Kertakirjautumisen (SSO) avulla käyttäjät voivat kirjautua Webexiin turvallisesti todentamalla itsensä organisaatiosi yhteiselle tunnistetietojen toimittajalle. Identiteetintarjoaja (IdP) tallentaa ja hallinnoi käyttäjiesi digitaalisia identiteettejä turvallisesti ja tarjoaa käyttäjien todennuspalvelun Webex-käyttäjillesi.

Miksi saatat tarvita useita IdP:itä

Monet suuryritykset käyvät läpi fuusioita ja yritysostoja, ja näillä yrityksillä on harvoin sama IT-infrastruktuuri ja identiteetintarjoajat. Valtion laitoksilla on alaisuudessaan erilaisia organisaatioita ja virastoja. Usein näillä organisaatioilla on yksi sähköpostiosoite omille IT-osastoilleen ja infrastruktuurilleen. Suurimmilla oppilaitoksilla on keskitetty hankintaosasto, mutta eri yliopistoilla ja korkeakouluilla on erilaiset IT-organisaatiot ja -osastot.

On yleistä nähdä IdP:iden ja palveluntarjoajien (SP) toimivan yhdessä. IdP vastaa käyttäjiesi tunnistetietojen todentamisesta ja palveluntarjoaja luottaa IdP:n suorittamaan todennukseen. Tämä antaa käyttäjillesi mahdollisuuden käyttää erilaisia SaaS-sovelluksia ja -palveluita samalla digitaalisella identiteetillä. Mutta jos organisaatiosi ei jostain syystä pysty yhdistämään IdP:itä, Webex tarjoaa kiertotavan useiden IdP:iden tukemiseksi. Näistä syistä tarjoamme sinulle mahdollisuuden määrittää kertakirjautumisen (SSO) useille IdP:ille Webexissä ja yksinkertaistaa käyttäjiesi todennusprosessia.

Rajoitukset

  • Tuemme tällä hetkellä vain SAML:ää, OpenID Connectia ja Webex Identityä identiteetintarjoajina.

Poissa soveltuvuusalueelta

  • Määritä ryhmätehtävät.

Tässä osiossa käsitellään, kuinka voit integroida identiteetintarjoajasi (IdP) Webex-organisaatioosi. Voit valita IdP:t, jotka parhaiten sopivat organisaatiosi tarpeisiin.

Jos etsit Webex Meetings -sivuston kertakirjautumisen integrointia (hallitaan sivuston hallinnassa), katso Kertakirjautumisen määrittäminen Webex-hallintaa varten.

Edellytykset

Ennen kuin aloitat

Varmista, että seuraavat ehdot täyttyvät:

    • Sinulla on oltava täysi järjestelmänvalvojan rooli Control Hubissa.
    • Sinun tulisi suunnitella reitityssääntöjen toiminta ennen useiden IdP:iden määrittämistä.

    Oletusreitityssääntöä käytetään, kun olet määrittänyt alkuperäisen IdP:n. Mutta voit asettaa toisen IdP:n oletusarvoiseksi. Katso tämän artikkelin Reitityssäännöt-välilehden kohta Reitityssäännön lisääminen tai muokkaaminen.

SAML-määrittäminen
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP:ksi SAML ja napsauta Seuraava.

5

Valitse sertifikaatin tyyppi:

  • Ciscon itse allekirjoittama— Suosittelemme tätä vaihtoehtoa. Allekirjoitamme todistuksen, jotta sinun tarvitsee uusia se vain viiden vuoden välein.
  • Julkisen varmentaja-viranomaisen allekirjoittama— Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittajasi tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat digitaalisen allekirjoituksen varmenteen varmentajina. Lisätietoja on IdP-dokumentaatiossa.

6

Napsauta Lataa metatiedot ja napsauta sitten Seuraava.

Webex-sovelluksen metatietotiedoston nimi on idb-meta-<org-ID>-SP.xml.

7

Lataa IdP-metatietotiedostosi tai täytä määrityslomake.

