Single sign-on (SSO) antaa käyttäjille mahdollisuuden kirjautua Webexiin turvallisesti tunnistautumalla organisaatiosi yhteiseen identiteetin tarjoajaan. Identiteettipalveluntarjoaja (IdP) tallentaa ja hallinnoi turvallisesti käyttäjien digitaalisia identiteettejä ja tarjoaa Webex-käyttäjien todennuspalvelun.

Miksi saatat tarvita useita IdP:tä

Monissa suurissa yrityksissä tapahtuu fuusioita ja yritysostoja, ja näillä yrityksillä on harvoin sama IT-infrastruktuuri ja samat identiteetin tarjoajat. Valtion laitoksilla on erilaisia organisaatioita ja virastoja. Usein näillä organisaatioilla on yksi sähköpostiosoite omaa IT-osastoaan ja infrastruktuuriaan varten. Suurissa oppilaitoksissa on keskitetty hankintaosasto, mutta eri yliopistoissa ja korkeakouluissa on erilaisia tietotekniikkaorganisaatioita ja -osastoja.

IdP:t ja palveluntarjoajat (SP:t) ovat usein yhteydessä toisiinsa. IdP vastaa käyttäjien tunnistetietojen todentamisesta, ja SP luottaa IdP:n tekemiin todennuksiin. Näin käyttäjät voivat käyttää eri SaaS-sovelluksia ja -palveluita käyttämällä samaa digitaalista identiteettiä. Mutta jos organisaatiosi ei jostain syystä voi yhdistää IdP:tä, Webex tarjoaa kiertotien useiden IdP:iden tukemiseen. Näistä syistä annamme sinulle mahdollisuuden määrittää SSO:n useille Webexin IdP:ille ja yksinkertaistaa käyttäjien todennusprosessia.

Rajoitukset

  • Tämä ominaisuus on käytettävissä vain, jos olet ostanut Webex Extended Security Packin.
  • Tällä hetkellä tuemme identiteetin tarjoajina vain SAMLia, OpenID Connectia ja Webex Identityä.

Toiminnan ulkopuolelle

  • Määritä ryhmäjako.

Tässä osassa käsitellään sitä, miten voit integroida identiteetin tarjoajat (IdP) Webex-organisaatioon. Voit valita organisaatiosi vaatimuksiin parhaiten sopivat IdP:t.

Jos etsit Webex Meetings -sivuston SSO-integraatiota (jota hallitaan sivuston hallinnassa), katso Configure Single Sign-On for Webex Administration.

Edellytykset

Ennen kuin aloitat

Varmista, että seuraavat ehdot täyttyvät:

  • Sinulla on oltava Webex Extended Security Pack, jotta voit määrittää SSO:n useiden IdP:iden kanssa Control Hubissa.
  • Sinulla on oltava Full Admin -rooli Control Hubissa.
  • IdP:n metatietotiedosto, joka annetaan Webexille, ja Webexin metatietotiedosto, joka annetaan IdP:lle. Lisätietoja on osoitteessa Single Sign-On -integraatio Control Hubissa. Tämä koskee vain SAML-konfiguraatiota.
  • Reitityssääntöjen käyttäytyminen kannattaa suunnitella ennen useiden IdP:iden määrittämistä.
Oletusreitityssääntöä sovelletaan, kun olet määrittänyt alkuperäisen IdP:n. Voit kuitenkin asettaa oletusarvoksi toisen IdP:n. Katso tämän artikkelin Reitityssäännöt-välilehden Reitityssääntöjen lisääminen tai muokkaaminen .
SAMLin määrittäminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs käynnistääksesi ohjatun määrityksen.

3

Valitse SAML IdP:ksi ja napsauta Seuraava.

4

Valitse varmenteen tyyppi:

  • Ciscon itse allekirjoittama- Suosittelemme tätä vaihtoehtoa. Anna meidän allekirjoittaa todistus, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama- Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittaja tue luottamusankkureita).
Luottamusankkurit ovat julkisia avaimia, jotka toimivat auktoriteettina digitaalisen allekirjoituksen varmenteen varmentamisessa. Lisätietoja on IdP:n dokumentaatiossa.
5

Napsauta Lataa metatiedot ja napsauta Seuraava.

Webex-sovelluksen metatietotiedoston nimi on idb-meta--SP.xml.

6

Lataa IdP:n metatietotiedosto tai täytä määrityslomake.

