Kertakirjautuminen ja hallintakeskus

Kertakirjautuminen (SSO) on istunnon tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa tunnistetiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heille on annettu oikeudet. Se poistaa lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilvipalvelun ja identiteetintarjoajasi (IdP) välillä.

Profiilit

Webex-sovellus tukee vain verkkoselaimen SSO-profiilia. Webex-sovellus tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

  • SP aloitti POST-testin -> POST-sidonta

  • SP aloitti uudelleenohjauksen -> POST-sidonta

Nimi-ID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietyn käyttäjän tunnistamiseen. Webex-sovellus tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:ltä lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

Integroi Control Hub Microsoft Azureen

Webex tukee vain yhtä IdP:tä kutakin todennuspyyntöä kohden. Todennusprosessi on seuraava: Käyttäjä > Webex-todennus > IdP 1 > Webex-todennus > Käyttäjä. Tämä tarkoittaa, että vaikka eri käyttäjät voivat todentaa itsensä eri IdP:illä, käyttäjä ei voi vaihtaa useiden IdP:iden välillä yhden todennusprosessin aikana. Kaikki lisävaiheet, kuten monitenttitunnistus (MFA), on integroitava kyseiseen pyyntöön käytettävään yksittäiseen IdP:hen.

Määritysoppaissa on esitetty tietty esimerkki kertakirjautumisintegraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient :n integrointivaiheet on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, toimivat kertakirjautumisintegraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integraatio Webex-organisaatiosi käyttäjille (mukaan lukien Webex-sovellus, Webex Meetings ja muut Control Hubissa hallinnoidut palvelut). Jos Webex-sivustosi on integroitu Control Hubiin, Webex-sivusto perii käyttäjähallinnan. Jos et voi käyttää Webex Meetingsiä tällä tavalla eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integraatio ottaaksesi kertakirjautumisen käyttöön Webex Meetingsissä.

Ennen kuin aloitat

SSO:n ja Control Hubin osalta IdP:iden on oltava SAML 2.0 -spesifikaation mukaisia. Lisäksi IdP:t on konfiguroitava seuraavalla tavalla:

  • Azure Active Directoryssa valmistelua tuetaan vain manuaalisessa tilassa. Tämä asiakirja käsittelee vain kertakirjautumisen (SSO) integrointia.
  • Nykyisillä Webex-asiakkailla, joilla on aiempia liittoutumismäärityksiä, saattaa olla ongelmia Entra ID Webex -vakiomallin kanssa SAML-attribuuttien muutosten vuoksi. Suosittelemme, että määrität mukautetun Entra ID -liitoksen ratkaistaksesi tämän käyttämällä aiempia SAML-asetuksiasi. Varmista, että suoritat Control Hub SSO -testin yhteensopivuuden varmistamiseksi ja mahdollisten ristiriitojen korjaamiseksi.

Lataa Webex-metatiedot paikalliseen järjestelmääsi

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP.

5

Valitse organisaatiollesi sertifikaattityyppi:

  • Ciscon itse allekirjoittama— Suosittelemme tätä vaihtoehtoa. Allekirjoitamme todistuksen, jotta sinun tarvitsee uusia se vain viiden vuoden välein.
  • Julkisen varmentaja-allekirjoittanut— Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittajasi tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat digitaalisen allekirjoituksen varmenteen varmentajina. Lisätietoja on IdP-dokumentaatiossa.

6

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

SSO-sovelluksen asetusten määrittäminen Azuressa

Ennen kuin aloitat

  • Katso Mikä on Azure Active Directory ymmärtääksesi Azure Active Directoryn IdP-ominaisuudet.

  • Määritä Azure Active Directory.

  • Luo paikallisia käyttäjiä tai synkronoi paikallisen Active Directory -järjestelmän kanssa.

  • Avaa Control Hubista lataamasi Webex-metatietotiedosto.

  • Microsoftin dokumentaatiosivustollaon aiheeseen liittyvä opetusohjelma.

1

Kirjaudu Azure-portaaliin osoitteessa https://portal.azure.com järjestelmänvalvojan tunnistetiedoillasi.

2

Jos et näe Azure Active Directory -kuvaketta, napsauta Lisää palveluita.

3

Siirry organisaatiosi Azure Active Directoryyn.

4

Siirry kohtaan Yrityssovellukset ja napsauta sitten Lisää.