Metatietotiedostoa ladattaessa on kaksi tapaa validoida metatiedot asiakkaan tunnistetietojen toimittajalta:

  • Asiakkaan IdP tarjoaa metatiedoissa allekirjoituksen, jonka julkinen juurimyöntäjä allekirjoittaa.
  • Asiakkaan IdP tarjoaa itse allekirjoitetun yksityisen varmenteen myöntäjän tai ei tarjoa allekirjoitusta metatiedoilleen. Tämä vaihtoehto on vähemmän turvallinen.
Muussa tapauksessa anna IdP-tiedot määrityslomakkeella.

Napsauta Seuraava.

8

(Valinnainen) Voit muuttaa Webex-käyttäjätunnuksen tai Ensisijaisen sähköpostiosoitteen ] SAML-attribuutin nimen [] nimestä uid johonkin IdP-pääkäyttäjän kanssa sovittuun nimeen, kuten email, upnjne.

9

(Valinnainen) Määritä Just In Time (JIT) -asetukset ja SAML-kartoitusvastaus.

Katso Just In Time (JIT) ja SAML-yhdistämisen määrittäminen tämän artikkelin Hallitse IdP:itäsi -välilehdellä.
10

Napsauta Testaa kertakirjautumisen asetuksiaja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Testaa kertakirjautumisyhteys ennen sen käyttöönottoa. Tämä vaihe toimii kuin harjoitus, eikä se vaikuta organisaatiosi asetuksiin, ennen kuin otat kertakirjautumisen käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Nähdäksesi kertakirjautumiskokemuksen, suosittelemme, että napsautat tältä näytöltä Kopioi URL leikepöydälle ja liität sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä auttaa poistamaan selaimesi välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen kertakirjautumismääritystä testattaessa.

11

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Testi onnistui. Aktivoi kertakirjautuminen ja IdP ja napsauta Aktivoi.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin korjataksesi virheet.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Voit määrittää reitityssäännön. Katso tämän artikkelin Reitityssäännöt-välilehden kohta Reitityssäännön lisääminen tai muokkaaminen.

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetetyt sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.

OpenID Connectin määrittäminen
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP:ksi OpenID Connect ja napsauta Seuraava.

5

Anna IdP-tietosi.

  • Nimi— IdP:n tunnistava nimi.
  • Asiakastunnus— Yksilöllinen tunnus, joka tunnistaa sinut ja IdP:si.
  • Asiakkaan salaisuus— Salasana, jonka sinä ja IdP:si tiedätte.
  • Laajuusalueet— IdP:hen liitettävät laajuusalueet.

6

Valitse, miten päätepisteet lisätään. Tämä voidaan tehdä automaattisesti tai manuaalisesti.

  • Käytä etsintä-URL-osoitetta lisätäksesi päätepisteet automaattisesti.

    • Syötä IdP:si Löytö-URL-osoite. Tämä URL-osoite täyttää automaattisesti tarvittavat päätepisteet OIDC:n kertauloskirjautumista (SLO) varten.
    • Ota käyttöön Salli istunnon automaattinen uloskirjautuminen varmistaaksesi, että käyttäjät kirjataan ulos kaikista yhdistetyistä sovelluksista ja palveluista, kun he kirjautuvat ulos Webexistä.

  • Jos haluat mieluummin lisätä kaikki päätepistetiedot manuaalisesti, lisää seuraavat tiedot.

    • Liikkeeseenlaskija— Anna IdP:n määrittämä myöntäjän URL-osoite.
    • Valtuutuspäätepiste— Anna valtuutuspäätepisteen URL-osoite.
    • Tunnuksen päätepiste— Anna tunnuksen päätepisteen URL-osoite.
    • JWKS-päätepiste— Anna JSON Web Key Setin (JWKS) URL-osoite.
    • Käyttäjätietojen päätepiste— Anna käyttäjätietojen päätepisteen URL-osoite.
    • Jos Salli istunnon automaattinen uloskirjautuminen on käytössä, sinun on annettava Istunnon uloskirjautumisen päätepisteen URL-osoite ottaaksesi käyttöön kertauloskirjautumisen (SLO) kaikissa yhdistetyissä sovelluksissa.
    Lisätietoja on OpenID Connect -määritysoppaassa.

