כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל-Webex בצורה מאובטחת באמצעות אימות מול ספק הזהויות המשותף של הארגון שלך. ספק זהויות (IdP) מאחסן ומנהל את הזהויות הדיגיטליות של המשתמשים שלך ומספק שירות אימות המשתמשים עבור משתמשי Webex שלך.

מדוע ייתכן שתצטרך ספקי זהויות מרובים

חברות גדולות רבות עוברות מיזוגים ורכישות, ולחברות אלה יש לעתים רחוקות את אותן תשתיות IT וספקי זהויות. למוסדות ממשלתיים יש ארגונים וסוכנויות שונים. לעתים קרובות, לארגונים אלה יש כתובת דוא"ל אחת למחלקות ה-IT והתשתיות שלהם, בהתאמה. למוסדות חינוך גדולים יש מחלקת רכישה מרכזית, אבל אוניברסיטאות ומכללות שונות עם ארגוני IT ומחלקות שונות.

זה נפוץ לראות ספקי IdPs וספקי שירות (SPs) מאוגדים זה עם זה. ה-IdP אחראי לאימות פרטי הכניסה של המשתמשים שלך וה-SP סומך על האימות שבוצע על-ידי ה-IdP. הדבר מאפשר למשתמשים שלך לגשת ליישומים ולשירותים שונים של SaaS באמצעות אותה זהות דיגיטלית. אבל, אם מסיבה כלשהי הארגון שלך לא יכול לאחד בין ספקי הזהויות, Webex מספק פתרון מסביב כדי לתמוך במספר ספקי זהויות. מסיבות אלה, אנו נותנים לך את האפשרות להגדיר SSO עבור מספר ספקי זהויות ב-Webex ולפשט את תהליך האימות של המשתמשים שלך.

מגבלות

  • תכונה זו זמינה רק אם רכשת את חבילת האבטחה המורחבת של Webex.
  • יש להקצות את כל המשתמשים עם Directory Connector אם אתה משתמש ב-Directory Connector בארגון שלך. עיין במדריך הפריסה של Directory Connector לקבלת מידע נוסף.
  • אנו תומכים כעת רק ב-SAML‏, OpenID Connect ו-Webex Identity כספקי זהויות.

מחוץ לתחום

  • קבע תצורה של הקצאות קבוצה.

סעיף זה מכסה את האופן שבו באפשרותך לשלב את ספקי הזהויות (IdP) שלך עם ארגון Webex. באפשרותך לבחור את ספקי הזהויות התואמים ביותר לדרישות הארגון שלך.

אם אתה מחפש שילוב SSO של אתר Webex Meetings (מנוהל ב'ניהול אתר'), עיין בהגדרת כניסה יחידה לניהול Webex.

דרישות מקדימות

לפני שתתחיל

ודא שהתנאים הבאים מתקיימים:

  • עליך להגדיר את ערכת האבטחה המורחבת של Webex להגדרת SSO עם מספר ספקי זהויות ב-Control Hub.
  • דרוש לך תפקיד מנהל מערכת מלא ב-Control Hub.
  • קובץ מטה-נתונים מה-IdP לתת ל-Webex ולקובץ מטה-נתונים מ-Webex, להעביר ל-IdP. למידע נוסף, עיין בשילוב כניסה יחידה ב-Control Hub. דבר זה ישים רק על תצורת SAML.
  • עליך לתכנן את התנהגות כללי הניתוב שלך לפני שתגדיר ספקי זהויות מרובים.

 
כלל הניתוב של ברירת המחדל יוחל לאחר קביעת התצורה של ה-IdP ההתחלתי שלך. אבל באפשרותך להגדיר IdP אחר כברירת מחדל. עיין ב-הוסף או ערוך כלל ניתוב בלשונית כללי הניתוב במאמר זה.

הגדרות SAML

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על הפעל SSO כדי להפעיל את אשף התצורה.

2

בחר ב-SAML כ-IdP שלך ולחץ על Next.

3

בחר את סוג התעודה:

  • חתימה עצמית על-ידי Cisco – אנו ממליצים על הבחירה הזו. תן לנו לחתום על התעודה כך שאתה רק צריך לחדש אותה אחת לחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית - מאובטחת יותר, אך תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק ה-IdP שלך תומך בעוגני אמון).