5

Napsauta Lisää sovellus galleriasta.

6

Kirjoita hakukenttään Cisco Webex.

7

Valitse tulosruudusta Cisco Webexja lisää sitten sovellus napsauttamalla Luo.

8

Varmista, että kertakirjautumiseen lisäämäsi Webex-sovellus ei näy käyttäjäportaalissa, avaamalla uusi sovellus. Valitse Hallitse [-kohdasta Ominaisuudetja aseta Näkyykö käyttäjille? -asetukseksi Ei.

Emme tue Webex-sovelluksen näkyvyyden tekemistä käyttäjille.

9

Kertakirjautumisen määrittäminen:

  1. Napsauta Hallitse-kohdassa Kertakirjautuminenja valitse sitten Valitse kertakirjautumismenetelmä-kohdasta SAML.

  2. Napsauta Lähetä metatietotiedosto ja valitse sitten Control Hubista lataamasi metatietotiedosto.

    Metatietotiedoston tuonti Azureen

    Jotkin kentät täytetään automaattisesti puolestasi.

  3. Napsauta Hallinta-kohdassaMääritä kertakirjautuminen SAML:lläja napsauta Muokkaa -kuvaketta avataksesi SAML-perusmääritykset.

  4. Kopioi Vastaus-URL -arvo ja liitä se Kirjautumis-URL-kenttään ja tallenna sitten muutoksesi.

10

Siirry kohtaan Hallinta > Käyttäjät ja ryhmätja valitse sitten ne käyttäjät ja ryhmät, joille haluat myöntää Webex-sovelluksen käyttöoikeuden.

11

Napsauta Määritä kertakirjautuminen SAML:llä -sivun SAML-allekirjoitusvarmenne -osiossa Lataa ladataksesi Federation Metadata XML -tiedoston ja tallentaaksesi sen tietokoneellesi.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex-organisaatioosi Control Hubista.

Ennen kuin aloitat

Älä testaa kertakirjautumisintegraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan aloittamia (SP) työnkulkuja, joten sinun on käytettävä Control Hub SSO -testiä tälle integraatiolle.

1

Valitse yksi:

  • Palaa selaimessasi Control Hubin varmenteen valintasivulle ja napsauta sitten Seuraava.
  • Avaa Control Hub uudelleen, jos se ei ole enää auki selaimesi välilehdellä. Siirry Control Hubin asiakasnäkymässä kohtaan Hallinta > Turvallisuus > Todennus, valitse IdP ja valitse sitten Toiminnot > Tuo metatiedot.
2

Vedä ja pudota IdP-metatietojen tuonti -sivulla IdP-metatietotiedosto sivulle tai etsi ja lataa metatietotiedosto tiedostoselaimella. Napsauta Seuraava.

Sinun kannattaa käyttää Turvallisempi -vaihtoehtoa, jos mahdollista. Tämä on mahdollista vain, jos IdP on käyttänyt julkista varmentajaa metadatansa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen -vaihtoehtoa. Tämä koskee myös tilanteita, joissa metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityisen varmenteen myöntäjän allekirjoittama.

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

3

Valitse Testaa kertakirjautumisen asetuksetja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Jos haluat nähdä kertakirjautumiskokemuksen suoraan, voit myös napsauttaa tältä näytöltä Kopioi URL leikepöydälle ja liittää sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä vaihe estää väärät positiiviset tulokset, jotka johtuvat käyttöoikeustunnuksesta, joka saattaa olla olemassa olevassa istunnossa, jossa olet kirjautuneena sisään.

4

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Testi onnistui. Ota kertakirjautuminen käyttöön ja napsauta Seuraava.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Poista kertakirjautuminen käytöstä ja napsauta Seuraava.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Käytä kohdassa Okta-käyttäjien synkronointi Cisco Webex Control Hubiin olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Oktasta Webex-pilveen.

Käytä Azure Active Directory -käyttäjien synkronointi Cisco Webex Control Hubiin -kohdassa olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Azure AD:stä Webex-pilveen.

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetettävät sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.

Azure-integraation vianmääritys

Kun teet SAML-testiä, varmista, että käytät Mozilla Firefoxia ja asennat SAML-jäljittimen osoitteesta https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Tarkista Azuresta tuleva väite varmistaaksesi, että sen nameid-muodossa on oikea arvo ja että sen uid-attribuutti vastaa käyttäjää Webex-sovelluksessa.