Kun lataat metatietotiedoston, metatiedot voidaan validoida asiakkaan tunnistuspalvelun tarjoajalta kahdella tavalla:

  • Asiakas IdP antaa metatiedoissa allekirjoituksen, jonka on allekirjoittanut julkinen juurivarmentaja.
  • Asiakkaan tunnistuspalveluntarjoaja tarjoaa itse allekirjoitetun yksityisen varmentajan tai ei tarjoa allekirjoitusta metatiedoilleen. Tämä vaihtoehto on vähemmän turvallinen.
Kirjoita muuten määrityslomakkeeseen IdP:n tiedot.

Napsauta Next.

7

(Valinnainen) Voit vaihtaa SAML-attribuutin nimen Webex-käyttäjätunnus tai Ensisijainen sähköpostiosoite osoitteesta uid johonkin, josta on sovittu IdP managerin kanssa, kuten sähköposti, upn, jne.

8

(Valinnainen) Määritä Just In Time (JIT) -asetukset ja SAML-kartoitusvastaus.

Katso Configure Just In Time (JIT) and SAML mapping tämän artikkelin Manage your IdPs -välilehdellä.
9

Napsauta Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Testaa SSO-yhteys ennen kuin otat sen käyttöön. Tämä vaihe toimii kuin koekäyttö, eikä se vaikuta organisaation asetuksiin ennen kuin otat SSO:n käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, valtakirjoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen, suosittelemme, että napsautat Kopioi URL-osoite leikepöydälle tästä näytöstä ja liität sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan selaimesta välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen SSO-kokoonpanoa testattaessa.

10

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Onnistunut testi. Aktivoi SSO ja IdP ja napsauta Aktivoi.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin virheiden korjaamiseksi.
SSO-kokoonpano ei tule organisaatiossasi voimaan, ellet valitse ensimmäistä valintaruutua ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Voit määrittää reitityssäännön. Katso tämän artikkelin Reitityssäännöt-välilehden Reitityssääntöjen lisääminen tai muokkaaminen .

Voit poistaa uusille Webex App -käyttäjille lähetettävät sähköpostit käytöstä organisaatiossasi noudattamalla kohdassa Suppress Automated Emails esitettyä menettelyä. Asiakirjassa on myös parhaita käytäntöjä viestinnän lähettämiseen organisaatiosi käyttäjille.

OpenID Connectin määrittäminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs käynnistääksesi ohjatun määrityksen.

3

Valitse IdP:ksi OpenID Connect ja napsauta Seuraava.

4

Anna IdP:n tiedot.

  • Nimi- Nimi, jolla tunnistat idP:n.
  • Asiakastunnus- Yksilöllinen tunnus, jolla sinut ja idP:si tunnistetaan.
  • Client Secret- Salasana, jonka sinä ja idP:si tunnette.
  • Scopes- IdP:hen liitettävät laajuudet.

5

Valitse, miten päätepisteet lisätään. Tämä voidaan tehdä automaattisesti tai manuaalisesti.

  • Käytä Discovery URL-osoitetta-Aseta IdP:n määritys URL-osoite.
  • Lisää manuaalisesti päätepisteiden tiedot-Kirjoita seuraavat tiedot.

    • Myöntäjä
    • Valtuutuksen päätepiste
    • Token-päätepiste
    • JWKS-päätepiste
    • Käyttäjätiedot-päätepiste
    Lisätietoja on osoitteessa OpenID Connect -määritysoppaassa.

6

(Valinnainen) Määritä Just In Time (JIT) -asetukset.

Katso Configure Just In Time (JIT) and SAML mapping tämän artikkelin Manage your IdPs -välilehdellä.
7

Napsauta Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Testaa SSO-yhteys ennen kuin otat sen käyttöön. Tämä vaihe toimii kuin koekäyttö, eikä se vaikuta organisaation asetuksiin ennen kuin otat SSO:n käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, valtakirjoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen, suosittelemme, että napsautat Kopioi URL-osoite leikepöydälle tästä näytöstä ja liität sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan selaimesta välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen SSO-kokoonpanoa testattaessa.

8

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Onnistunut testi. Aktivoi SSO ja IdP ja napsauta Aktivoi.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin virheiden korjaamiseksi.
SSO-konfiguraatio ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintaruutua ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Voit määrittää reitityssäännön. Katso tämän artikkelin Reitityssäännöt-välilehden Reitityssääntöjen lisääminen tai muokkaaminen .