 
עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאמת אישור חתימה דיגיטלית. למידע נוסף, עיין בתיעוד IdP שלך.
4

לחץ על הורדת מטה-נתונים ולחץ על הבא.

שם הקובץ של מטה-נתונים של יישום Webex הוא idb-meta-<org-ID>-SP.xml.

5

העלה את קובץ המטה-נתונים של IdPs שלך או מלא את טופס התצורה.

בעת העלאת קובץ המטה-נתונים, ישנן שתי דרכים לאמת את המטה-נתונים מה-IdP של הלקוח:

  • ה-IdP של הלקוח מספק חתימה בקובץ המטה-נתונים החתום על ידי CA ציבורית המהווה בסיס.
  • ה-IdP של הלקוח מספק CA פרטית בחתימה עצמית או שאינו מספק חתימה עבור קובץ המטה-נתונים שלו. אפשרות זו פחות מאובטחת.
אחר, בטופס התצורה, הזן את פרטי ה-IdP.

לחץ על הבא.

6

(אופציונלי) הגדר את הגדרות Just In Time (JIT) ותגובת מיפוי SAML.

עיין בתצורה של Just In Time (JIT) ומיפוי SAML בלשונית ניהול ה-IdPs שלך במאמר זה.
7

לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה.


 

בדוק את חיבור ה-SSO לפני שתפעיל אותו. שלב זה פועל כמו הרצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל את האפשרות SSO בשלב הבא.

אם תקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת יישום Webex פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub לתוך הגדרת IdP.


 

כדי לראות את חוויית הכניסה של SSO, אנו ממליצים ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

8

חזור ללשונית הדפדפן של Control Hub.

  • אם הבדיקה הצליחה, בחר בהצלחה. הפעל את SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא הצליחה. חזור לשלבים הקודמים כדי לתקן שגיאות.

 
תצורת ה-SSO לא תיכנס לתוקף בארגון שלך, אלא אם תבחר בלחצן הרדיו הראשון ותפעיל את ה-SSO.

מה הלאה?

באפשרותך להגדיר כלל ניתוב. עיין ב-הוסף או ערוך כלל ניתוב בלשונית כללי הניתוב במאמר זה.

באפשרותך לבצע את ההליך ב-העלמת הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחו למשתמשי יישום Webex חדשים בארגון שלך. המסמך כולל גם שיטות מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

הגדרת תצורת OpenID Connect

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על הפעל SSO כדי להפעיל את אשף התצורה.

2

בחר ב-OpenID Connect כ-IdP שלך ולחץ על Next.

3

הזן את פרטי IdP שלך.

  • שם-השם לזיהוי ה-IdP שלך.
  • מזהה לקוח—המזהה הייחודי לזיהוי שלך ושל ה-IdP שלך.
  • סוד לקוח—הסיסמה שאתה ו-IdP שלך יודעים.
  • Scopes—הסדרות המשויכות ל-IdP שלך.
4

בחר כיצד להוסיף נקודות קצה. ניתן לעשות זאת באופן אוטומטי או ידני.

  • השתמש בכתובת ה-URL של הגילוי—הזן את כתובת ה-URL של התצורה עבור ה-IdP שלך.
  • הוסף ידנית מידע של נקודות קצה – הזן את הפרטים הבאים.

    • מנפיק
    • נקודת קצה של הרשאה
    • נקודת קצה של אסימון
    • נקודת קצה של JWKS
    • נקודת קצה של פרטי משתמש
    למידע נוסף, עיין במדריך התצורה של OpenID Connect.
5

(אופציונלי) קבע את התצורה של הגדרות Just In Time (JIT).

עיין בתצורה של Just In Time (JIT) ומיפוי SAML בלשונית ניהול ה-IdPs שלך במאמר זה.
6

לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה.


 

בדוק את חיבור ה-SSO לפני שתפעיל אותו. שלב זה פועל כמו הרצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל את האפשרות SSO בשלב הבא.

אם תקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת יישום Webex פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub לתוך הגדרת IdP.


