כניסה יחידה

Webex SSO משתמש במזהה ייחודי אחד כדי לאפשר לאנשים בארגון שלך לגשת לכל היישומים הארגוניים. מנהלי מערכת יכולים להשתמש ב'ניהול Webex' כדי להגדיר SSO עבור יישומי Webex.

כניסה יחידה היא תכונה אופציונלית שיש להקצות לאתר. למידע נוסף, פנה לתמיכה של Cisco.

הגדר SSO

השתמש בנוהל הבא להגדרת SSO ו-SAML 2.0.

לפני שתתחיל

השג והגדר את הדרישות הבאות.

  • ספק זהויות (IdP) תואם ל-SAML 2.0 או ל-WS Federate 1.0 סטנדרטי, כגון CA SiteMinder, ADFS וזהות Ping.

    SAML 1.1 ו-WS Federate 1.0 יצאו משימוש ואינם נתמכים עוד עם Cisco Webex.

  • תעודת מפתח ציבורי מסוג X.509 ברמה ארגונית מרשות Certificate Authority מהימנה, כגון VeriSign ו-Thawte.

  • IdP המוגדר לספק לקביעות SAML עם פרטי חשבון המשתמש ומזהי מערכת SAML.

  • קובץ IdP XML.

  • URL של שירות IAM ארגוני.

1

היכנס ל'ניהול Webex' ועבור אל תצורה > הגדרות אתר נפוצות > תצורת SSO.

2

מהרשימה הנפתחת פרוטוקול איחוד, בחר SAML 2.0.

אם יש תצורה קיימת, חלק מהשדות אולי יהיו מאוכלסים.

3

בחר את הקישור מנהל תעודות אתר.

4

בחלון מנהל תעודות אתר, בחר עיון ואז נווט אל המיקום של קובץ ה-CER של תעודת X.509.

5

בחר את קובץ ה-CER ובחר אישור.

6

בחר סגור.

7

הזן את המידע הנדרש בדף תצורת SSO ובחר את האפשרויות שברצונך להפעיל.

8

בחר עדכן.

הדף 'תצורת SSO'

הטבלה הבאה מפרטת ומתארת את השדות והאפשרויות בדף תצורת SSO.

המידע שבו אתה משתמש במהלך קביעת התצורה חייב להיות מדויק. אם אתה זקוק להבהרות נוספות לגבי המידע הנדרש לקביעת התצורה של SSO באתר, פנה לספק הזהויות.

טבלה 1. שדות ואפשרויות דף תצורת SSO

שדה או אפשרות

תיאור

AuthnContextClassRef

הצהרת SAML המתארת את האימות ב-IdP. היא חייבת להתאים לתצורת IAM. דוגמאות של ADFS: urn:federation:authentication:windows או urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping example: urn:oasis:names:tc:saml:2.0:ac:classes:unspecified

כדי להשתמש ביותר מערך אחד של AuthnContextClassRef, הוסף תו ";". לדוגמה: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

יצירת חשבונות אוטומטית (אופציונלי)

בחר ליצור חשבון משתמש. שדות UID, דוא"ל ושם פרטי ושם משפחה חייבים להיות קביעה.

עדכון חשבונות אוטומטי (אופציונלי)

ניתן לעדכן חשבונות Webex עם נוכחות של תכונת updateTimeStamp ב-t כאשר נעשים שינויים ב-IdP, חותמת הזמן החדשה נשלחת לאתר WeBEX, חשבון W עם כל תכונה שנשלחת בקביעת SAML.

URL של שגיאת SSO של לקוח (אופציונלי)

אם אירעה שגיאה, מפנה מחדש ל-URL הזה עם קוד השגיאה מצורף ל-URL.

URL של כניסה לשירות SSO של לקוח

URL של שירותי הכניסה היחידה של הארגון שלך. לרוב, המשתמשים נכנסים באמצעות ה-URL הזה. ממוקם בקובץ ה-IdP XML (דוגמה: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:BINDINGS:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL של דף יעד המהווה ברירת מחדל של Webex (אופציונלי)

בעת האימות, מציג דף יעד שהוקצה ליישום האינטרנט בלבד.

יבא מטה-נתונים של SAML (קישור)

לחץ כדי לפתוח את תיבת הדו-שיח תצורת SSO מקוונת מאוחדת – מטה-נתונים של SAML. שדות מטה-נתונים מיובאים כוללים את הפרטים הבאים:

  • יעד AuthnRequestSigned

  • מנפיק SAML (מזהה IdP)

  • URL של כניסה לשירות SSO של לקוח

מנפיק SAML (מזהה IdP)

URI מזהה באופן ייחודי את ה-IdP. התצורה חייבת להתאים להגדרה שב-IAM של הלקוח. זה נמצא בקובץ IdP XML (לדוגמה: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

תבנית NameID

חייבת להתאים לתצורת IdP, כאשר התבניות הבאות נתמכות:

  • לא מוגדר

  • כתובת דוא"ל

  • שם נושא X509

  • מזהה ישות

  • מזהה מתמשך

הסר סיומת דומיין של UID עבור Active Directory UPN

מסיר את הדומיין של Active Directory מהשם העיקרי של המשתמש (UPN) בעת הבחירה.