7

(Valinnainen) Määritä Just In Time (JIT) -asetukset.

Katso Just In Time (JIT) ja SAML-yhdistämisen määrittäminen tämän artikkelin Hallitse IdP:itäsi -välilehdellä.
8

Napsauta Testaa kertakirjautumisen asetuksiaja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Testaa kertakirjautumisyhteys ennen sen käyttöönottoa. Tämä vaihe toimii kuin harjoitus, eikä se vaikuta organisaatiosi asetuksiin, ennen kuin otat kertakirjautumisen käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Nähdäksesi kertakirjautumiskokemuksen, suosittelemme, että napsautat tältä näytöltä Kopioi URL leikepöydälle ja liität sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä auttaa poistamaan selaimesi välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen kertakirjautumismääritystä testattaessa.

9

Palaa Control Hub -selaimen välilehteen.

  • Jos testi onnistui, valitse Testi onnistui. Aktivoi kertakirjautuminen ja IdP ja napsauta Aktivoi.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin korjataksesi virheet.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Voit määrittää reitityssäännön. Katso tämän artikkelin Reitityssäännöt-välilehden kohta Reitityssäännön lisääminen tai muokkaaminen.

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetettävät sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.

Webex-identiteetin määrittäminen
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP:ksi Webex ja napsauta Seuraava.

5

Valitse Olen lukenut ja ymmärtänyt Webex IdP:n toiminnan ja napsauta Seuraava.

6

Määritä reitityssääntö.

Katso tämän artikkelin Reitityssäännöt-välilehden kohta Reitityssäännön lisääminen tai muokkaaminen.

Kun olet lisännyt reitityssäännön, IdP:si lisätään ja näkyy Tunnistetietojen tarjoaja -välilehdellä.

Mitä tehdä seuraavaksi

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetettävät sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.

Reitityssääntöjä sovelletaan, kun määritetään useampi kuin yksi IdP. Reitityssääntöjen avulla Webex voi tunnistaa, mille IdP:lle käyttäjät ohjataan, kun olet määrittänyt useita IdP:itä.

Kun määrität useampaa kuin yhtä IdP:tä, voit määrittää reitityssääntösi SSO-määritystoiminnossa. Jos ohitat reitityssääntövaiheen, Control Hub lisää IdP:n, mutta ei aktivoi IdP:tä. Sinun on lisättävä reitityssääntö aktivoidaksesi IdP:n.

Lisää tai muokkaa reitityssääntöjä
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Reitityssäännöt -välilehdelle.

Kun määrität ensimmäistä IdP:täsi, reitityssääntö lisätään automaattisesti ja asetetaan Oletussäännöksi. Voit valita toisen IdP:n myöhemmin oletussäännöksi.

4

Napsauta Lisää uusi reitityssääntö.

5

Anna reitityssäännön tiedot:

  • Säännön nimi— Anna reitityssäännön nimi.
  • Valitse reititystyyppi— Valitse toimialue tai ryhmä.
  • Jos nämä ovat sinun domains/groups—Syötä domains/groups organisaatiosi sisällä.
  • Käytä sitten tätä identiteetintarjoajaa— Valitse IdP.

6

Valitse monivaiheinen todennusmenetelmä (MFA):

  • Säilytä nykyinen MFA-tila— Voit säilyttää nykyisen MFA-menetelmän tekemättä muutoksia.
  • Ohita nykyinen MFA-tila— Voit muuttaa olemassa olevan MFA-menetelmän uuteen kokoonpanoon.
  • Salli monitone autentikointi vain tälle säännölle— Ota käyttöön, jos haluat ottaa monitone autentikoinnin käyttöön erityisesti nykyiselle reitityssäännölle.

Lisätietoja MFA:n määrittämisestä organisaatiollesi on kohdassa Monivaiheisen todennuksen integroinnin käyttöönotto Control Hubissa.

7

Napsauta Lisää.

8

Valitse uusi reitityssääntö ja napsauta Aktivoi.

Voit muuttaa reitityssääntöjen prioriteettijärjestystä, jos sinulla on reitityssääntöjä useille IdP:ille.

