Määritä kertakirjautuminen Control Hubissa Microsoft Azuren avulla

Kertakirjautuminen ja ohjauskeskus

Kertakirjautuminen (SSO) on istunto- tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa valtuustiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heillä on oikeudet. Se eliminoi lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilven ja identiteetin tarjoajan (IdP) välillä.

Profiilit

Webex App tukee vain verkkoselaimen SSO-profiilia. Webex-sovellus tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

SP aloitti POST -> POST-sidonta
SP aloitti REDIRECT -> POST -sidoksen

NameID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietystä käyttäjästä viestimiseen. Webex App tukee seuraavia NameID-muotoja.

urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:stä lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

Integroi Control Hub Microsoft Azureen

Konfigurointioppaat näyttävät erityisen esimerkin SSO-integroinnista, mutta ne eivät tarjoa tyhjentävää konfigurointia kaikille mahdollisuuksille. Esimerkiksi integroinnin vaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient ovat dokumentoituja. Muut formaatit, esim urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress toimii SSO-integraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integrointi Webex-organisaatiosi käyttäjille (mukaan lukien Webex App, Webex Meetings ja muut Control Hubissa hallittavat palvelut). Jos Webex-sivustosi on integroitu Control Hubiin, Webex-sivusto perii käyttäjien hallinnan. Jos et pääse Webex Meetingsiin tällä tavalla eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integrointi kertakirjautumisen mahdollistamiseksi Webex Meetingsille. (Katso Määritä Webexin kertakirjautuminen saadaksesi lisätietoja SSO-integroinnista sivuston hallinnassa.)

Ennen kuin aloitat

SSO:n ja Control Hubin IdP:iden on oltava SAML 2.0 -määrityksen mukaisia. Lisäksi IDP:t on määritettävä seuraavalla tavalla:

Azure Active Directoryssa hallintaa tuetaan vain manuaalisessa tilassa. Tämä asiakirja kattaa vain kertakirjautumisen (SSO) integroinnin.

Lataa Webex-metatiedot paikalliseen järjestelmääsi

Asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetuksetja vieritä sitten kohtaan Todennus, ja kytke sitten päälle Kertakirjautuminen asetus käynnistääksesi ohjatun asennustoiminnon.

Valitse organisaatiosi varmennetyyppi:

Ciscon itse allekirjoittama– Suosittelemme tätä valintaa. Allekirjoitamme sertifikaatin, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
Julkisen varmentajan allekirjoittama— Turvallisempi, mutta sinun on päivitettävä metatiedot usein (ellei IDP-toimittaja tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat valtuutuksena digitaalisen allekirjoituksen varmenteen vahvistamisessa. Katso lisätietoja IDP-dokumentaatiostasi.

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

Määritä SSO-sovellusasetukset Azuressa

Ennen kuin aloitat

Katso Mikä on Azure Active Directory ymmärtääksesi Azure Active Directoryn IdP-ominaisuudet.
Määritä Azure Active Directory.
Luo paikallisia käyttäjiä tai synkronoi paikallisen aktiivisen hakemistojärjestelmän kanssa.
Avaa Control Hubista lataamasi Webex-metatietotiedosto.
On olemassa sukua opetusohjelma Microsoftin dokumentaatiosivustolla.