Voit poistaa uusille Webex App -käyttäjille lähetettävät sähköpostit käytöstä organisaatiossasi noudattamalla kohdassa Suppress Automated Emails esitettyä menettelyä. Asiakirjassa on myös parhaita käytäntöjä viestinnän lähettämiseen organisaatiosi käyttäjille.

Webex Identiteetin määrittäminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs käynnistääksesi ohjatun määrityksen.

3

Valitse IdP:ksi Webex ja napsauta Seuraava.

4

Tarkista Olen lukenut ja ymmärtänyt, miten Webex IdP toimii ja napsauta Seuraava.

5

Määritä reitityssääntö.

Katso tämän artikkelin Reitityssäännöt-välilehden Reitityssääntöjen lisääminen tai muokkaaminen .

Kun olet lisännyt reitityssäännön, IdP:si on lisätty ja näkyy Identity provider -välilehdellä.

Mitä tehdä seuraavaksi

Voit poistaa organisaatiosi uusille Webex App -käyttäjille lähetettävät sähköpostiviestit käytöstä kohdassa Suppress Automated Emails kuvatun menettelyn mukaisesti. Asiakirjassa on myös parhaita käytäntöjä viestinnän lähettämiseen organisaatiosi käyttäjille.

Reitityssääntöjä sovelletaan, kun perustetaan useampi kuin yksi idP. Reitityssääntöjen avulla Webex tunnistaa, mihin IdP:hen käyttäjät lähetetään, kun olet määrittänyt useita IdP:itä.

Kun määrität useamman kuin yhden IdP:n, voit määrittää reitityssäännöt ohjatussa SSO-konfigurointitoiminnossa. Jos ohitat reitityssääntövaiheen, Control Hub lisää IdP:n, mutta ei aktivoi sitä. Sinun on lisättävä reitityssääntö IdP:n aktivoimiseksi.

Reitityssääntöjen lisääminen tai muokkaaminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Reitityssäännöt -välilehdelle.

Kun konfiguroit ensimmäisen IdP:n, reitityssääntö lisätään automaattisesti, ja se asetetaan osoitteeseen Oletussääntö. Voit myöhemmin valita toisen IdP:n oletussäännöksi.

4

Napsauta Add new routing rule.

5

Anna uuden säännön tiedot:

  • Rule name-Kirjoita reitityssäännön nimi.
  • Valitse reititystyyppi-Valitse toimialue tai ryhmä.
  • Jos nämä ovat toimialueesi/ryhmäsi-Kirjoita organisaatiosi toimialueet/ryhmät.
  • Käytä sitten tätä identiteettipalveluntarjoajaa-Select the IdP.

6

Napsauta Add.

7

Valitse uusi reitityssääntö ja napsauta Activate.

Voit muuttaa reitityssääntöjen prioriteettijärjestystä, jos sinulla on reitityssääntöjä useille eri id-palveluntarjoajille.
Reitityssääntöjen poistaminen käytöstä tai poistaminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Reitityssäännöt -välilehdelle.

4

Valitse reitityssääntö.

5

Valitse, haluatko Deaktivoida tai Poistaa reitityssäännön.

On suositeltavaa, että sinulla on toinen aktiivinen reitityssääntö IdP:tä varten. Muussa tapauksessa SSO-kirjautumisessa voi ilmetä ongelmia.

Oletussääntöä ei voi poistaa käytöstä tai poistaa, mutta voit muuttaa reititettyä IdP:tä.
Identiteettipalveluntarjoajan (IdP) varmenteiden hallinta

Ennen kuin aloitat

Saatat aika ajoin saada sähköposti-ilmoituksen tai nähdä Control Hubissa varoituksen siitä, että IdP-varmenne on vanhentumassa. Koska IdP-toimittajilla on omat dokumentaationsa varmenteen uusimista varten, käsittelemme Control Hubissa vaadittavat tiedot sekä yleiset vaiheet päivitettyjen IdP-metatietojen hakemiseen ja niiden lataamiseen Control Hubiin varmenteen uusimiseksi.

Tämä koskee vain SAML-konfiguraatiota.

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen, napsauta lataa ja valitse Upload Idp metadata.

Voit ladata metatietotiedoston napsauttamalla Lataa ja valitsemalla Lataa Idp-metatiedot.
5

Siirry IdP:n hallintakäyttöliittymään ja hae uusi metatietotiedosto.

