באפשרותך לקבוע את התצורה של שילוב כניסה יחידה (SSO) בין Control Hub לבין פריסה המשתמשת ב- F5 Big-IP כספק זהויות (IdP).
כניסה יחידה ומרכז בקרה
כניסה יחידה (SSO) היא תהליך הפעלה או אימות משתמש המאפשר למשתמש לספק אישורים לגישה ליישום אחד או יותר. התהליך מאמת את המשתמשים עבור כל היישומים שהם מקבלים זכויות עליהם. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.
פרוטוקול האיחוד של שפת סימון טענת האבטחה (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהויות שלך (IdP).
פרופילים
אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל SSO של דפדפן האינטרנט, Webex App תומך באיגודים הבאים:
SP יזם POST -> איגוד POST
SP יזם ניתוב מחדש -> איגוד POST
תבנית NameID
פרוטוקול SAML 2.0 תומך במספר תבניות NameID לתקשורת על משתמש ספציפי. אפליקציית Webex תומכת בתבניות NameID הבאות.
urn:oasis:names:tc:SAML:2.0:nameid-format:transienturn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
במטה-נתונים שאתה טוען מה- IdP שלך, הערך הראשון מוגדר לשימוש ב- Webex.
סינגללוג'אוט
אפליקציית Webex תומכת בפרופיל ההתנתקות הבודד. ב- Webex App, משתמש יכול לצאת מהאפליקציה, המשתמשת בפרוטוקול התנתקות יחיד SAML כדי לסיים את ההפעלה ולאשר את ההתנתקות באמצעות ה- IdP שלך. ודא שה-IDP שלך מוגדר עבור SingleLogout.
שלב את מרכז הבקרה עם F5 Big-IP
 |
קווי התצורה מציגים דוגמה ספציפית לשילוב SSO, אך אינם מספקים תצורה ממצה עבור כל האפשרויות. לדוגמה, שלבי האינטגרציה עבור כד בתבנית nameid:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:uns specifiified או urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יפעלו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו. |
הגדר שילוב זה עבור משתמשים בארגון Webex שלך (כולל Webex App, פגישותWebex ושירותים אחרים המנוהלים במרכז הבקרה). אם אתר Webex שלך משולב ב- Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך מצליח לגשת לפגישות Webex בדרך זו והוא אינו מנוהל ב - Control Hub, עליך לבצע שילוב נפרד כדי להפוך את SSO לזמין עבור פגישותWebex. (ראה הגדר כניסה יחידה עבור Webex לקבלת מידע נוסף בשילוב SSO בניהול האתר.)
לפני שתתחיל
עבור SSO ורכזת בקרה, עקורים חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר את תצורתם של עקורים באופן הבא:
הורד את המטה-נתונים של Webex למערכת המקומית שלך
| 1 | מתצוגת הלקוח ב- https://admin.webex.com, עבור אל ארגון ולאחר מכן גלול אל אימותולאחר מכן החלף את הגדרת הכניסה היחידה כדי להפעיל את אשף ההתקנה. |
||
| 2 | בחר את סוג האישור עבור הארגון שלך:
|
||
| 3 | הורד את קובץ המטא-נתונים. שם קובץ המטה-נתונים של Webex הוא idb-meta-<org-ID>-SP.xml. |
קביעת התצורה של ספק השירות החיצוני וספק הזהויות
| 1 | ממשק הניהול של BIG-IP F5, עבור אל |
| 2 | מתוך מחברי SP חיצוניים, בחר צור |
| 3 | הזן שם בעל משמעות עבור שם ספק השירות, כגון <yourorganizationname>.ciscowebex.com. |
| 4 | תחת הגדרותאבטחה, סמן את תיבות הסימון הבאות:
|
| 5 | חזור למדיניות ולאחר מכן צור שירות חדש של ספק זהויות (IdP). |
| 6 | הזן שם בעל משמעות עבור שם השירות IdP, כגון CI. |
