כניסה יחידה ומרכז בקרה

כניסה יחידה (SSO) היא תהליך הפעלה או אימות משתמש המאפשר למשתמש לספק אישורים לגישה ליישום אחד או יותר. התהליך מאמת את המשתמשים עבור כל היישומים שהם מקבלים זכויות עליהם. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.

פרוטוקול האיחוד של שפת סימון טענת האבטחה (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהויות שלך (IdP).

פרופילים

אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל SSO של דפדפן האינטרנט, Webex App תומך באיגודים הבאים:

  • SP יזם POST -> איגוד POST

  • SP יזם ניתוב מחדש -> איגוד POST

תבנית NameID

פרוטוקול SAML 2.0 תומך במספר תבניות NameID לתקשורת על משתמש ספציפי. אפליקציית Webex תומכת בתבניות NameID הבאות.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

במטה-נתונים שאתה טוען מה- IdP שלך, הערך הראשון מוגדר לשימוש ב- Webex.

סינגללוג'אוט

אפליקציית Webex תומכת בפרופיל ההתנתקות הבודד. ב- Webex App, משתמש יכול לצאת מהאפליקציה, המשתמשת בפרוטוקול התנתקות יחיד SAML כדי לסיים את ההפעלה ולאשר את ההתנתקות באמצעות ה- IdP שלך. ודא שה-IDP שלך מוגדר עבור SingleLogout.

שלב את מרכז הבקרה עם PingFederate

קווי התצורה מציגים דוגמה ספציפית לשילוב SSO, אך אינם מספקים תצורה ממצה עבור כל האפשרויות. לדוגמה, שלבי האינטגרציה עבור כד בתבנית nameid:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:uns specifiified או urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יפעלו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו.

הגדר שילוב זה עבור משתמשים בארגון Webex שלך (כולל Webex App, פגישותWebex ושירותים אחרים המנוהלים במרכז הבקרה). אם אתר Webex שלך משולב ב- Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך מצליח לגשת לפגישות Webex בדרך זו והוא אינו מנוהל ב - Control Hub, עליך לבצע שילוב נפרד כדי להפוך את SSO לזמין עבור פגישותWebex. (ראה הגדר כניסה יחידה עבור Webex לקבלת מידע נוסף בשילוב SSO בניהול האתר.)

לפני שתתחיל

עבור SSO ורכזת בקרה, עקורים חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר את תצורתם של עקורים באופן הבא:

הורד את המטה-נתונים של Webex למערכת המקומית שלך

1

מתצוגת הלקוח ב- https://admin.webex.com, עבור אל ניהול > הגדרותארגון ולאחר מכן גלול אל אימותולאחר מכן החלף את הגדרת הכניסה היחידה כדי להפעיל את אשף ההתקנה.
2

בחר את סוג האישור עבור הארגון שלך:

  • חתימה עצמית על-ידי Cisco– אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • חתום על-ידי רשות אישוריםציבורית — מאובטח יותר, אך יהיה עליך לעדכן לעתים קרובות את המטה-נתונים (אלא אם כן ספק IdP שלך תומך בעוגני אמון).

 

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.
3

הורד את קובץ המטא-נתונים.

שם קובץ המטה-נתונים של Webex הוא idb-meta-<org-ID>-SP.xml.

קביעת תצורה של חיבור ספק שירות חדש

1

עבור אל פורטל ניהול PingFederate שלך ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

תחת חיבוריSP, בחר צור חדש.
3

בחר בלחצן אל תשתמש בתבנית עבור חיבור זה ולאחר מכן בחר הבא.
4

בחר פרופילי SSO בדפדפןולאחר מכן לחץ על הבא.
5

בחר בכרטיסייה ייבוא מטה-נתונים .
6

לחץ על בחר קובץ כדי לגלוש וליבא את קובץ המטה-נתונים שהורדת ממרכז הבקרהולאחר מכן לחץ על הבא.
7

סקור את המידע בכרטיסיה מידע כללי ולאחר מכן לחץ על סיום.

קביעת תצורה של כניסה יחידה לדפדפן

1

מפורטל ניהול PingFederate, בחר הגדר את הדפדפן SSO.
2

סמן את תיבת הסימון SSO יזום SP ולאחר מכן לחץ על הבא.
3

בחר הגדר יצירת קביעה.

  1. שנה את תבנית NameID ל - Transient וסמן את תיבת הסימון כלול תכונות בנוסף למזהה הארעי.

  2. הרחב את תכונות החוזה על-ידי הוספת תכונות דואר ו - uid בתבנית urn:oasis:names:tc:SAML:2.0:attrname-format-basic, ולאחר מכן לחץ על הבא.

  3. בחר מפה מופע מתאם חדש כדי לבחור מנגנון אימות. מהתפריט הנפתח מופע מתאם , בחר אחד ממנגנוני האימות שהוגדרו קודם לכן ולאחר מכן לחץ על הבא.