6

Palaa Control Hubiin ja vedä ja pudota IdP-metatietotiedosto latausalueelle tai lataa metatiedot napsauttamalla Valitse tiedosto .

7

Valitse Vähemmän suojattu (itse allekirjoitettu) tai Enemmän suojattu (julkisen varmentajan allekirjoittama) riippuen siitä, miten IdP:n metatiedot on allekirjoitettu, ja napsauta Tallenna.

8

Määritä Just In Time (JIT) -asetukset ja SAML-kartoitusvastaus.

Katso Configure Just In Time (JIT) and SAML mapping tämän artikkelin Manage your IdPs -välilehdellä.
9

Napsauta Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Testaa SSO-yhteys ennen kuin otat sen käyttöön. Tämä vaihe toimii kuin koekäyttö, eikä se vaikuta organisaation asetuksiin ennen kuin otat SSO:n käyttöön seuraavassa vaiheessa.

Jos saat todennusvirheen, valtakirjoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen, suosittelemme, että napsautat Kopioi URL-osoite leikepöydälle tästä näytöstä ja liität sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan selaimesta välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen SSO-kokoonpanoa testattaessa.

10

Napsauta Tallenna.

Hallitse palveluntarjoajan (SP) varmenteita

Ennen kuin aloitat

On suositeltavaa, että päivität kaikki organisaatiosi IdP:t, kun uusit SP-varmenteen.

Tämä koskee vain SAML-konfiguraatiota.

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen ja valitse .

5

Napsauta Tarkista varmenteet ja voimassaolon päättymispäivä.

Tämä vie sinut Palveluntarjoajan (SP) varmenteet -ikkunaan.
6

Napsauta Renew certificate.

7

Valitse organisaatiosi IdP-tyyppi:

  • IdP, joka tukee useita varmenteita
  • IdP, joka tukee yhtä varmennetta
8

Valitse uusittavan varmenteen tyyppi:

  • Ciscon itse allekirjoittama- Suosittelemme tätä vaihtoehtoa. Anna meidän allekirjoittaa todistus, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama- Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittaja tue luottamusankkureita).
Luottamusankkurit ovat julkisia avaimia, jotka toimivat auktoriteettina digitaalisen allekirjoituksen varmenteen varmentamisessa. Lisätietoja on IdP:n dokumentaatiossa.
9

Napsauta Lataa metatiedot tai Lataa varmenne ladataksesi kopion päivitetystä metatietotiedostosta tai varmenteesta Webex-pilvestä.

10

Siirry IdP:n hallintakäyttöliittymään ja lataa uusi Webex-metatietotiedosto tai varmenne.

Tämä vaihe voidaan tehdä selaimen välilehden, etätyöpöytäprotokollan (RDP) tai tietyn pilvipalveluntarjoajan tuen kautta riippuen IdP-asetuksestasi ja siitä, vastaatko sinä vai erillinen IdP:n ylläpitäjä tästä vaiheesta.

Lisätietoja saat osoitteesta SSO-integraatio-oppaista tai ottamalla yhteyttä IdP:n ylläpitäjään. Jos käytössäsi on Active Directory Federation Services (AD FS), voit katsoa osoitteesta , miten Webex-metatiedot päivitetään AD FS:ssä.

11

Palaa Control Hub -käyttöliittymään ja napsauta Next.

12

Valitse Kaikki IdP:t päivitetty onnistuneesti ja valitse Seuraava.

Tämä lataa SP-metatietotiedoston tai varmenteen kaikkiin organisaatiosi IdP:iin.

13

Napsauta Finish renewal.

Testaa SSO-asetukset

Ennen kuin aloitat

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen ja valitse Lisää valikkoa .

5

Valitse Test IdP.

6

Napsauta Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Jos saat todennusvirheen, valtakirjoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen, suosittelemme, että napsautat Kopioi URL-osoite leikepöydälle tästä näytöstä ja liität sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan selaimesta välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen SSO-kokoonpanoa testattaessa.

7

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Onnistunut testi. Aktivoi SSO ja IdP ja napsauta Tallenna.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Palaa edellisiin vaiheisiin virheiden korjaamiseksi.
SSO-konfiguraatio ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintaruutua ja aktivoi SSO:ta.

Just In Time (JIT) ja SAML-kartoituksen määrittäminen

Ennen kuin aloitat

Varmista, että seuraavat edellytykset täyttyvät:

  • SSO on jo määritetty.

