כניסה יחידה ורכזת בקרה

כניסה יחידה (SSO) היא הפעלה או תהליך אימות משתמש המאפשר למשתמש לספק אישורים כדי לגשת לאפליקציה אחת או יותר. התהליך מאמת את המשתמשים עבור כל האפליקציות שקיבלו זכויות עליהן. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.

פרוטוקול הפדרציה של Security Assertion Markup Language (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהות שלך (IdP).

פרופילים

אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל ה- SSO של דפדפן האינטרנט, Webex App תומכת בקשרים הבאים:

  • SP יזם POST -> POST binding

  • SP יזם REDIRECT -> כריכת פוסט

פורמט NameID

פרוטוקול SAML 2.0 תומך במספר פורמטים של NameID לתקשורת על משתמש ספציפי. Webex App תומכת בפורמטים הבאים של NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

במטא נתונים שאתה טוען מה-IDP שלך, הערך הראשון מוגדר לשימוש ב- Webex.

התנתקות יחידה

יישום Webex תומך בפרופיל ההתנתקות היחידה. ביישום Webex, משתמש יכול לצאת מהיישום, שמשתמש בפרוטוקול ההתנתקות היחידה של SAML כדי לסיים את ההפעלה ולאשר את היציאה הזו עם ה-IdP שלך. ודא ש-IdP שלך מוגדר עבור SingleLogout.

שלב את Control Hub עם PingFederate


 

מדריכי התצורה כוללים דוגמה ספציפית לשילוב SSO אך אינם מספקים הגדרות לקביעת תצורה לכל האפשרויות. לדוגמה, השלבים לתהליך השילוב עבור nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יעבדו עבור שילוב SSO אבל אינם כלולים בתיעוד שלנו.

הגדר אינטגרציה זו עבור משתמשים בארגון Webex שלך (כולל Webex App, Webex Meetings ושירותים אחרים המנוהלים ב-Control Hub). אם אתר Webex שלך משולב ב-Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך יכול לגשת ל- Webex Meetings בדרך זו והוא אינו מנוהל ב-Control Hub, עליך לבצע אינטגרציה נפרדת כדי לאפשר SSO עבור Webex Meetings. (ראה הגדר כניסה יחידה עבור Webex למידע נוסף בשילוב SSO בניהול ניהול אתר.)

לפני שתתחיל

עבור SSO ו-Control Hub, ספקי הזהויות חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר ספקי IdP באופן הבא:

הורד את המטא נתונים של Webex למערכת המקומית שלך

1

ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל ניהול > הגדרות ארגון , ולאחר מכן גלול אל אימות , ולאחר מכן הפעל את כניסה יחידה הגדרה כדי להפעיל את אשף ההגדרה.

2

בחר את סוג האישור עבור הארגון שלך:

  • חתום עצמי על ידי Cisco -אנו ממליצים על בחירה זו. תנו לנו לחתום על התעודה כך שתצטרכו לחדש אותו רק פעם בחמש שנים.
  • חתום על ידי רשות תעודות ציבורית — מאובטח יותר אבל תצטרך לעדכן את המטא נתונים לעתים קרובות (אלא אם ספק ה-IDP שלך תומך בעוגני אמון).

 

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור של חתימה דיגיטלית. למידע נוסף, עיין בתיעוד ה-IDP שלך.

3

הורד את קובץ המטא נתונים.

שם קובץ המטא-נתונים של Webex הוא idb-meta-<org-ID> -SP.xml .

הגדר חיבור חדש של ספק שירות

1

עבור אל פורטל ניהול PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

תחת חיבורי SP, בחר צור חדש.

3

בחר את אל תשתמש בתבנית עבור לחצן בחירה של חיבור זה, ולאחר מכן בחר הבא.

4

בחר פרופילי SSO של הדפדפן, ולאחר מכן לחץ על הבא.

5

בחרו בכרטיסיית ייבוא מטה-נתונים.

6

לחץ על בחר קובץ כדי לעיין ולייבא את קובץ המטה-נתונים שהורדת מ-Control Hub ולחץ על Next.

7

סקור את המידע בלשונית 'מידע כללי', ולאחר מכן לחץ על סיום.

קבע תצורה של כניסה יחידה בדפדפן

1

מפורטל PingFederate Administration, בחר באפשרות קבע את תצורת ה-SSO של הדפדפן.

2

סמן את תיבת הסימון SSO יזום- SP ולאחר מכן לחץ על הבא.

3

בחר הגדרת תצורה של יצירת קביעה.

  1. שנה את תבנית ה-NameID כך ארעי ובחר את תכונות הכוללות בנוסף לתיבת הסימון המזהה הארעי.

  2. הרחב את תכונות החוזה על-ידי הוספת תכונות דואר ו-uid בתבנית urn:oasis:names:tc:SAML:2.0:attrname-format-basic, ולאחר מכן לחצו על Next.

  3. בחר מפה מופע מתאם חדש כדי לבחור מנגנון אימות. מתוך מופע המתאם , בחר אחד ממנגנוני האימות שהוגדרו קודם לכן ולאחר מכן לחץ על הבא.

  4. בחר את אחזור תכונות נוספות מחנויות נתונים מרובות באמצעות לחצן מיפוי אחד ולאחר מכן לחץ על הבא.