Reitityssääntöjen poistaminen tai deaktivointi
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Reitityssäännöt -välilehdelle.

4

Valitse reitityssääntö.

5

Valitse, haluatko Deaktivoida vai Poistaa reitityssäännön.

On suositeltavaa, että sinulla on toinen aktiivinen reitityssääntö IdP:lle. Muuten kertakirjautumisessa voi ilmetä ongelmia.

Oletussääntöä ei voi deaktivoida tai poistaa, mutta voit muokata reititettyä IdP:tä.

Hallinnoi identiteetintarjoajan (IdP) varmenteitasi

Ennen kuin aloitat

Saatat aika ajoin saada sähköposti-ilmoituksen tai nähdä Control Hubissa hälytyksen, joka kertoo, että IdP-varmenne on vanhenemassa. Koska IdP-toimittajilla on omat erityisdokumentaationsa varmenteiden uusimista varten, käsittelemme Control Hubissa vaadittavat asiat sekä yleiset vaiheet päivitettyjen IdP-metatietojen hakemiseksi ja lataamiseksi Control Hubiin varmenteen uusimiseksi.

Tämä koskee vain SAML-kokoonpanoa.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen, napsauta lataa ja valitse Lataa Idp-metatiedot.

Lataa metatietotiedosto napsauttamalla Lataa ja valitsemalla Lataa Idp-metatiedot.
5

Siirry IdP-hallintakäyttöliittymään hakeaksesi uuden metatietotiedoston.

6

Palaa Control Hubiin ja vedä ja pudota IdP-metatietotiedostosi latausalueelle tai lataa metatiedot napsauttamalla Valitse tiedosto.

7

Valitse Vähemmän turvallinen (itse allekirjoitettu) tai Turvallisempi (julkisen varmentajan allekirjoittama) riippuen siitä, miten IdP-metatietosi on allekirjoitettu, ja napsauta Tallenna.

8

Määritä Just In Time (JIT) -asetukset ja SAML-kartoitusvastaus.

Katso Just In Time (JIT) ja SAML-yhdistämisen määrittäminen tämän artikkelin Hallitse IdP:itäsi -välilehdellä.
9

Napsauta Testaa kertakirjautumisen asetuksiaja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Testaa kertakirjautumisyhteys ennen sen käyttöönottoa. Tämä vaihe toimii kuin harjoitus, eikä se vaikuta organisaatiosi asetuksiin, ennen kuin otat kertakirjautumisen käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Nähdäksesi kertakirjautumiskokemuksen, suosittelemme, että napsautat tältä näytöltä Kopioi URL leikepöydälle ja liität sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä auttaa poistamaan selaimesi välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen kertakirjautumismääritystä testattaessa.

10

Napsauta Tallenna.

Hallinnoi palveluntarjoajasi (SP) varmenteita

Ennen kuin aloitat

On suositeltavaa päivittää kaikki organisaatiosi henkilöllisyyden tarjoajat (IdP) SP-varmenteen uusimisen yhteydessä.

Tämä koskee vain SAML-kokoonpanoa.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen ja napsauta .

5

Napsauta Tarkista sertifikaatit ja voimassaolopäivämäärä.

Tämä vie sinut Palveluntarjoajan (SP) varmenteet -ikkunaan.
6

Napsauta Uudista varmenne.

7

Valitse organisaatiosi IdP-tyyppi:

  • Useita varmenteita tukeva IdP
  • Yhtä varmennetta tukeva IdP
8

Valitse uusittavan varmenteen tyyppi:

  • Ciscon itse allekirjoittama— Suosittelemme tätä vaihtoehtoa. Allekirjoitamme todistuksen, jotta sinun tarvitsee uusia se vain viiden vuoden välein.
  • Julkisen varmentaja-allekirjoittanut— Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittajasi tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat digitaalisen allekirjoituksen varmenteen varmentajina. Lisätietoja on IdP-dokumentaatiossa.

9

Lataa päivitetty metatietotiedosto tai -sertifikaatti Webex-pilvipalvelusta napsauttamalla Lataa metatiedot tai Lataa varmenne.