  • Verkkotunnukset on jo tarkistettu.

  • Verkkotunnukset on lunastettu ja otettu käyttöön. Tämä ominaisuus varmistaa, että toimialueesi käyttäjät luodaan ja päivitetään kerran joka kerta, kun he tunnistautuvat IdP:lläsi.

  • Jos DirSync tai Azure AD on käytössä, SAML JIT create tai update ei toimi.

  • "Käyttäjäprofiilin päivityksen estäminen" on käytössä. SAML Update Mapping on sallittu, koska tämä määritys ohjaa käyttäjän mahdollisuutta muokata attribuutteja. Ylläpitäjän valvomia luonti- ja päivitysmenetelmiä tuetaan edelleen.

Kun määrität SAML JIT:n Azure AD:n tai IdP:n kanssa, jossa sähköpostiosoite ei ole pysyvä tunniste, suosittelemme käyttämään externalId -linkitysattribuuttia, joka vastaa yksilöllistä tunnistetta. Jos havaitsemme, että sähköpostiosoite ei vastaa linkitysattribuuttia, käyttäjää kehotetaan vahvistamaan henkilöllisyytensä tai luomaan uusi käyttäjä oikealla sähköpostiosoitteella.

Uusille käyttäjille ei määritetä automaattisesti lisenssejä, ellei organisaatiossa ole määritetty automaattista lisenssimallia .

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen ja valitse Lisää valikkoa .

5

Valitse Muokkaa SAML-kartoitusta.

6

Määritä Just-in-Time (JIT) -asetukset.

  • Luo tai aktivoi käyttäjä: jos aktiivista käyttäjää ei löydy, Webex Identity luo käyttäjän ja päivittää attribuutit sen jälkeen, kun käyttäjä on todennettu IdP:n kanssa.
  • Päivitä käyttäjä SAML-attribuuteilla: jos käyttäjä, jolla on sähköpostiosoite, löytyy, Webex Identity päivittää käyttäjän SAML-vakuutuksessa määritetyillä attribuuteilla.
Vahvista, että käyttäjät voivat kirjautua sisään toisella, tunnistamattomalla sähköpostiosoitteella.

7

Määritä SAML-kartoituksen vaaditut attribuutit.

Taulukko 1. Vaaditut ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

Käyttäjätunnus / Ensisijainen sähköpostiosoite

Esimerkki: uid

Muodosta UID-attribuutin suhde käyttöönotetun käyttäjän sähköpostiin, upn:ään tai edupersonprincipalnameen.

8

Määritä Linkitysattribuutit.

Tämän pitäisi olla käyttäjälle yksilöllinen. Sitä käytetään käyttäjän etsimiseen, jotta Webex voi päivittää kaikki profiilin attribuutit, mukaan lukien käyttäjän sähköpostin.
Taulukko 2. Attribuuttien yhdistäminen

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

externalId

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilin ominaisuuksia.

Employeenumber

Esimerkki: user.employeeid

Käyttäjän työntekijänumero tai tunnistenumero HR-järjestelmässä. Huomaa, että tämä ei koske externalid, koska voit käyttää uudelleen tai kierrättää employeenumber muille käyttäjille.

Laajennus Attribuutti 1

Esimerkki: user.extensionattribute1

Yhdistä nämä mukautetut ominaisuudet Active Directoryn, Azuren tai oman hakemistosi laajennettuihin ominaisuuksiin seurantakoodeja varten.

Laajennus Attribuutti 2

Esimerkki: user.extensionattribute2

Laajennus Attribuutti 3

Esimerkki: user.extensionattribute3

Laajennus Attribuutti 4

Esimerkki: user.extensionlattribute4

Laajennus Attribuutti 5

Esimerkki: user.extensionattribute5

9

Määritä Profiilin attribuutit.

Taulukko 3. Profiilin ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

externalId

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilin ominaisuuksia.