  5. בחר הוסף מקור תכונה כדי להוסיף את בקר הדומיין של Active Directory עבור הדומיין, ולאחר מכן לחץ על הבא.

  6. ציין את DN של הבסיס ובחר את מחלקת אובייקט הבסיס <Show All="" Attributes="">. בתיבת הטקסט 'סינון', הזן את מסנן LDAP ולאחר מכן לחץ על הבא.

    הערך חייב להכיל את התכונה שאתה מצפה מהמשתמש לספק. הוא גם צריך להכיל את הערך אליו הוא ממפה במקורות LDAP. לדוגמה, אם הספרייה הפעילה שלך מוגדרת לסנן בתכונת הכניסה של Windows, הזן sAMAccountName=${Username}.

  7. בחר את המקור והערך כדי למפות את תכונות הקביעה עם התכונות המסופקות על ידי נתונים של AD. (אל תזין שום דבר עבור קריטריוני הנפקה.)

  8. ודא שתצורת הקביעה כוללת מיפוי זהות מוגדר ארעי, חוזה תכונה מוגדר uid, ומופעי מתאם מוגדרים ל-1.


     

    תכונת ה-uid צריכה למפות את כתובת הדוא"ל של המשתמש.

4

בחר הגדרת תצורת הגדרות פרוטוקול.

  1. עבור איגודי SAML מותרים, סמן רק את תיבות הסימון POST וניתוב מחדש .

  2. עבור מדיניות חתימה, בחר תמיד חתום על הצהרת SAML.

    הגדרות הפרוטוקול צריכות להיראות כמו הפעולות הבאות.

  3. בחר הגדרת תצורת אישורים כדי להגדיר את התעודה עבור הקביעה.

  4. בחר את התעודה שכבר נוצרה עבור קביעות SAML.

5

במסך ההפעלה והסיכום, הגדר את מצב החיבור ל-Active.

יצא מטה-נתונים מ-PingFederate

1

במסך הראשי, לחצו על נהל את כל ה-SP.

2

מצא את החיבור שבדיוק יצרת ולחץ על יצא מטה-נתונים.

3

בחר את התעודה שיש להשתמש בה לחתימה על הקובץ המיוצא מהרשימה הנפתחת.

4

לחץ ייצוא .

ייבא את המטא נתונים של IdP והפעל כניסה יחידה לאחר בדיקה

לאחר ייצוא המטא נתונים של Webex , הגדרת ה-IDP שלך והורדת המטא נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון ה- Webex שלך מ-Control Hub.

לפני שתתחיל

אל תבדוק שילוב SSO מממשק ספק הזהות (IdP). אנו תומכים רק בזרימות יזומות של ספק שירות (יזום SP), לכן עליך להשתמש במבחן Control Hub SSO עבור שילוב זה.

1

בחר אחד:

  • חזור למרכז הבקרה - דף בחירת אישור בדפדפן שלך, ולאחר מכן לחץ הבא .
  • אם Control Hub כבר לא פתוח בכרטיסיית הדפדפן, מתצוגת הלקוח פנימהhttps://admin.webex.com , עבור אל ניהול > הגדרות ארגון , גלול אל אימות , ולאחר מכן בחר פעולות > ייבוא מטא נתונים .
2

בדף ייבוא מטה-נתונים של IdP , גרור ושחרר את קובץ המטא נתונים של IdP אל הדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטא נתונים. לחץ על הבא.

כדאי להשתמש ב בטוח יותר אפשרות, אם אתה יכול. זה אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא נתונים שלו.

בכל שאר המקרים, עליך להשתמש ב- פחות בטוח אפשרות. זה כולל אם המטא נתונים אינם חתומים, חתומים בעצמם או חתומים על ידי CA פרטי.


 

Okta לא חותם על המטא נתונים, אז אתה חייב לבחור פחות בטוח עבור שילוב Okta SSO .

3

בחר בדוק את הגדרת SSO , וכאשר נפתחת כרטיסיית דפדפן חדשה, בצע אימות עם ה-IDP על ידי כניסה.


 

אם אתה מקבל שגיאת אימות ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO . במקרה זה, עברו שוב על השלבים, במיוחד השלבים שבהם אתם מעתיקים ומדביקים את המטא-נתונים של Control Hub להגדרת IdP.


 

כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. שלב זה מפסיק תוצאות חיוביות כוזבות בגלל אסימון גישה שעשוי להיות בהפעלה קיימת לאחר הכניסה שלך.

4

חזור לכרטיסיית הדפדפן Control Hub.

  • אם הבדיקה הצליחה, בחר מבחן מוצלח. הפעל SSO ולחץ הבא .
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. כבה את SSO ולחץ הבא .

 

תצורת ה- SSO לא תיכנס לתוקף בארגון שלך אלא אם תבחר לחצן בחירה הבחירה הראשון והפעלת SSO.

מה הלאה?

השתמש בהליכים ב סנכרן את משתמשי Okta לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמשים מתוך Okta לענן Webex .

השתמש בהליכים ב סנכרן משתמשי Azure נוכחות פעילה לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Azure AD לענן Webex .

אתה יכול לעקוב אחר הנוהל ב דחק הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשי Webex App חדשים בארגון שלך. המסמך מכיל גם שיטות מומלצות לשליחת תקשורת למשתמשים בארגון שלך.