 

כדי לראות את חוויית הכניסה של SSO, אנו ממליצים ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

7

חזור ללשונית הדפדפן של Control Hub.

  • אם הבדיקה הצליחה, בחר בהצלחה. הפעל את SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא הצליחה. חזור לשלבים הקודמים כדי לתקן שגיאות.

 
תצורת ה-SSO לא תיכנס לתוקף בארגון שלך, אלא אם תבחר בלחצן הרדיו הראשון ותפעיל את SSO.

מה הלאה?

באפשרותך להגדיר כלל ניתוב. עיין ב-הוסף או ערוך כלל ניתוב בלשונית כללי הניתוב במאמר זה.

באפשרותך לבצע את ההליך ב-העלמת הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחו למשתמשי יישום Webex חדשים בארגון שלך. המסמך כולל גם שיטות מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

קבע תצורה של זהות Webex

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על הפעל SSO כדי להפעיל את אשף התצורה.

2

בחר ב-Webex כ-IdP שלך ולחץ על Next.

3

בדוק שקראתי והבנתי איך Webex IdP פועל ולחץ על הבא.

4

הגדר כלל ניתוב.

עיין ב-הוסף או ערוך כלל ניתוב בלשונית כללי הניתוב במאמר זה.

לאחר הוספת כלל ניתוב, ה-IdP שלך מתווסף ומוצג תחת לשונית ספק הזהויות .

מה הלאה?

באפשרותך לבצע את ההליך ב-העלמת הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשי יישום Webex חדשים בארגון שלך. המסמך כולל גם שיטות מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

כללי ניתוב ישימים בעת הגדרת יותר מ-IdP אחד. כללי ניתוב מאפשרים ל-Webex לזהות לאיזו IdP לשלוח את המשתמשים שלך כאשר הגדרת מספר ספקי זהויות.

בעת הגדרת יותר מ-IdP אחד, באפשרותך להגדיר את כללי הניתוב שלך באשף התצורה של SSO. אם תדלג על שלב כלל הניתוב, Control Hub מוסיף את ה-IdP אבל לא מפעיל את ה-IdP. עליך להוסיף כלל ניתוב כדי להפעיל את ה-IdP.

הוסף או ערוך כללי ניתוב

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור אל הכרטיסייה כללי הניתוב .


 

בעת הגדרת ה-IdP הראשון שלך, כלל הניתוב יתווסף באופן אוטומטי והוא מוגדר ככלל ברירת המחדל. באפשרותך לבחור IdP אחר כדי להגדיר ככלל ברירת המחדל במועד מאוחר יותר.

3

לחץ על הוסף כלל ניתוב חדש.

4

הזן את הפרטים עבור כלל חדש:

  • שם כלל—הזן את השם עבור כלל הניתוב.
  • בחר סוג ניתוב—בחר דומיין או קבוצה.
  • אם אלה הדומיינים/קבוצות שלך—הזן את הדומיינים/קבוצות בתוך הארגון שלך.
  • לאחר מכן השתמש בספק הזהויות הזה—בחר את IdP.
5

לחץ על הוסף.

6

בחרו את כלל הניתוב החדש ולחצו על הפעל.


 
באפשרותך לשנות את סדר העדיפות של כלל הניתוב אם יש לך כללי ניתוב עבור מספר ספקי זהויות.

השבת או מחק כללי ניתוב

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור אל הכרטיסייה כללי הניתוב .

3

בחר את כלל הניתוב.

4

בחר אם ברצונך להשבית או למחוק את כלל הניתוב.

מומלץ שיהיה לך כלל ניתוב פעיל אחר עבור ה-IdP. אחרת, ייתכן שתיתקל בבעיות עם כניסת ה-SSO שלך.


 
לא ניתן להשבית או למחוק את כלל ברירת המחדל , אבל באפשרותך לשנות את ה-IdP המנותב.

נהל את תעודות ספק הזהויות (IdP) שלך

לפני שתתחיל


 

מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה ב-Control Hub שתוקפה של תעודת IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש תעודות, אנו מכסים את מה שנדרש ב-Control Hub, יחד עם שלבים גנריים כדי לאחזר מטה-נתונים מעודכנים של IdP ולהעלות אותו ל-Control Hub כדי לחדש את האישור.