Employeenumber

Esimerkki: user.employeeid

Käyttäjän työntekijänumero tai tunnistenumero HR-järjestelmässä. Huomaa, että tämä ei koske "externalid" -kenttää, koska voit käyttää "employeenumber" -kenttää uudelleen tai kierrättää sen muiden käyttäjien osalta.

preferredLanguage

Esimerkki: user.preferredlanguage

Käyttäjän haluama kieli.

locale

Esimerkki: user.locale

Käyttäjän ensisijainen työpaikka.

aikavyöhyke

Esimerkki: user.timezone

Käyttäjän ensisijainen aikavyöhyke.

displayName

Esimerkki: user.displayname

Käyttäjän näyttönimi Webexissä.

name.givenName

Esimerkki: user.givenname

Käyttäjän etunimi.

name.familyName

Esimerkki: käyttäjä.sukunimi

Käyttäjän sukunimi.

addresses.streetAddress

Esimerkki: user.streetaddress

Ensisijaisen työpaikan katuosoite.

addresses.state

Esimerkki: user.state

Osavaltio, jossa heidän ensisijainen työpaikkansa sijaitsee.

addresses.region

Esimerkki: user.region

Ensisijaisen työskentelypaikan alue.

addresses.postalCode

Esimerkki: user.postinumero

Ensisijaisen työpaikan postinumero.

addresses.country

Esimerkki: user.country

Maa, jossa heidän pääasiallinen työpaikkansa sijaitsee.

phoneNumbers.work

Esimerkki: työpuhelinnumero

Ensisijaisen työpaikan puhelinnumero. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

phoneNumbers.extension

Esimerkki: matkapuhelinnumero

Ensisijaisen työpuhelinnumeron työpuhelinnumero. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

pronomini

Esimerkki: user.pronoun

Käyttäjän pronominit. Tämä on valinnainen ominaisuus, ja käyttäjä tai ylläpitäjä voi tehdä sen näkyväksi profiilissaan.

otsikko

Esimerkki: user.jobtitle

Käyttäjän ammattinimike.

osasto

Esimerkki: user.department

Käyttäjän työosasto tai tiimi.

pronomini

Esimerkki: user.pronoun

Tämä on käyttäjän pronomini. Tämän attribuutin näkyvyyttä hallitsevat järjestelmänvalvoja ja käyttäjä.

johtaja

Esimerkki: johtaja

Käyttäjän esimies tai hänen tiiminsä johtaja.

kustannuspaikka

Esimerkki: kustannuspaikka

Tämä on käyttäjän sukunimi, joka tunnetaan myös nimellä sukunimi tai familyname.

email.alternate1

Esimerkki: user.mailnickname

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, liitä se uid:iin.

email.alternate2

Esimerkki: user.primaryauthoritativemail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, liitä se uid:iin.

email.alternate3

Esimerkki: user.alternativeauthoritativemail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, liitä se uid:iin.

email.alternate4

Esimerkki: user.othermail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, liitä se uid:iin.

email.alternate5

Esimerkki: user.othermail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, liitä se uid:iin.
10

Määritä Laajennusominaisuudet.

Liitä nämä attribuutit laajennettuihin attribuutteihin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.
Taulukko 4. Laajennusominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Laajennus Attribuutti 1

Esimerkki: user.extensionattribute1

Laajennus Attribuutti 2

Esimerkki: user.extensionattribute2

Laajennus Attribuutti 3

Esimerkki: user.extensionattribute3

Laajennus Attribuutti 4

Esimerkki: user.extensionattribute4

Laajennus Attribuutti 5

Esimerkki: user.extensionattribute5

Laajennus Attribuutti 6

Esimerkki: user.extensionattribute6

Laajennus Attribuutti 7

Esimerkki: user.extensionattribute7

Laajennus Attribuutti 8

Esimerkki: user.extensionattribute8

Laajennus Attribuutti 9

Esimerkki: user.extensionattribute9

Laajennus Attribuutti 10

Esimerkki: user.extensionattribute10

11

Määritä ryhmän attribuutit.

  1. Luo ryhmä Control Hubissa ja merkitse Webex-ryhmän tunnus.
  2. Mene käyttäjähakemistoosi tai IdP:hen ja määritä attribuutti käyttäjille, jotka määritetään Webex-ryhmätunnukseen.
  3. Päivitä IdP:n kokoonpano niin, että se sisältää väitteen, jossa on tämä attribuutin nimi sekä Webex-ryhmän ID (esim. c65f7d85-b691-42b8-a20b-12345xxxx). Voit käyttää ulkoista tunnusta myös ryhmänimien muutosten hallintaan tai tuleviin integrointiskenaarioihin. Esimerkiksi synkronointi Azure AD:n kanssa tai SCIM-ryhmän synkronoinnin toteuttaminen.
  4. Määritä sen attribuutin tarkka nimi, joka lähetetään SAML-vakuutuksessa ryhmätunnuksen kanssa. Tätä käytetään käyttäjän lisäämiseen ryhmään.
  5. Määritä ryhmäobjektin ulkoisen tunnuksen tarkka nimi, jos käytät hakemistosi ryhmää jäsenten lähettämiseen SAML-vakuutuksessa.

