כניסה יחידה ומרכז בקרה

כניסה יחידה (SSO) היא תהליך הפעלה או אימות משתמש המאפשר למשתמש לספק אישורים לגישה ליישום אחד או יותר. התהליך מאמת את המשתמשים עבור כל היישומים שהם מקבלים זכויות עליהם. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.

פרוטוקול האיחוד של שפת סימון טענת האבטחה (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהויות שלך (IdP).

פרופילים

אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל SSO של דפדפן האינטרנט, Webex App תומך באיגודים הבאים:

  • SP יזם POST -> איגוד POST

  • SP יזם ניתוב מחדש -> איגוד POST

תבנית NameID

פרוטוקול SAML 2.0 תומך במספר תבניות NameID לתקשורת על משתמש ספציפי. אפליקציית Webex תומכת בתבניות NameID הבאות.

  • urn:oasis:names:tc:saml:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid תבנית:unspecified

  • כתובת דואר אלקטרוני

במטה-נתונים שאתה טוען מה- IdP שלך, הערך הראשון מוגדר לשימוש ב- Webex.

שלב את Control Hub עם Microsoft Azure

Webex תומך ב-IdP אחד בלבד עבור כל בקשת אימות. זרימת האימות היא כדלקמן: משתמש > אימות Webex > IdP 1 > אימות Webex > משתמש. משמעות הדבר היא שבעוד שמשתמשים שונים יכולים לבצע אימות באמצעות ספקי זהויות שונים, משתמש לא יכול לעבור בין ספקי זהויות מרובים במהלך תהליך אימות יחיד. יש לשלב שלבים נוספים כגון אימות רב-גורמי עם ה-IdP הבודד המשמש לבקשה הספציפית הזו.

קווי התצורה מציגים דוגמה ספציפית לשילוב SSO, אך אינם מספקים תצורה ממצה עבור כל האפשרויות. לדוגמה, שלבי האינטגרציה עבור כד בתבנית nameid:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:uns specifiified או urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יפעלו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו.

הגדר שילוב זה עבור משתמשים בארגון Webex שלך (כולל Webex App, פגישותWebex ושירותים אחרים המנוהלים במרכז הבקרה). אם אתר Webex שלך משולב ב- Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך מצליח לגשת לפגישות Webex בדרך זו והוא אינו מנוהל ב - Control Hub, עליך לבצע שילוב נפרד כדי להפוך את SSO לזמין עבור פגישותWebex. (ראה הגדר כניסה יחידה עבור Webex לקבלת מידע נוסף בשילוב SSO בניהול האתר.)

לפני שתתחיל

עבור SSO ו-Control Hub, ספקי הזהויות חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר ספקי IdP באופן הבא:

ב-Azure Active Directory, הקצאה נתמכת רק במצב ידני. מסמך זה מתאר רק את השילוב של כניסה יחידה (SSO).

הורד את המטה-נתונים של Webex למערכת המקומית שלך

1

מתצוגת הלקוח ב- https://admin.webex.com, עבור אל ניהול > הגדרותארגון ולאחר מכן גלול אל אימותולאחר מכן החלף את הגדרת הכניסה היחידה כדי להפעיל את אשף ההתקנה.

2

בחר את סוג האישור עבור הארגון שלך:

  • נחתם בחתימה עצמית על-ידי Cisco – אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית – מאובטח יותר, אבל תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק IdP שלך תומך בעוגנים של אמון).

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.

3

הורד את קובץ המטא-נתונים.

שם קובץ המטה-נתונים של Webex הוא idb-meta--SP.xml.

קבע תצורה של הגדרות יישום SSO ב-Azure

לפני שתתחיל

1

היכנס לפורטל Azure ב-https://portal.azure.com עם אישורי מנהל המערכת שלך.

2

אם אינך יכול לראות את הסמל Azure Active Directory , לחץ על שירותים נוספים.

3

עבור אל Azure Active Directory עבור הארגון שלך.

4

עבור אל יישומים ארגוניים ולאחר מכן לחץ על הוסף.

5

לחץ על הוסף יישום מהגלריה.

6

בתיבת החיפוש, הקלד Cisco Webex.

7

בחלונית התוצאות, בחר Cisco Webex ולאחר מכן לחץ על צור כדי להוסיף את היישום.

8

כדי לוודא שיישום Webex שהוספת לכניסה יחידה לא יופיע בפורטל המשתמשים, פתח את היישום החדש. תחת ניהול, לחץ על מאפיינים והגדר את האפשרות גלוי למשתמשים? כדי לא.

