Kertakirjautuminen ja hallintakeskus

Kertakirjautuminen (SSO) on istunnon tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa tunnistetiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heille on annettu oikeudet. Se poistaa lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilvipalvelun ja identiteetintarjoajasi (IdP) välillä.

Profiilit

Webex-sovellus tukee vain verkkoselaimen SSO-profiilia. Webex-sovellus tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

  • SP aloitti POST-testin -> POST-sidonta

  • SP aloitti uudelleenohjauksen -> POST-sidonta

Nimi-ID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietyn käyttäjän tunnistamiseen. Webex-sovellus tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:ltä lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

Yksittäinen uloskirjautuminen

Webex-sovellus tukee kertauloskirjautumisprofiilia. Webex-sovelluksessa käyttäjä voi kirjautua ulos sovelluksesta, joka käyttää SAML-kertakirjautumisprotokollaa istunnon lopettamiseen ja uloskirjautumisen vahvistamiseen IdP:n avulla. Varmista, että IdP:si on määritetty kertauloskirjautumiseen.

Integroi Control Hub SimpleSAML:n kanssa

Määritysoppaissa on esitetty tietty esimerkki kertakirjautumisintegraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient :n integrointivaiheet on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, toimivat kertakirjautumisintegraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integraatio Webex-organisaatiosi käyttäjille (mukaan lukien Webex-sovellus, Webex Meetings ja muut Control Hubissa hallinnoidut palvelut). Jos Webex-sivustosi on integroitu Control Hubiin, Webex-sivusto perii käyttäjähallinnan. Jos et voi käyttää Webex Meetingsiä tällä tavalla eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integraatio ottaaksesi kertakirjautumisen käyttöön Webex Meetingsissä.

Ennen kuin aloitat

SSO:n ja Control Hubin osalta IdP:iden on oltava SAML 2.0 -spesifikaation mukaisia. Lisäksi IdP:t on konfiguroitava seuraavalla tavalla:

Lataa Webex-metatiedot paikalliseen järjestelmääsi

1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP.

5

Valitse organisaatiollesi sertifikaattityyppi:

  • Ciscon itse allekirjoittama— Suosittelemme tätä vaihtoehtoa. Allekirjoitamme todistuksen, jotta sinun tarvitsee uusia se vain viiden vuoden välein.
  • Julkisen varmentaja-allekirjoittanut— Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittajasi tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat digitaalisen allekirjoituksen varmenteen varmentajina. Lisätietoja on IdP-dokumentaatiossa.

6

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

Muunna metatiedot

1

Avaa viety Webex-metatietotiedosto tekstieditorissa.

2

Avaa selaimessasi simpleSAML-aloitussivu ja kirjaudu sisään järjestelmänvalvojan tunnuksillasi.

Etusivun sijainti vaihtelee, mutta on tyypillisesti samanlainen kuin tässä esimerkki-URL-osoitteessa: https://yourcompany.yourdomain.com/simplesaml.

3

Napsauta pääsivulla Liitto.

4

Työkalut-kohdassa muunna XML yksinkertaiseksi SAML XML:ksi.

5

Kopioi Webex-metatiedot tekstieditorista ja liitä ne sitten XML-muunnoskenttään.

6

Napsauta Jäsennä.

Muunnetut metatiedot tulevat näkyviin. Lisäät nämä tiedot etä-SP-tekstitiedostoon.

Luo etäpalveluntarjoajan metatietotiedosto

Nämä vaiheet on tarkoitettu esimerkeiksi. Metatietohakemisto ja IdP-isäntä vaihtelevat asiakasohjelman asetusten mukaan.

Ennen kuin aloitat

Muista välitettävät attribuutit ja määritä ne vastaavasti muokkaamalla metatietotiedostoa saml20-idp-hosted.php. (Esimerkiksi uid, mail, email ja niin edelleen). Katso esimerkki metatiedoista:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

Siirry isännän SimpleSAML-kokoonpanossa metatietohakemistoon.

2

Liitä jäsennetyt tiedot tekstieditorilla tiedoston saml20-sp-remote.php loppuun ja tallenna tiedosto.

3

Palaa SimpleSAML:n etusivulle, napsauta Liittoja näytä sitten identiteetintarjoajan metatiedot.

4

Liitä tiedot uuteen tekstitiedostoon.

5

Tallenna päivitetty tiedosto työpöydällesi kuvaavalla nimellä, kuten simplesaml-metadata.xml.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex-organisaatioosi Control Hubista.

Ennen kuin aloitat

Älä testaa kertakirjautumisintegraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan aloittamia (SP) työnkulkuja, joten sinun on käytettävä Control Hub SSO -testiä tälle integraatiolle.

1

Valitse yksi:

  • Palaa selaimessasi Control Hubin varmenteen valintasivulle ja napsauta sitten Seuraava.
  • Avaa Control Hub uudelleen, jos se ei ole enää auki selaimesi välilehdellä. Siirry Control Hubin asiakasnäkymässä kohtaan Hallinta > Turvallisuus > Todennus, valitse IdP ja valitse sitten Toiminnot > Tuo metatiedot.
2

Vedä ja pudota IdP-metatietojen tuonti -sivulla IdP-metatietotiedosto sivulle tai etsi ja lataa metatietotiedosto tiedostoselaimella. Napsauta Seuraava.

Sinun kannattaa käyttää Turvallisempi -vaihtoehtoa, jos mahdollista. Tämä on mahdollista vain, jos IdP on käyttänyt julkista varmentajaa metadatansa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen -vaihtoehtoa. Tämä koskee myös tilanteita, joissa metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityisen varmenteen myöntäjän allekirjoittama.

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

3

Valitse Testaa kertakirjautumisen asetuksetja kun uusi selainvälilehti avautuu, todenna itsesi IdP:llä kirjautumalla sisään.

Jos saat todennusvirheen, tunnistetiedoissa saattaa olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex-sovellusvirhe tarkoittaa yleensä kertakirjautumisen asetuksissa olevaa ongelmaa. Tässä tapauksessa käy vaiheet uudelleen läpi, erityisesti ne, joissa kopioit ja liität Control Hub -metatiedot IdP-asetuksiin.

Jos haluat nähdä kertakirjautumiskokemuksen suoraan, voit myös napsauttaa tältä näytöltä Kopioi URL leikepöydälle ja liittää sen yksityiseen selainikkunaan. Sieltä voit kirjautua sisään kertakirjautumisella. Tämä vaihe estää väärät positiiviset tulokset, jotka johtuvat käyttöoikeustunnuksesta, joka saattaa olla olemassa olevassa istunnossa, jossa olet kirjautuneena sisään.

4

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Testi onnistui. Ota kertakirjautuminen käyttöön ja napsauta Seuraava.
  • Jos testi epäonnistui, valitse Epäonnistunut testi. Poista kertakirjautuminen käytöstä ja napsauta Seuraava.

SSO-määritys ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Käytä kohdassa Okta-käyttäjien synkronointi Cisco Webex Control Hubiin olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Oktasta Webex-pilveen.

Käytä Azure Active Directory -käyttäjien synkronointi Cisco Webex Control Hubiin -kohdassa olevia menettelytapoja, jos haluat tehdä käyttäjien valmistelun Azure AD:stä Webex-pilveen.

Voit poistaa käytöstä organisaatiosi uusille Webex-sovelluksen käyttäjille lähetettävät sähköpostit noudattamalla kohdassa Automaattisten sähköpostien estäminen annettuja ohjeita. Asiakirja sisältää myös parhaat käytännöt viestien lähettämiseen organisaatiosi käyttäjille.