Single sign-on ja Control Hub

Single sign-on (SSO) on istunnon tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa tunnistetiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikkien niiden sovellusten osalta, joihin heille on annettu oikeudet. Se poistaa lisäkehotukset, kun käyttäjät vaihtavat sovelluksia tietyn istunnon aikana.

SAML 2.0 (Security Assertion Markup Language) -liittymäprotokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilven ja identiteetin tarjoajan (IdP) välillä.

Profiilit

Webex App tukee vain verkkoselaimen SSO-profiilia. Webex App tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

  • SP aloitti POST -> POST-sidonnan

  • SP aloitti REDIRECT -> POST-sidonnan

NameID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja, joiden avulla voidaan viestiä tietystä käyttäjästä. Webex App tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:ltäsi lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

Integroi Control Hub Microsoft Azureen

Webex tukee vain yhtä IdP:tä kutakin todennuspyyntöä varten. Todennuksen kulku on seuraava: Käyttäjä > Webex-todennus > IdP 1 > Webex-todennus > Käyttäjä. Tämä tarkoittaa sitä, että vaikka eri käyttäjät voivat tunnistautua eri tunnistautujien avulla, käyttäjä ei voi vaihtaa useiden tunnistautujien välillä yhden tunnistautumisprosessin aikana. Mahdolliset lisävaiheet, kuten MFA, on integroitava kyseiseen pyyntöön käytettävään yksittäiseen idP:hen.

Määritysoppaat esittävät tietyn esimerkin SSO-integraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi integraatiovaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified tai urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , toimivat SSO-integroinnissa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integraatio Webex-organisaatiosi käyttäjille (mukaan lukien Webex App, Webex Meetings ja muut Control Hubissa hallinnoidut palvelut). Jos Webex-sivusto on integroitu Control Hubiin, Webex-sivusto perii käyttäjähallinnan. Jos et voi käyttää Webex Meetings -palvelua tällä tavoin eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integrointi Webex Meetingsin SSO:n käyttöön ottamiseksi. (Katso Configure Single Sign-On for Webex lisätietoja SSO-integraatiosta sivuston hallinnassa.)

Ennen kuin aloitat

SSO:n ja Control Hubin osalta id-palveluntarjoajien on oltava SAML 2.0 -määrittelyn mukaisia. Lisäksi IdP:t on määritettävä seuraavalla tavalla:

Azure Active Directory -palvelussa käyttöönottoa tuetaan vain manuaalisessa tilassa. Tämä asiakirja kattaa vain SSO-integraation (single sign-on).

Lataa Webexin metatiedot paikalliseen järjestelmään.

1

Siirry asiakasnäkymässä osoitteessa https://admin.webex.com kohtaan Hallinta > Organisaatioasetukset ja selaa sitten kohtaan Todennus ja vaihda sitten Single sign-on -asetus käynnistääksesi ohjatun asennuksen.

2

Valitse organisaatiollesi sopiva varmenteen tyyppi:

  • Ciscon itse allekirjoittama- Suosittelemme tätä vaihtoehtoa. Anna meidän allekirjoittaa todistus, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama- Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittaja tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat auktoriteettina digitaalisen allekirjoituksen varmenteen varmentamisessa. Lisätietoja on IdP:n dokumentaatiossa.

3

Lataa metatietotiedosto.

Webexin metatietotiedoston nimi on idb-meta--SP.xml.

SSO-sovellusasetusten määrittäminen Azuressa

Ennen kuin aloitat

  • Katso Mikä on Azure Active Directory ymmärtääksesi Azure Active Directoryn IdP-ominaisuudet.

  • Määritä Azure Active Directory.

  • Luo paikallisia käyttäjiä tai synkronoi paikallisen aktiivihakemistojärjestelmän kanssa.

  • Avaa Control Hubista lataamasi Webex-metatietotiedosto.

  • Microsoftin dokumentointisivustolla on asiaan liittyvä opetusohjelma .

1

Kirjaudu sisään Azure-portaaliin osoitteessa https://portal.azure.com järjestelmänvalvojan tunnuksilla.

2

Jos et näe Azure Active Directory -kuvaketta, napsauta Lisää palveluja.

3

Siirry osoitteeseen Azure Active Directory organisaatiosi osalta.

4

Siirry osoitteeseen Yrityssovellukset ja valitse sitten Lisää.

5

Napsauta Lisää sovellus galleriasta.

6

Kirjoita hakukenttään Cisco Webex.

7

Valitse tulosruutuun Cisco Webex ja lisää sovellus napsauttamalla sitten Luo .