10

Siirry IdP-hallintakäyttöliittymään ladataksesi uuden Webex-metatietotiedoston tai -varmenteen.

Tämä vaihe voidaan suorittaa selainvälilehden, etätyöpöytäprotokollan (RDP) tai tietyn pilvipalveluntarjoajan tuen kautta riippuen IdP-asetuksistasi ja siitä, oletko sinä vai erillinen IdP-järjestelmänvalvoja vastuussa tästä vaiheesta.

Lisätietoja saat SSO-integraatio-oppaistamme tai ottamalla yhteyttä IdP-järjestelmänvalvojaasi. Jos käytät Active Directory Federation Servicesiä (AD FS), voit katsoa, miten Webex-metatiedot päivitetään AD FS:ssä

11

Palaa Control Hub -käyttöliittymään ja napsauta Seuraava.

12

Valitse Kaikkien IdP:iden päivitys onnistui ja napsauta Seuraava.

Tämä lataa SP-metatietotiedoston tai -varmenteen kaikille organisaatiosi IdP-palveluille.

13

Napsauta Viimeistele uusiminen.

Testaa kertakirjautumisasetukset

Ennen kuin aloitat

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen ja napsauta Lisää-valikko.

5

Valitse Testaa IdP.

6

Napsauta Testaa kertakirjautumisen asetuksiaja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Nähdäksesi kertakirjautumiskokemuksen, suosittelemme, että napsautat tältä näytöltä Kopioi URL leikepöydälle ja liität sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä auttaa poistamaan selaimesi välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen kertakirjautumismääritystä testattaessa.

7

Palaa Control Hub -selaimen välilehteen.

  • Jos testi onnistui, valitse Testi onnistui. Aktivoi kertakirjautuminen ja IdP ja napsauta Tallenna.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin korjataksesi virheet.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Just In Time (JIT)- ja SAML-yhdistämisen määrittäminen

Ennen kuin aloitat

Varmista, että seuraavat edellytykset täyttyvät:

  • SSO on jo määritetty.

  • Verkkotunnukset on jo vahvistettu.

  • Verkkotunnukset on varattu ja otettu käyttöön. Tämä ominaisuus varmistaa, että verkkotunnuksesi käyttäjät luodaan ja päivitetään kerran joka kerta, kun he todentavat itsensä IdP:lläsi.

  • Jos DirSync tai Azure AD on käytössä, SAML JIT:n luonti tai päivitys ei toimi.

  • "Estä käyttäjäprofiilin päivitys" on käytössä. SAML-päivitysten yhdistäminen on sallittu, koska tämä määritys hallitsee käyttäjän mahdollisuuksia muokata attribuutteja. Ylläpitäjän ohjaamia luonti- ja päivitysmenetelmiä tuetaan edelleen.

Kun määrität SAML JIT:n Azure AD:n tai IdP:n kanssa, jossa sähköpostiosoite ei ole pysyvä tunniste, suosittelemme käyttämään externalId -linkitysattribuuttia yksilölliseen tunnisteeseen yhdistämiseen. Jos havaitsemme, että sähköpostiosoite ei vastaa linkitysattribuuttia, käyttäjää pyydetään vahvistamaan henkilöllisyytensä tai luomaan uusi käyttäjä oikealla sähköpostiosoitteella.

Uudet käyttäjät eivät saa automaattisesti lisenssejä, ellei organisaatiolla ole automaattista lisenssimallia määritettynä.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen ja napsauta Lisää-valikko.

5

Valitse Muokkaa SAML-määritystä.

6

Määritä Just-in-Time (JIT) -asetukset.

  • Luo tai aktivoi käyttäjä: Jos aktiivista käyttäjää ei löydy, Webex Identity luo käyttäjän ja päivittää määritteet sen jälkeen, kun käyttäjä on todennut itsensä IdP:n avulla.
  • Päivitä käyttäjä SAML-attribuuteilla: Jos käyttäjä, jolla on sähköpostiosoite, löytyy, Webex Identity päivittää käyttäjän SAML-väitteessä määritellyillä määritteillä.
Varmista, että käyttäjät voivat kirjautua sisään eri, tunnistamattomalla sähköpostiosoitteella.