דבר זה ישים רק על תצורת SAML.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP, לחץuploadובחר מטה-נתונים של העלה נתונים של Idp.

להורדת קובץ המטה-נתונים, לחץDownloadובחרו באפשרות הורד מטה-נתונים של Idp.
4

נווט לממשק הניהול של IdP כדי לאחזר את קובץ המטה-נתונים החדש.

5

חזור אל Control Hub וגרור ושחרר את קובץ המטה-נתונים של IdP לאזור ההעלאה, או לחץ על בחר קובץ כדי להעלות את המטה-נתונים.

6

בחר פחות מאובטח (בחתימה עצמית) או יותר מאובטח (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של מטה-נתונים של IdP ולחץ על שמור.

7

קבע את התצורה של הגדרות Just in Time (JIT) ותגובת מיפוי SAML.

עיין בתצורה של Just In Time (JIT) ומיפוי SAML בלשונית ניהול ה-IdPs שלך במאמר זה.
8

לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה.


 

בדוק את חיבור ה-SSO לפני שתפעיל אותו. שלב זה פועל כמו הרצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל את האפשרות SSO בשלב הבא.

אם תקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת יישום Webex פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub לתוך הגדרת IdP.


 

כדי לראות את חוויית הכניסה של SSO, אנו ממליצים ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

9

לחץ על שמור.

נהל את אישורי ספק השירות (SP) שלך

לפני שתתחיל


 

מומלץ לעדכן את כל ספקי הזהויות בארגון שלך בעת חידוש אישור ספק השירות שלך.

דבר זה ישים רק על תצורת SAML.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP ולחץ.

4

לחץ על תעודות סקירה ותאריך תפוגה.

פעולה זו מביאה אותך לחלון האישורים של ספק השירות (SP) של ספק השירות.
5

לחץ על חידוש תעודה.

6

בחר את סוג ה-IdP בארגון שלך:

  • IdP התומך בתעודות מרובות
  • IdP שתומך בתעודה בודדת
7

בחר את סוג התעודה לחידוש:

  • חתימה עצמית על-ידי Cisco – אנו ממליצים על הבחירה הזו. תן לנו לחתום על התעודה כך שאתה רק צריך לחדש אותה אחת לחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית – מאובטחת יותר, אך תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק ה-IdP שלך תומך בעוגני אמון).

 
עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאמת אישור חתימה דיגיטלית. למידע נוסף, עיין בתיעוד IdP שלך.
8

לחץ על מטה-נתונים של הורד או הורד תעודה כדי להוריד עותק של קובץ המטה-נתונים או האישור המעודכנים מענן Webex.

9

נווט לממשק הניהול של IdP כדי להעלות את קובץ המטה-נתונים או האישור החדשים של Webex.

שלב זה עשוי להתבצע באמצעות לשונית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או באמצעות תמיכה ספציפית של ספק ענן, בהתאם להגדרת IdP שלך והאם אתה או מנהל מערכת IdP נפרד אחראים לשלב זה.

למידע נוסף, עיין במדריכי שילוב SSO שלנו או פנה למנהל המערכת של IdP לקבלת תמיכה. אם אתה נמצא ב-Active Directory Federation Services (AD FS), תוכל לראות כיצד לעדכן מטה-נתונים של Webex ב-AD FS

10

חזור לממשק Control Hub ולחץ על Next.

11

בחר עדכנת בהצלחה את כל ספקי הזהויות ולחץ על הבא.

זה מעלה את קובץ המטה-נתונים של ספק השירות או התעודה לכל ספקי הזהויות בארגון שלך.

12

לחץ על חידוש סיום.

בדוק את הגדרת ה-SSO שלך

לפני שתתחיל

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP ולחץ.

4

בחר ב-IdP בדיקה.

5

לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה.


 

אם תקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת יישום Webex פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub לתוך הגדרת IdP.


 

כדי לראות את חוויית הכניסה של SSO, אנו ממליצים ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

6

חזור ללשונית הדפדפן של Control Hub.