איננו תומכים בהפיכת יישום Webex לגלוי למשתמשים.

9

קבע תצורה של כניסה יחידה:

  1. תחת ניהול, לחץ על כניסה יחידה ולאחר מכן תחת בחר שיטת כניסה יחידה, בחר SAML.

  2. לחץ על העלה קובץ מטה-נתונים ולאחר מכן בחר את קובץ המטה-נתונים שהורדת מ-Control Hub.

    יבא קובץ מטה-נתונים ב-Azure

    חלק מהשדות מתמלאים עבורך באופן אוטומטי.

  3. תחת ניהול, לחץ על הגדר כניסה יחידה עם SAML, לחץ על הסמל ערוך כדי לפתוח תצורת SAML בסיסית.

  4. העתק את הערך כתובת ה-URL למענה והדבק אותו בכניסה לכתובת URL ולאחר מכן שמור את השינויים שלך.

10

עבור אל ניהול > משתמשים וקבוצות, ולאחר מכן בחר את המשתמשים והקבוצות הרלוונטיים שברצונך להעניק להם גישה ליישום Webex.

11

בדף הגדר כניסה יחידה עם SAML , בקטע אישור חתימה של SAML , לחץ על הורד כדי להוריד את מטה-נתונים של האיחוד ולשמור אותו במחשב שלך.

ייבוא המטה-נתונים של IdP והפעל כניסה יחידה לאחר בדיקה

לאחר ייצוא המטה-נתונים של Webex , קביעת התצורה של IdP והורדת המטה-נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון Webex שלך ממרכז הבקרה.

לפני שתתחיל

אל תבדוק שילוב SSO מממשק ספק הזהויות (IdP). אנו תומכים רק בזרימות שיוזמו על-ידי ספק השירות (יזום SP), ולכן עליך להשתמש בבדיקת Control Hub SSO עבור שילוב זה.

1

בחר אחד:

  • חזור ל-Control Hub - דף בחירת האישורים בדפדפן שלך, ולאחר מכן לחץ על הבא.
  • אם Control Hub אינו פתוח עוד בלשונית הדפדפן, מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול אל אימות ולאחר מכן בחר פעולות > יבא מטה-נתונים.
2

בדף ייבוא מטא-נתונים של IdP, גרור ושחרר את קובץ המטא-נתונים IdP לדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטה-נתונים. לחץ על הבא.

עליך להשתמש באפשרות מאובטחת יותר, אם אתה יכול. הדבר אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא-נתונים שלו.

בכל המקרים האחרים, עליך להשתמש באפשרות 'פחות מאובטח '. פעולה זו כוללת אם המטה-נתונים אינם חתומים, חתומים בחתימה עצמית או נחתמים על-ידי מנהל שירותי פרטי.

Okta לא חותם על המטה-נתונים, לכן עליך לבחור פחות מאובטח עבור שילוב Okta SSO.

3

בחר בדוק הגדרת SSO, וכאשר לשונית דפדפן חדשה נפתחת, בצע אימות עם ה-IdP על-ידי כניסה.

אם אתה מקבל שגיאת אימות, ייתכן שקיימת בעיה באישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח מהמסך הזה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. שלב זה מפסיק תוצאות חיוביות שגויות עקב אסימון גישה שעשוי להיות בהפעלה קיימת מכניסתך.

4

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל את SSO ולחץ על הבא.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. כבה את SSO ולחץ על הבא.

תצורת SSO אינה נכנסת לתוקף בארגון שלך, אלא אם תבחר בלחצן האפשרויות הראשון ותפעיל את SSO.

מה הלאה?

השתמש בהליכים תחת סנכרן משתמשי Okta ל-Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Okta בענן Webex.

השתמש בהליכים בסנכרן משתמשי Azure Active Directory לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Azure AD בענן Webex.

באפשרותך לבצע את ההליך תחת הסתר הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשים חדשים של יישום Webex בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

פתרון בעיות בשילוב Azure

בעת ביצוע בדיקת SAML, הקפד להשתמש ב-MOZILLA FIREFOX ולהתקין את ה-SAML tracer מתוך https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

בדוק את הקביעה שמגיעה מ-Azure כדי לוודא שהיא כוללת את תבנית השם הנכונה ושיש לה תכונה uid התואמת למשתמש ביישום Webex.