1	Kirjaudu Azure-portaaliin osoitteessa https://portal.azure.com järjestelmänvalvojan tunnistetiedoillasi.
2	Jos et näe Azure Active Directory kuvaketta, napsauta Lisää palveluita.
3	Mene Azure Active Directory organisaatiollesi.
4	Mene Yrityssovellukset ja napsauta sitten Lisätä.
5	Klikkaus Lisää sovellus galleriasta.
6	Kirjoita hakukenttään Cisco Webex.
7	Valitse tulosruudussa Cisco Webexja napsauta sitten Luoda lisätäksesi sovelluksen.
8	Varmista, että kertakirjautumista varten lisäämäsi Webex-sovellus ei näy käyttäjäportaalissa, avaa uusi sovellus. Alla Hallitse, klikkaus Ominaisuudet, ja aseta Näkyykö käyttäjille? to Ei. Emme tue Webex-sovelluksen näyttämistä käyttäjille.
9	Määritä kertakirjautuminen: Alla Hallitse, klikkaus Kertakirjautuminen, ja sitten alle Valitse kertakirjautumismenetelmä, valitse SAML. Klikkaus Lataa metatietotiedosto ja valitse sitten Control Hubista lataamasi metatietotiedosto. Jotkut kentät täytetään automaattisesti puolestasi. Alla hallita, klikkaus Määritä kertakirjautuminen SAML:n avulla, klikkaus Muokata avattava kuvake SAML-perusasetukset. Kopioi Vastauksen URL-osoite arvo ja liitä se Kirjaudu sisään URL-osoitteeseenja tallenna sitten tekemäsi muutokset.
10	Mene Hallinnoi > Käyttäjät ja ryhmätja valitse sitten sopivat käyttäjät ja ryhmät, joille haluat myöntää Webex App -sovelluksen käyttöoikeuden.
11	Käytössä Määritä kertakirjautuminen SAML:n avulla sivulla, SAML-allekirjoitussertifikaatti osio, napsauta ladata ladataksesi Federation Metadata XML ja tallenna se tietokoneellesi.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex-organisaatioosi Control Hubista.

Ennen kuin aloitat

Älä testaa SSO-integraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan käynnistämiä (SP-aloitteisia) työnkulkuja, joten sinun on käytettävä Control Hub SSO -testiä tässä integroinnissa.

Valitse yksi:

Palaa selaimesi Control Hub – varmenteen valintasivulle ja napsauta sitten Seuraava.
Jos Control Hub ei ole enää avoinna selainvälilehdellä, asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetukset, vieritä kohtaan Todennusja valitse sitten Toiminnot > Tuo metatiedot.

Vedä ja pudota Tuo IdP-metatiedot -sivulla IdP-metatietotiedosto sivulle tai käytä tiedostoselaimen vaihtoehtoa paikantaaksesi ja ladataksesi metatietotiedoston. Klikkaus Seuraava.

Sinun tulisi käyttää Turvallisempi vaihtoehto, jos voit. Tämä on mahdollista vain, jos IDP on käyttänyt julkista varmentajaa metatietojensa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen vaihtoehto. Tämä koskee myös sitä, jos metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityinen varmentaja ei ole allekirjoittanut.

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

Valitse Testaa SSO-asetuksia , ja kun uusi selaimen välilehti avautuu, todennus IdP:llä kirjautumalla sisään.

Jos saat todennusvirheen, tunnistetiedoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Tässä tapauksessa käy läpi vaiheet uudelleen, erityisesti vaiheet, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Näet SSO-kirjautumiskokemuksen suoraan napsauttamalla Kopioi URL-osoite leikepöydälle tästä näytöstä ja liitä se yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä vaihe pysäyttää väärät positiiviset, koska sisäänkirjautumisesi saattaa olla olemassa olevassa istunnossa.

Palaa Control Hub -selainvälilehdelle.

Jos testi onnistui, valitse Onnistunut testi. Ota SSO käyttöön ja napsauta Seuraava.
Jos testi ei onnistunut, valitse Epäonnistunut testi. Poista SSO käytöstä ja napsauta Seuraava.

SSO-määritykset eivät tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi kertakirjautumista.

Mitä tehdä seuraavaksi

Käytä toimenpiteitä kohdassa Synkronoi Okta-käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien provisioinnin Oktasta Webex-pilveen.

Käytä toimenpiteitä kohdassa Synkronoi Azure Active Directory -käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien hallinnan Azure AD:stä Webex-pilveen.

Voit seurata menettelyä kohdassa Estä automaattiset sähköpostit poistaaksesi sähköpostit, jotka lähetetään organisaatiosi uusille Webex App -käyttäjille. Asiakirja sisältää myös parhaat käytännöt viestinnän lähettämiseen organisaatiosi käyttäjille.

Azure-integraation vianetsintä

Kun teet SAML-testiä, varmista, että käytät Mozilla Firefoxia ja asennat SAML-tracerin https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Tarkista Azuresta tuleva väite ja varmista, että sillä on oikea nameid-muoto ja attribuutin uid, joka vastaa Webex-sovelluksen käyttäjää.