  • אם הבדיקה הצליחה, בחר בהצלחה. הפעל את SSO ו-IdP ולחץ על שמור.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא הצליחה. חזור לשלבים הקודמים כדי לתקן שגיאות.

 
תצורת ה-SSO לא תיכנס לתוקף בארגון שלך, אלא אם כן תבחר בלחצן רדיו ראשון ותפעיל את SSO.

קביעת התצורה של Just In Time (JIT) ומיפוי SAML

לפני שתתחיל

ודא שהתנאים המוקדמים הבאים מתקיימים:

  • SSO כבר מוגדר.

  • הדומיינים כבר אומתו.

  • הדומיינים נתבעים ומופעלים. תכונה זו מבטיחה שמשתמשים מהדומיין שלך נוצרים ומעודכנים פעם בכל פעם שהם מבצעים אימות עם ה-IdP שלך.

  • אם DirSync או Azure AD מופעלים, יצירה או עדכון של SAML JIT לא יעבדו.

  • האפשרות 'חסום עדכון פרופיל משתמש' מופעלת. מיפוי עדכון SAML מותר מכיוון שתצורה זו שולטת ביכולת המשתמש לערוך את התכונות. שיטות יצירה ועדכון הנשלטות על ידי מנהל מערכת עדיין נתמכות.


 

בעת הגדרת SAML JIT עם Azure AD או IdP שבו הדוא"ל אינו מזהה קבוע, מומלץ להשתמש ב- externalId קישור תכונה למפה לזיהוי ייחודי. אם נמצא שהדוא"ל אינו תואם לתכונת הקישור, המשתמש יתבקש לאמת את זהותו או ליצור משתמש חדש עם כתובת הדוא"ל הנכונה.

משתמשים שנוצרו לאחרונה לא יקבלו רישיונות מוקצים באופן אוטומטי אלא אם לארגון יש תבנית רישיון אוטומטית המוגדרת.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP ולחץ.

4

בחר ערוך מיפוי SAML.

5

קבע תצורה של הגדרות Just-in-Time‏ (JIT) .

  • צור או הפעל משתמש: אם לא נמצא משתמש פעיל, זהות Webex יוצרת את המשתמש ומעדכנת את התכונות לאחר שהמשתמש אימת עם ה-IdP.
  • עדכן משתמש עם תכונות SAML: אם משתמש עם כתובת דוא"ל נמצא, זהות Webex מעדכנת את המשתמש עם התכונות הממופות בהצהרת SAML.
אשר שמשתמשים יכולים להיכנס באמצעות כתובת דוא"ל אחרת ובלתי מזוהה.
6

קבע תצורה של תכונות נדרשות של מיפוי SAML.

טבלה 1. תכונות נדרשות

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

שם משתמש / כתובת דוא"ל ראשית

דוגמה: מספר משתמש

מפה את תכונת UID לדוא"ל של המשתמש המוקצה, ל-UPN או ל-edupersonprincipalname.

7

קבע את התצורה של תכונות הקישור.

זה צריך להיות ייחודי למשתמש. הוא משמש לבדיקת משתמש כדי ש-Webex יוכל לעדכן את כל תכונות הפרופיל, כולל דוא"ל עבור משתמש.
טבלה 2. תכונות קישור

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

מזהה חיצוני

דוגמה: משתמש.objectid

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

enumber

דוגמה: משתמש: eid

מספר העובד של המשתמש, או מספר מזהה במערכת משאבי האנוש שלו. שים לב שזה לא עבור externalid כי אתה יכול להשתמש מחדש או למחזר employeenumber עבור משתמשים אחרים.

תכונת שלוחה 1

דוגמה: משתמש.תכונת הרחבה1

מפה תכונות מותאמות אישית אלה לתכונות מורחבות ב-Active Directory‏, Azure או בספרייה שלך, עבור קודי מעקב.

תכונת שלוחה 2

דוגמה: משתמש:Extensionattribute2

תכונת שלוחה 3

דוגמה: משתמש.extensionattribute3

תכונת שלוחה 4

דוגמה: משתמש:Extensionlattribute4

תכונת שלוחה 5

דוגמה: משתמש.תכונת extensionattribute5

8

קבע תצורה של תכונות פרופיל.

