- בית
- /
- מאמר
באפשרותך להגדיר שילוב של כניסה יחידה (SSO) בין Control Hub לפריסה המשתמשת ב-Shibboleth כספק זהויות (IdP).
כניסה יחידה ורכזת בקרה
כניסה יחידה (SSO) היא הפעלה או תהליך אימות משתמש המאפשר למשתמש לספק אישורים כדי לגשת לאפליקציה אחת או יותר. התהליך מאמת את המשתמשים עבור כל האפליקציות שקיבלו זכויות עליהן. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.
פרוטוקול הפדרציה של Security Assertion Markup Language (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהות שלך (IdP).
פרופילים
אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל ה- SSO של דפדפן האינטרנט, Webex App תומכת בקשרים הבאים:
SP יזם POST -> POST binding
SP יזם REDIRECT -> כריכת פוסט
פורמט NameID
פרוטוקול SAML 2.0 תומך במספר פורמטים של NameID לתקשורת על משתמש ספציפי. Webex App תומכת בפורמטים הבאים של NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
במטא נתונים שאתה טוען מה-IDP שלך, הערך הראשון מוגדר לשימוש ב- Webex.
התנתקות יחידה
יישום Webex תומך בפרופיל ההתנתקות היחידה. ביישום Webex, משתמש יכול לצאת מהיישום, שמשתמש בפרוטוקול ההתנתקות היחידה של SAML כדי לסיים את ההפעלה ולאשר את היציאה הזו עם ה-IdP שלך. ודא ש-IdP שלך מוגדר עבור SingleLogout.
שלב את Control Hub עם Shibboleth
מדריכי התצורה כוללים דוגמה ספציפית לשילוב SSO אך אינם מספקים הגדרות לקביעת תצורה לכל האפשרויות. לדוגמה, השלבים לתהליך השילוב עבור |
הגדר אינטגרציה זו עבור משתמשים בארגון Webex שלך (כולל Webex App, Webex Meetings ושירותים אחרים המנוהלים ב-Control Hub). אם אתר Webex שלך משולב ב-Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך יכול לגשת ל- Webex Meetings בדרך זו והוא אינו מנוהל ב-Control Hub, עליך לבצע אינטגרציה נפרדת כדי לאפשר SSO עבור Webex Meetings. (ראה הגדר כניסה יחידה עבור Webex למידע נוסף בשילוב SSO בניהול ניהול אתר.)
שלבי האינטגרציה מתייחסים ל-Shibboleth 2.4.5 ב-CentOS 7 עם טומקט 7 כשרת האינטרנט.
לפני שתתחיל
עבור SSO ו-Control Hub, ספקי הזהויות חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר ספקי IdP באופן הבא:
הורד את המטא נתונים של Webex למערכת המקומית שלך
1 | ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל , ולאחר מכן גלול אל אימות , ולאחר מכן הפעל את כניסה יחידה הגדרה כדי להפעיל את אשף ההגדרה. | ||
2 | בחר את סוג האישור עבור הארגון שלך:
| ||
3 | הורד את קובץ המטא נתונים. שם קובץ המטא-נתונים של Webex הוא idb-meta-<org-ID> -SP.xml . |
קבע תצורה של הרשאה בקובצי Shibboleth
לאחר התקנת Shibboleth, אתה מסופק קובצי תצורה עם דוגמאות.
1 | עבור אל הספרייה /opt/shibboleth-idp/conf כדי לגשת לקבצים לדוגמה. |
2 | בחר באיזו שיטת הרשאה להשתמש - לדוגמה, LDAP מתקשר ל-Active Directory. |
3 | ערוך את קובץ handler.xml כדלקמן: בטל הערה
הערה
|
4 | מלא את הפרטים של Active Directory כדי לאפשר את האימות. ספק את התצורה לקובץ login.config.
|
קביעת התצורה של רכיבי ספק השירות של Shibboleth עבור קביעת SAML
1 | הוסף את הקובץ שהורדת מ-Webex SP לספריה /opt/shibboleth-idp/metadata. |
2 | ערוך את הסתמכות-צד.xml קובץ; לאחר תגית ברירת המחדלRelyingParty, הוסף את הפרטים של הצהרת SAML עבור Webex.
עבור מזהה, עליך להשתמש בערך EntityID מקובץ המטה-נתונים של Webex. החלף את המזהה של הדוגמה ב-EntityID של הארגון שלך. |
3 | בתוך המטה-נתונים:תג MetadataProvider, הוסף את המיקום של הקובץ:
המטה-נתונים של SP מגיע מקובץ במערכת הקבצים Shibboleth, במיקום שבו העלית את המטה-נתונים עבור ארגון Webex שלך. |
הגדרת תצורת תכונות הקביעה
1 | בקטע מחבר נתונים, ציין היכן ניתן לאחזר תכונות על המשתמשים שלך. Active Directory, עם מזהה של MyLDAP.
|
2 | בקטע הגדרת התכונה, שמור את מה שכבר נמצא בתצורה עבור transientID. |
3 | הוסף את התכונה הנוספת כי SP מצפה, ולהגדיר מה הוא ממפה במקור התכונה. מפה את דואר התכונה (תכונת כתובת דוא"ל ב-Active Directory) ל-uid (מזהה משתמש ב-Webex).
|
4 | הגדר איזו תכונה לספק לכל הסכם SP בקובץ attribute-filter.xml . ספק את תכונת ה-uid ל-Webex שממפה לכתובת הדוא"ל של המשתמש. שחרר את uid התכונה להסכם SP עם Webex.
הכלל שיצרת בו פתרון תכונה צריכה להיות לך מדיניות לשחרור תכונת דואר ל-EntityID התואמת את Webex. |
5 | הורד את קובץ המטה-נתונים משרת Shibboleth ב- /opt/shibboleth-idp/metadata. שם הקובץ הוא idp-metadata.xml. |
ייבא את המטא נתונים של IdP והפעל כניסה יחידה לאחר בדיקה
לאחר ייצוא המטא נתונים של Webex , הגדרת ה-IDP שלך והורדת המטא נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון ה- Webex שלך מ-Control Hub.
לפני שתתחיל
אל תבדוק שילוב SSO מממשק ספק הזהות (IdP). אנו תומכים רק בזרימות יזומות של ספק שירות (יזום SP), לכן עליך להשתמש במבחן Control Hub SSO עבור שילוב זה.
1 | בחר אחד:
| ||||
2 | בדף ייבוא מטה-נתונים של IdP , גרור ושחרר את קובץ המטא נתונים של IdP אל הדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטא נתונים. לחץ על הבא. כדאי להשתמש ב בטוח יותר אפשרות, אם אתה יכול. זה אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא נתונים שלו. בכל שאר המקרים, עליך להשתמש ב- פחות בטוח אפשרות. זה כולל אם המטא נתונים אינם חתומים, חתומים בעצמם או חתומים על ידי CA פרטי.
| ||||
3 | בחר בדוק את הגדרת SSO , וכאשר נפתחת כרטיסיית דפדפן חדשה, בצע אימות עם ה-IDP על ידי כניסה.
| ||||
4 | חזור לכרטיסיית הדפדפן Control Hub.
|
מה הלאה?
השתמש בהליכים ב סנכרן את משתמשי Okta לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמשים מתוך Okta לענן Webex .
השתמש בהליכים ב סנכרן משתמשי Azure נוכחות פעילה לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Azure AD לענן Webex .
אתה יכול לעקוב אחר הנוהל ב דחק הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשי Webex App חדשים בארגון שלך. המסמך מכיל גם שיטות מומלצות לשליחת תקשורת למשתמשים בארגון שלך.