählen Sie aus der Liste Regeln eine der SSO, die Sie erstellen möchten:

  • SSO des IDP-Zertifikatsablaufs
  • SSO des SP-Zertifikats abgelaufen
5

Aktivieren Sie im Abschnitt Zustellkanal das Kontrollkästchen für E-Mail, Webex-Bereichoder beides.

Wenn Sie E-Mail wählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.

Wenn Sie die Option für den Webex-Bereich auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex-App hinzugefügt und wir senden die Benachrichtigungen dort.

6

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden alle 15 Tage ab 60 Tagen vor Ablauf eines Zertifikats eine Benachrichtigung über den Ablauf des Zertifikats. (Sie können mit Warnungen an den Tagen 60, 45, 30 und 15 rechnen.) Warnungen werden beendet, wenn Sie das Zertifikat erneuern.

Wenn bei Ihrer SSO-Anmeldung Probleme auftreten, können Sie die SSO-Option zur Selbstwiederherstellung verwenden, um Zugriff auf Ihre in Control Hub verwaltete Webex-Organisation zu erhalten. Mit der Option zur Selbstwiederherstellung können Sie SSO in Control Hub aktualisieren oder deaktivieren.