7

Määritä SAML-kartoituksen pakolliset attribuutit.

Taulukko 1. Pakolliset ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

Käyttäjätunnus / Ensisijainen sähköpostiosoite

Esimerkki: uid-tunnus

Yhdistä UID-attribuutti valmistellun käyttäjän sähköpostiosoitteeseen, UPN-osoitteeseen tai edupersonprincipalname-osoitteeseen.

8

Määritä linkitysattribuutit.

Tämän tulisi olla käyttäjälle ainutlaatuinen. Sitä käytetään käyttäjän hakemiseen, jotta Webex voi päivittää kaikki profiilin ominaisuudet, mukaan lukien käyttäjän sähköpostiosoitteen.
Taulukko 2. Linkitysominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ulkoinen tunnus

Esimerkki: käyttäjä.objektitunnus

Tämän käyttäjän tunnistamiseksi muiden yksittäisten profiilien perusteella. Tämä on tarpeen, kun hakemistojen välillä muodostetaan kartoitusta tai muutetaan muita profiiliominaisuuksia.

työntekijänumero

Esimerkki: käyttäjä.työntekijätunnus

Käyttäjän työntekijänumero tai tunnistenumero hänen HR-järjestelmässään. Huomaa, että tämä ei ole tarkoitettu externalid:lle , koska voit käyttää employeenumber uudelleen tai kierrättää sen muille käyttäjille.

Laajennusattribuutti 1

Esimerkki: käyttäjä.laajennusattribuutti1

Yhdistä nämä mukautetut määritteet laajennettuihin määritteisiin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.

Laajennusattribuutti 2

Esimerkki: käyttäjä.laajennusattribuutti2

Laajennusattribuutti 3

Esimerkki: käyttäjä.laajennusattribuutti3

Laajennusattribuutti 4

Esimerkki: käyttäjä.laajennusattribuutti4

Laajennusattribuutti 5

Esimerkki: käyttäjä.laajennusattribuutti5

9

Määritä profiilin määritteet.

Taulukko 3. Profiilin ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ulkoinen tunnus

Esimerkki: käyttäjä.objektitunnus

Tämän käyttäjän tunnistamiseksi muiden yksittäisten profiilien perusteella. Tämä on tarpeen, kun hakemistojen välillä muodostetaan kartoitusta tai muutetaan muita profiiliominaisuuksia.

työntekijänumero

Esimerkki: käyttäjä.työntekijätunnus

Tämän käyttäjän työntekijänumero tai tunnistenumero hänen HR-järjestelmässään. Huomaa, että tämä ei koske "externalid"-arvoa, koska voit käyttää "employeenumber"-arvoa uudelleen tai kierrättää sen muille käyttäjille.

ensisijainen kieli

Esimerkki: käyttäjän.ensisijainen kieli

Käyttäjän ensisijainen kieli.

kieliasetus

Esimerkki: käyttäjä.kieli

Käyttäjän ensisijainen työpaikka.

aikavyöhyke

Esimerkki: käyttäjä.aikavyöhyke

Käyttäjän ensisijainen aikavyöhyke.

näyttönimi

Esimerkki: käyttäjä.näyttönimi

Käyttäjän näyttönimi Webexissä.

nimi.etunimi

Esimerkki: käyttäjän etunimi

Käyttäjän etunimi.

nimi.sukunimi

Esimerkki: käyttäjä.sukunimi

Käyttäjän sukunimi.

osoitteet.katuosoite

Esimerkki: käyttäjä.katuosoite

Heidän ensisijaisen työpaikkansa katuosoite.

osoitteet.osavaltio

Esimerkki: käyttäjä.tila

Heidän ensisijaisen työpaikkansa osavaltio.

osoitteet.alue

Esimerkki: käyttäjä.alue

Heidän ensisijaisen työpaikkansa alue.

osoitteet.postinumero

Esimerkki: käyttäjä.postinumero

Heidän ensisijaisen työpaikkansa postinumero.

osoitteet.maa

Esimerkki: käyttäjä.maa

Heidän ensisijaisen työpaikkansa maa.