| 7 | עבור מזהה הישות של IdP, השתמש ב- FQDN של שרת ה- Big-IP עם משהו מלפנים - לדוגמה, https://bigip0a.uc8sevtlab13.com/CI. |
| 8 | תחת הגדרותקביעה, בחר מזהה ארעי עבור סוגנושא קביעה. |
| 9 | עבור ערךנושא קביעה, החזר את הערך של הודעת הדואר האלקטרוני של המשתמש %{session.ad.last.attr.mail}. |
| 10 | החזר את התכונות דואר ו- uid עם הערך %{session.ad.last.attr.mail}. |
| 11 | תחת הגדרותאבטחה, בחר אישור כדי לחתום על הטענה. |
| 12 | שמור את השינויים ולאחר מכן אגד את ספק השירות וספק הזהויות שיצרת. |
הורד את המטא-נתונים של F5 Big-IP
| 1 | בחר ייצוא שירותIDP. |
| 2 | ודא שהערך מטא-נתונים של חתימה הוא כן. |
| 3 | הורד את קובץ המטה-נתונים לשולחן העבודה שלך או למיקום שקל לך למצוא. |
הוספת מדיניות גישה
| 1 | עבור אל מדיניות גישה > פרופילי גישה > SAML וצור משאב SAML עבור מזהה הזיהוי שיצרת. |
| 2 | עבור אל פרופיל הגישה שלך וערוך את מדיניות הגישה שבה אתה משתמש עבור WebEx Messenger CAS. |
| 3 | הוסף פריט חדש בכרטיסיה כניסה עם השם דף כניסה והשאר את ערכי ברירת המחדל. |
| 4 | הוסף פריט חדש בכרטיסיה אימות עם השם AD Auth וציין את Active Directory שלך כשרת. |
| 5 | בענף המצליח, הוסף שאילתת AD מהכרטיסיה אימות |
| 6 | עבור אל כללי ענף ושנה אותו ל - AD Query מועבר. |
| 7 | בענף המוצלח של שאילתת AD, הוסף הקצאת משאבים מתקדמת מהכרטיסיה הקצאה . |
| 8 | לחץ על הוסף/מחק והוסף שני משאבים SAML עם כל משאבי SAML ו- Webtop שיצרת. |
| 9 | עבור בחר סיום, בחר אפשר. מדיניות הגישה צריכה להיראות כמו צילום המסך הזה:  |
שיוך פרופיל הגישה לשרת הווירטואלי
עליך לשייך את פרופיל הגישה לשרת הווירטואלי שיצרת.
| 1 | עבור אל |
| 2 | פתח פרופילי גישה כדי לאשר שאף שרת וירטואלי אינו משויך לפרופיל. |
| 3 | בחר הקצאתמשאבים מתקדמת. |
| 4 | בחר הוסף/מחק כדי להוסיף את משאב SAML החדש. |
| 5 | סגור את חלונות העיצוב של מדיניות הגישה והחל את מדיניות הגישה החדשה. |
ייבוא המטה-נתונים של IdP והפעל כניסה יחידה לאחר בדיקה
לאחר ייצוא המטה-נתונים של Webex , קביעת התצורה של IdP והורדת המטה-נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון Webex שלך ממרכז הבקרה.
לפני שתתחיל
אל תבדוק שילוב SSO מממשק ספק הזהויות (IdP). אנו תומכים רק בזרימות שיוזמו על-ידי ספק השירות (יזום SP), ולכן עליך להשתמש בבדיקת Control Hub SSO עבור שילוב זה.
| 1 | בחר אחד:
|
||||
| 2 | בדף ייבוא מטא-נתונים של IdP, גרור ושחרר את קובץ המטא-נתונים IdP לדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטה-נתונים. לחץ על הבא.
עליך להשתמש באפשרות מאובטחת יותר, אם אתה יכול. הדבר אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא-נתונים שלו. בכל המקרים האחרים, עליך להשתמש באפשרות 'פחות מאובטח '. פעולה זו כוללת אם המטה-נתונים אינם חתומים, חתומים בחתימה עצמית או נחתמים על-ידי מנהל שירותי פרטי. |
||||
| 3 | בחר בדוק הגדרת SSO, וכאשר כרטיסיית דפדפן חדשה נפתחת, בצע אימות באמצעות IdP על-ידי כניסה.
|
||||
| 4 | חזור לכרטיסיה דפדפן מרכז הבקרה.
|
מה הלאה?
באפשרותך לבצע את ההליך ב'דיכוי הודעות דואר אלקטרוני אוטומטיות' כדי להשבית הודעות דואר אלקטרוני הנשלחות למשתמשי Webex App חדשים בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.