פרופיל SSO

ציין איך המשתמשים ניגשים לאתר Webex. בחר יוזם SP אם המשתמשים מתחילים באתר הפגישות של Webex ומופנים מחדש למערכת IdP הארגונית לצורך אימות. בחר IdP יוזם אם משתמשים ניגשים לאתר Webex דרך מערכת IAM הארגונית.

אימות SSO למשתתפים

התכונה הזו מספקת רמות נוספות של אחריות לאימות המשתמשים דרך הצהרת SAML עבור משתתפים פנימיים המשתמשים ב-Webex Meetings, ב-Webex Training וב-Webex Events. כאשר האפשרות מופעלת, תכונה זו מחליפה את התכונה "הצג תג משתמש פנימי ברשימת המשתתפים" של Webex Meetings.

אלגוריתם חתימה עבור AuthnRequest

לשיפור האבטחה, ניתן עכשיו לייצר תעודות חתומות מסוג SHA-1, ‏SHA-256 או SHA-512.

התנתקות יחידה (אופציונלי)

סמן כדי לדרוש יציאה ולהגדיר את ה-URL של ההתנתקות.

אין תמיכה בהתנתקות יחידה ביוזמת IdP.

מנפיק SAML של Webex (מזהה SP)

ה-URI מזהה את שירות Webex Messenger בתור SP. התצורה חייבת להתאים להגדרות שבמערכת ניהול הזהויות והגישה של הלקוח. מוסכמות מתן שמות מומלצות: עבור Webex Meetings, הזן את ה-URL של אתר Webex Meetings. עבור שירות Webex Messenger, השתמש בתבנית "לקוח-דומיין-שם" (לדוגמה: לקוח IM-ADFS-WebexEagle-Com).

יש לך אפשרות לייצא קובץ תצורה של Webex של מטה-נתונים של SAML

יש לך אפשרות לייצא כמה מטה-נתונים, שלאחר מכן ניתן יהיה לייבא בעתיד. שדות מטה-נתונים מיוצאים כוללים את הפרטים הבאים:

  • יעד AuthnRequestSigned

  • מנפיק SAML (מזהה IdP)

  • URL של כניסה לשירות SO של לקוח

חדש תעודות שתוקפן פג

לפני שתתחיל

תכונה זו מיועדת רק למנהלי מערכת שהגדרת SSO ב'ניהול Webex' ושעדיין לא מנהלים את האתרים שלהם ב-Control Hub.

מומלץ לעדכן את התעודה לספק הזהויות (IdP) שלך לפני נובמבר 2022. אם פג תוקף התעודה, ייתכן שהמשתמשים לא יוכלו להיכנס בהצלחה.

1

היכנס ל'ניהול Webex' ועבור אל תצורה > הגדרות אתר נפוצות > תצורת SSO.

2

גלול למטה אל מנהל תעודות SP של אתר.

התוקף ופרטי התעודה החדשים שתוקפן פג (מספר סידורי, תאריך תפוגה, פרטי מפתח, מצב ופעולה) מוצגים. התעודה שנמצאת בשימוש כעת מסומנת כפעילה.

3

עבור אל התעודה החדשה ולחץ על יצא אישור.

תוכל גם ללחוץ על יצא מטה-נתונים בחלק התחתון של המסך כדי להוריד את המטה-נתונים עם התעודה החדשה.

תוקף קובץ האישור החדש יפוג בעוד שנה אחת. מנהלי מערכת יצטרכו לחפש התראות כלשהן.

4

העלה את קובץ האישור החדש לספק הזהויות (IdP) שלך.

5

בחר את לחצן הבחירה פעיל עבור התעודה החדשה.

6

לחץ על עדכן.

התעודה החדשה פעילה כעת.

7

בדוק את התעודה החדשה.

שאלות נפוצות בעת עדכון תעודות

ש. האם כל מנהלי המערכת מושפעים מהתכונה הזו?

א. לא, רק מנהלי מערכת שקבעו את התצורה של SSO ב'ניהול Webex' מושפעים.

ש. מה קורה אם מנהל המערכת לא מעדכן את התעודה לפני תאריך היעד?

א. תוקף התעודה יפוג וייתכן שהמשתמשים שלך לא יוכלו להיכנס ל-Webex בהצלחה. מומלץ לעדכן את התעודה לפני אוקטובר 2023.

אם פג תוקף התעודה, עדיין תוכל להיכנס לניהול האתר כדי לעדכן ולהפעיל את התעודה החדשה לספק הזהויות המתאים שלך. אם אתה נתקל בבעיות בעת עדכון התעודה, פנה לצוות התמיכה של Webex.

ש. למשך כמה זמן תקפה תעודה חדשה?

א. התעודה החדשה תקפה למשך כשנה אחת. צוות התפעול של Webex יוצר תעודה חדשה חודשיים לפני שתוקף התעודה הקיימת פג. זה מספק לך זמן לתכנן ולעדכן את התעודה לפני תאריך היעד.