puhelinNumbers.work

Esimerkki: työpuhelinnumero

Ensisijaisen työpaikan työpuhelinnumero. Käytä ainoastaan kansainvälistä E.164-muotoa (enintään 15 numeroa).

puhelinNumbers.extension

Esimerkki: matkapuhelinnumero

Ensisijaisen työpuhelinnumeron työlaajennus. Käytä ainoastaan kansainvälistä E.164-muotoa (enintään 15 numeroa).

pronomini

Esimerkki: käyttäjä.pronomini

Käyttäjän pronominit. Tämä on valinnainen ominaisuus, ja käyttäjä tai ylläpitäjä voi tehdä sen näkyväksi profiilissaan.

otsikko

Esimerkki: käyttäjä.työnimike

Käyttäjän työtehtävänimike.

osasto

Esimerkki: käyttäjä.osasto

Käyttäjän työosasto tai -tiimi.

pronomini

Esimerkki: käyttäjä.pronomini

Tämä on käyttäjän pronomini. Tämän ominaisuuden näkyvyyttä hallitsevat ylläpitäjä ja käyttäjä.

johtaja

Esimerkki: johtaja

Käyttäjän esimies tai tiiminvetäjä.

kustannuspaikka

Esimerkki: kustannuspaikka

Tämä on käyttäjän sukunimi, joka tunnetaan myös sukunimenä tai sukunimenä.

sähköposti.vaihtoehto1

Esimerkki: käyttäjä.sähköpostinlempinimi

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto2

Esimerkki: käyttäjä.ensisijainenauktoriteettisähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto3

Esimerkki: käyttäjä.vaihtoehtoinenauktoriteettisähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto4

Esimerkki: käyttäjä.toinensähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto5

Esimerkki: käyttäjä.toinensähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.
10

Määritä Laajennusattribuutit.

Yhdistä nämä määritteet laajennettuihin määritteisiin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.
Taulukko 4. Laajennusattribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Laajennusattribuutti 1

Esimerkki: käyttäjä.laajennusattribuutti1

Laajennusattribuutti 2

Esimerkki: käyttäjä.laajennusattribuutti2

Laajennusattribuutti 3

Esimerkki: käyttäjä.laajennusattribuutti3

Laajennusattribuutti 4

Esimerkki: käyttäjä.laajennusattribuutti4

Laajennusattribuutti 5

Esimerkki: käyttäjä.laajennusattribuutti5

Laajennusattribuutti 6

Esimerkki: käyttäjä.laajennusattribuutti6

Laajennusattribuutti 7

Esimerkki: käyttäjä.laajennusattribuutti7

Laajennusattribuutti 8

Esimerkki: käyttäjä.laajennusattribuutti8

Laajennusattribuutti 9

Esimerkki: käyttäjä.laajennusattribuutti9

Laajennusattribuutti 10

Esimerkki: käyttäjä.laajennusattribuutti10

11

Määritä Ryhmän määritteet.

  1. Luo ryhmä Control Hubissa ja kirjoita muistiin Webex-ryhmän tunnus.
  2. Siirry käyttäjähakemistoosi tai IdP:hen ja määritä attribuutti käyttäjille, joille Webex-ryhmätunnus liitetään.
  3. Päivitä IdP:si määritykset lisäämällä vaatimus, jossa on tämä attribuutin nimi sekä Webex-ryhmän tunnus (esim. c65f7d85-b691-42b8-a20b-12345xxxx). Voit käyttää ulkoista tunnusta myös ryhmien nimien muutosten hallintaan tai tulevia integrointiskenaarioita varten. Esimerkiksi synkronointi Azure AD:n kanssa tai SCIM-ryhmäsynkronoinnin toteuttaminen.
  4. Määritä SAML-väitteessä lähetettävän attribuutin tarkka nimi ryhmätunnuksen kanssa. Tätä käytetään käyttäjän lisäämiseen ryhmään.
  5. Määritä ryhmäobjektin ulkoisen tunnuksen tarkka nimi, jos käytät hakemistostasi olevaa ryhmää jäsenten lähettämiseen SAML-väitteessä.