Jos käyttäjä A on liitetty groupID 1234 ja käyttäjä B groupID 4567, heidät on määritetty eri ryhmiin. Tämä skenaario osoittaa, että yhden ominaisuuden avulla käyttäjät voivat liittyä useisiin ryhmätunnuksiin. Vaikka tämä on harvinaista, se on mahdollista, ja sitä voidaan pitää lisämuutoksena. Jos esimerkiksi käyttäjä A kirjautuu aluksi sisään käyttämällä groupID 1234, hänestä tulee vastaavan ryhmän jäsen. Jos käyttäjä A kirjautuu myöhemmin sisään käyttämällä groupID 4567, hänet lisätään myös tähän toiseen ryhmään.

SAML JIT provisioning ei tue käyttäjien poistamista ryhmistä tai käyttäjien poistamista.

Taulukko 5. Ryhmän ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

groupId

Esimerkki: groupId

Ryhmäattribuuttien liittäminen IdP:stä Webex Identity -ryhmäattribuutteihin, jotta käyttäjä voidaan liittää ryhmään lisensointia tai asetuspalvelua varten.

groupexternalId

Esimerkki: groupexternalId

Ryhmäattribuuttien liittäminen IdP:stä Webex Identity -ryhmäattribuutteihin, jotta käyttäjä voidaan liittää ryhmään lisensointia tai asetuspalvelua varten.

Luettelo Webex Meetingsin SAML-vakuutusattribuuteista on osoitteessa https://help.webex.com/article/WBX67566.

Poista tunnistuspalveluntarjoajasi (IdP)

Ennen kuin aloitat

On suositeltavaa, että deaktivoit tai poistat ensin IdP:n reitityssäännöt ennen IdP:n poistamista.
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen ja valitse Lisää valikkoa.

5

Valitse Poista.

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Napsauta Deactivate SSO.

Vahvista SSO:n deaktivointi.

Kun vahvistus on tehty, SSO poistetaan käytöstä kaikkien organisaatiosi IdP:iden osalta.

Saat hälytyksiä Control Hubissa, ennen kuin varmenteet vanhenevat, mutta voit myös määrittää hälytyssääntöjä ennakoivasti. Näiden sääntöjen avulla tiedät etukäteen, että SP- tai IdP-varmenteesi vanhenevat. Voimme lähettää ne sinulle sähköpostitse, Webex-sovelluksen tilassa tai molemmissa.

Määritellystä jakelukanavasta riippumatta kaikki hälytykset näkyvät aina Control Hubissa. Lisätietoja on kohdassa Hälytyskeskus Control Hubissa .

1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Hälytyskeskus.

3

Valitse Manage ja sitten All rules.

4

Valitse Säännöt-luettelosta mikä tahansa SSO-sääntö, jonka haluat luoda:

  • SSO IDP -varmenteen voimassaolon päättyminen
  • SSO SP -varmenteen voimassaolon päättyminen
5

Merkitse Toimituskanava-osiossa valintaruutu kohtaan Sähköposti, Webex-tila tai molemmat.

Jos valitset Sähköposti, kirjoita sähköpostiosoite, johon ilmoitus lähetetään.

Jos valitset Webex-tilavaihtoehdon, sinut lisätään automaattisesti Webex-sovelluksen sisällä olevaan tilaan, ja toimitamme ilmoitukset sinne.

6

Tallenna muutokset.

Mitä tehdä seuraavaksi

Lähetämme varmenteen vanhenemishälytyksiä kerran 15 päivän välein, alkaen 60 päivää ennen varmenteen vanhenemista. (Voit odottaa hälytyksiä 60, 45, 30 ja 15 päivänä.) Hälytykset loppuvat, kun uusit varmenteen.

Jos SSO-kirjautumisessa ilmenee ongelmia, voit käyttää SSO self recovery -vaihtoehtoa saadaksesi pääsyn Control Hubissa hallittuun Webex-organisaatioon. Itsehallintavaihtoehdon avulla voit päivittää SSO:n Control Hubissa tai poistaa sen käytöstä.