  4. בחר/י באפשרות אחזור תכונות נוספות ממאגרי נתונים מרובים באמצעות לחצן אפשרויות מיפוי אחד ולאחר מכן לחץ/י על ״הבא״.

  5. בחר הוסף מקור תכונה כדי להוסיף את בקר תחום הספריות הפעיל עבור התחום ולאחר מכן לחץ על הבא.

  6. ציין את בסיס DN ובחר את מחלקת <Show All="" Attributes="">אובייקט הבסיס . בתיבת הטקסט סנן, הזן את המסנן LDAP ולאחר מכן לחץ על הבא.

    הערך חייב להכיל את התכונה שאתה מצפה שהמשתמש יספק. הוא גם צריך להכיל את הערך שאליו הוא ממפה במקורות ה-LDAP. לדוגמה, אם הספריה הפעילה שלך מוגדרת לסינון בתכונת הכניסה של Windows, הזן sAMAccountName=${Username}.

  7. בחר את המקור והערך כדי למפות את תכונות הקביעה עם התכונות שסופקו על-ידי מאגר הנתונים של AD. (אל תזין שום דבר עבור קריטריוני ההנפקה.)

  8. ודא שתצורת הקביעה כוללת מיפוי זהויות המוגדר כ-Transient , חוזה תכונה מוגדר ל-uid ומופעי מתאם מוגדרים ל-1 .


     

    התכונה uid צריכה למפות את כתובת הדוא"ל של המשתמש.
4

בחר קביעת תצורה של הגדרותפרוטוקול.

  1. עבור איגודי SAML מותרים, בדוק רק את תיבות הסימון POST ו - Redirect .

  2. עבור מדיניות חתימה, בחר תמיד חתום על קביעתSAML.

    הגדרות הפרוטוקול צריכות להיראות כך.

  3. בחר קביעת תצורה של אישורים כדי לקבוע את תצורת האישור עבור הקביעה.

  4. בחר את האישור שכבר נוצר עבור קביעות SAML.
5

במסך הפעלה וסיכום, הגדר את מצב החיבור לפעיל .

ייצוא מטה-נתונים מ- PingFederate

1

במסך הראשי, לחץ על נהל את כל SP.
2

מצא את החיבור שיצרת זה עתה ולחץ על ייצוא מטה-נתונים.
3

בחר את האישור שבו נעשה שימוש לחתימה על הקובץ המיוצא מהתפריט הנפתח.
4

לחץ על ייצוא.

ייבוא המטה-נתונים של IdP והפעל כניסה יחידה לאחר בדיקה

לאחר ייצוא המטה-נתונים של Webex , קביעת התצורה של IdP והורדת המטה-נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון Webex שלך ממרכז הבקרה.

לפני שתתחיל

אל תבדוק שילוב SSO מממשק ספק הזהויות (IdP). אנו תומכים רק בזרימות שיוזמו על-ידי ספק השירות (יזום SP), ולכן עליך להשתמש בבדיקת Control Hub SSO עבור שילוב זה.

1

בחר אחד:

  • חזור אל מרכז הבקרה – דף בחירת אישורים בדפדפן שלך ולאחר מכן לחץ על הבא.
  • אם מרכז הבקרה אינו פתוח עוד בכרטיסיית הדפדפן, מתצוגת הלקוח ב-https://admin.webex.com , עבור אל ניהול > הגדרותארגון, גלול אל אימותולאחר מכן בחר פעולות > ייבוא מטה-נתונים.
2

בדף ייבוא מטא-נתונים של IdP, גרור ושחרר את קובץ המטא-נתונים IdP לדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטה-נתונים. לחץ על הבא.

עליך להשתמש באפשרות מאובטחת יותר, אם אתה יכול. הדבר אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא-נתונים שלו.

בכל המקרים האחרים, עליך להשתמש באפשרות 'פחות מאובטח '. פעולה זו כוללת אם המטה-נתונים אינם חתומים, חתומים בחתימה עצמית או נחתמים על-ידי מנהל שירותי פרטי.
3

בחר בדוק הגדרת SSO, וכאשר כרטיסיית דפדפן חדשה נפתחת, בצע אימות באמצעות IdP על-ידי כניסה.


 

אם אתה מקבל שגיאת אימות, ייתכן שקיימת בעיה באישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

 

כדי לראות את חוויית הכניסה של SSO ישירות, באפשרותך גם ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם, אתה יכול לעבור דרך כניסה עם SSO. שלב זה מפסיק תוצאות חיוביות שגויות עקב אסימון גישה שעשוי להיות בהפעלה קיימת מכניסתך.
4

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל את SSO ולחץ על הבא.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. כבה את SSO ולחץ על הבא.

 

תצורת SSO אינה נכנסת לתוקף בארגון שלך, אלא אם תבחר בלחצן האפשרויות הראשון ותפעיל את SSO.

מה הלאה?

באפשרותך לבצע את ההליך ב'דיכוי הודעות דואר אלקטרוני אוטומטיות' כדי להשבית הודעות דואר אלקטרוני הנשלחות למשתמשי Webex App חדשים בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.