Jos käyttäjä A on liitetty ryhmään groupID 1234 ja käyttäjä B ryhmään groupID 4567, heidät on liitetty eri ryhmiin. Tämä skenaario osoittaa, että yksi attribuutti sallii käyttäjien liittyä useisiin ryhmätunnuksiin. Vaikka tämä on harvinaista, se on mahdollista ja sitä voidaan pitää additiivisena muutoksena. Jos käyttäjä A esimerkiksi kirjautuu sisään aluksi käyttämällä groupID 1234, hänestä tulee vastaavan ryhmän jäsen. Jos käyttäjä A kirjautuu myöhemmin sisään käyttämällä groupID 4567, hänet lisätään myös tähän toiseen ryhmään.

SAML JIT -valmistelu ei tue käyttäjien poistamista ryhmistä tai käyttäjien poistamista kokonaan.

Taulukko 5. Ryhmän ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ryhmätunnus

Esimerkki: ryhmätunnus

Yhdistä IdP:n ryhmän määritteet Webex Identity -ryhmän määritteisiin, jotta käyttäjä voidaan yhdistää ryhmään lisensointia tai asetuspalvelua varten.

ryhmän ulkoinen tunnus

Esimerkki: ryhmän ulkoinen tunnus

Yhdistä IdP:n ryhmän määritteet Webex Identity -ryhmän määritteisiin, jotta käyttäjä voidaan yhdistää ryhmään lisensointia tai asetuspalvelua varten.

Katso Webex Meetings -kokousten SAML-väittämien luettelo kohdasta https://help.webex.com/article/WBX67566.

Poista tunnistetietojen tarjoajasi (IdP)

Ennen kuin aloitat

On suositeltavaa, että ensin deaktivoit tai poistat IdP:n reitityssäännöt ennen IdP:n poistamista.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen ja napsauta Lisää-valikko.

5

Valitse Poista.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Napsauta Poista kertakirjautuminen käytöstä.

Vahvista kertakirjautumisen deaktivointi.

Vahvistuksen jälkeen kertakirjautuminen deaktivoidaan kaikilta organisaatiosi henkilöllisyyden tarjoajilta.

Saat hälytyksiä Control Hubissa ennen varmenteiden vanhenemista, mutta voit myös määrittää hälytyssääntöjä ennakoivasti. Nämä säännöt ilmoittavat sinulle etukäteen, että SP- tai IdP-sertifikaattisi vanhenevat. Voimme lähettää nämä sinulle sähköpostitse, Webex-sovelluksen tilan kautta tai molemmilla tavoilla.

Määritetystä toimituskanavasta riippumatta kaikki hälytykset näkyvät aina Control Hubissa. Lisätietoja on kohdassa Hälytyskeskus Control Hubissa.

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hälytyskeskus.

3

Valitse Hallitse ja sitten Kaikki säännöt.

4

Valitse Säännöt-luettelosta mikä tahansa luotava SSO-sääntö:

  • SSO IDP -varmenteen vanheneminen
  • SSO SP -varmenteen vanheneminen
5

Valitse Toimituskanava-osiossa ruutu Sähköposti, Webex-tilatai molemmat.

Jos valitset Sähköposti, anna sähköpostiosoite, johon haluat vastaanottaa ilmoituksen.

Jos valitset Webex-tilan, sinut lisätään automaattisesti Webex-sovelluksen sisällä olevaan tilaan ja toimitamme ilmoitukset sinne.

6

Tallenna muutoksesi.

Mitä tehdä seuraavaksi

Lähetämme ilmoituksen varmenteen vanhenemisesta 15 päivän välein alkaen 60 päivää ennen vanhenemista. (Voit odottaa hälytyksiä päivinä 60, 45, 30 ja 15.) Hälytykset loppuvat, kun uusit varmenteen.

Jos kertakirjautumisessa ilmenee ongelmia, voit käyttää kertakirjautumisen omatoimista palautusvaihtoehtoa saadaksesi pääsyn Control Hubissa hallinnoituun Webex-organisaatioosi. Itsepalautusvaihtoehdon avulla voit päivittää tai poistaa käytöstä kertakirjautumisen Control Hubissa.