8

Jos haluat varmistaa, että kertakirjautumista varten lisäämäsi Webex-sovellus ei näy käyttäjäportaalissa, avaa uusi sovellus. Napsauta Manage-kohdassa Properties ja aseta Visible to users? to No.

Emme tue Webex-sovelluksen tekemistä näkyväksi käyttäjille.

9

Määritä Single-Sign On:

  1. Kohdassa Manage, valitse Single sign-on ja sitten kohdassa Select a single-sign on method, valitse SAML.

  2. Napsauta Lataa metatietotiedosto ja valitse sitten Control Hubista lataamasi metatietotiedosto.

    Tuo metatietotiedosto Azureen

    Jotkin kentät täytetään automaattisesti puolestasi.

  3. Kohdassa Manage, klikkaa Set up Single Sign-On with SAML, klikkaa Edit -kuvaketta avataksesi Basic SAML Configuration.

  4. Kopioi Reply URL -arvo ja liitä se osoitteeseen Sign on URL ja tallenna muutokset.

10

Siirry osoitteeseen Hallinta > Käyttäjät ja ryhmät ja valitse sitten ne käyttäjät ja ryhmät, joille haluat myöntää Webex App -käyttöoikeuden.

11

Valitse Set up Single Sign-On with SAML -sivun SAML Signing Certificate -osiossa Download ladataksesi Federation Metadata XML ja tallentaaksesi sen tietokoneellesi.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen.

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmään, voit tuoda ne Webex-organisaatioon Control Hubista.

Ennen kuin aloitat

Älä testaa SSO-integraatiota identiteetin tarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan (SP) käynnistämiä virtoja, joten sinun on käytettävä Control Hub SSO -testiä tätä integrointia varten.

1

Valitse yksi:

  • Palaa selaimessasi Control Hub - varmenteen valintasivulle ja napsauta sitten Next.
  • Jos Control Hub ei ole enää avoinna selaimen välilehdellä, siirry asiakasnäkymästä https://admin.webex.com, valitse Hallinta > Organisaatioasetukset, selaa kohtaan Todennus ja valitse sitten Toiminnot > Tuo metatiedot.
2

Tuo IdP-metatiedot -sivulla joko raahaa ja pudota IdP-metatietotiedosto sivulle tai käytä tiedostoselaimen vaihtoehtoa metatietotiedoston etsimiseen ja lataamiseen. Napsauta Next.

Sinun kannattaa käyttää More secure -vaihtoehtoa, jos voit. Tämä on mahdollista vain, jos tunnistuspalveluntarjoajasi on käyttänyt julkista varmentajaa metatietojensa allekirjoittamiseen.

Kaikissa muissa tapauksissa on käytettävä Vähemmän suojattua -vaihtoehtoa. Tämä koskee myös sitä, jos metatietoja ei ole allekirjoitettu, jos niitä on allekirjoitettu itse tai jos niitä on allekirjoittanut yksityinen varmentaja.

Okta ei allekirjoita metatietoja, joten sinun on valittava Less secure Okta SSO -integraatiota varten.

3

Valitse Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Jos saat todennusvirheen, tunnuksissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen suoraan, voit myös napsauttaa Kopioi URL-osoite leikepöydälle tästä näytöstä ja liittää sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä vaihe estää vääriä positiivisia tuloksia, jotka johtuvat kirjautumisen yhteydessä mahdollisesti olemassa olevassa istunnossa olevasta käyttöoikeustunnuksesta.

4

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Onnistunut testi. Ota SSO käyttöön ja napsauta Seuraava.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Ota SSO pois käytöstä ja napsauta Seuraava.

SSO-konfiguraatio ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintaruutua ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Käytä menettelyjä osoitteessa Synkronoi Okta-käyttäjät Cisco Webex Control Hubiin , jos haluat tehdä käyttäjien käyttöönoton Oktasta Webex-pilveen.

Käytä menettelyjä osoitteessa Synkronoi Azure Active Directory -käyttäjät Cisco Webex Control Hubiin , jos haluat tehdä käyttäjien käyttöönoton Azure AD:stä Webex-pilveen.

Voit poistaa organisaatiosi uusille Webex App -käyttäjille lähetettävät sähköpostiviestit käytöstä kohdassa Suppress Automated Emails kuvatun menettelyn mukaisesti. Asiakirjassa on myös parhaita käytäntöjä viestinnän lähettämiseen organisaatiosi käyttäjille.

Azure-integraation vianmääritys

Kun teet SAML-testiä, varmista, että käytät Mozilla Firefoxia ja asennat SAML-selaimen osoitteesta https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Tarkista Azuresta tuleva lausuma varmistaaksesi, että siinä on oikea nameid-muoto ja että attribuutti uid vastaa Webex Appin käyttäjää.