טבלה 3. תכונות פרופיל

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

מזהה חיצוני

דוגמה: משתמש.objectid

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

enumber

דוגמה: משתמש: eid

מספר העובד של המשתמש הזה, או מספר מזהה במערכת משאבי האנוש שלו. שים לב שזה לא עבור "externalid", משום שאתה יכול לעשות שימוש חוזר או למחזר " enumber" עבור משתמשים אחרים.

שפה מועדפת

דוגמה: משתמש:preferredlanguage

השפה המועדפת של המשתמש.

מיקום

דוגמה: משתמש.locale

מיקום העבודה הראשי של המשתמש.

אזור זמן

דוגמה: אזור זמן של משתמש

אזור הזמן הראשי של המשתמש.

שם תצוגה

דוגמה: שם משתמש

שם התצוגה של המשתמש ב-Webex.

שם.givenשם

דוגמה: שם משתמש

השם הפרטי של המשתמש.

שם משפחה

דוגמה: שם משתמש

שם המשפחה של המשתמש.

כתובת: streetAddress

דוגמה: user.streetaddress

כתובת מיקום העבודה הראשי שלו.

כתובות.state

דוגמה: משתמש.state

מצב מיקום העבודה הראשי שלהם.

כתובת:

דוגמה: אזור משתמש

האזור של מיקום העבודה הראשי שלו.

addresses.postalCode

דוגמה: user.postalcode

המיקוד של מיקום העבודה הראשי שלי.

כתובת:

דוגמה: משתמש/מדינה

המדינה של מיקום העבודה הראשי שלו.

מספרי טלפון.work

דוגמה: פוננמר עבודה

מספר הטלפון בעבודה של מיקום העבודה הראשי שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

מספרי טלפון.שלוחה

דוגמה: Phonenumber נייד

שלוחת העבודה של מספר הטלפון הראשי בעבודה שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

כינוי

דוגמה: משתמש. כינוי

כינויי הגוף של המשתמש. זוהי תכונה אופציונלית, והמשתמש או מנהל המערכת יכולים להפוך אותה לנראית בפרופיל שלו.

כותרת

דוגמה: user.jobtitle

תפקיד המשתמש.

מחלקה

דוגמה: משתמש/מחלקה

המחלקה או הצוות של תפקיד המשתמש.

כינוי

דוגמה: משתמש. כינוי

זהו כינוי הגוף של המשתמש. הנראות של תכונה זו נשלטת על-ידי מנהל המערכת והמשתמש

מנהל

דוגמה: מנהל

מנהל המשתמש או הצוות שלו.

מרכז העיר

דוגמה: מרכז עלות

זהו שם המשפחה של המשתמש הידוע גם בשם משפחה או familyname

דוא"ל1

דוגמה: משתמש/כינוי דואר

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להיכנס באמצעות זה, למפות אותו ל-uid.

דוא"ל2

דוגמה: משתמש:סיון ל-Primaryauthoritativemail

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להיכנס באמצעות זה, למפות אותו ל-uid.

דוא"ל3

דוגמה: משתמש.לחלופיןauthoritatiemail

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להיכנס באמצעות זה, למפות אותו ל-uid.

דוא"ל4

דוגמה: user.othermail

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להיכנס באמצעות זה, למפות אותו ל-uid.

דוא"ל5

דוגמה: user.othermail

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להיכנס באמצעות זה, למפות אותו ל-uid.
9

קבע תצורה של תכונות שלוחה.

מפה תכונות אלה לתכונות מורחבות ב-Active Directory, ב-Azure או בספרייה שלך, עבור קודי מעקב.
טבלה 4. תכונות שלוחה

שם תכונה של זהות Webex

שם תכונת SAML

תכונת שלוחה 1

דוגמה: משתמש.תכונת הרחבה1

תכונת שלוחה 2

דוגמה: משתמש:Extensionattribute2

תכונת שלוחה 3

דוגמה: משתמש.extensionattribute3

תכונת שלוחה 4

דוגמה: משתמש.תכונת extensionattribute4

תכונת שלוחה 5

דוגמה: משתמש.תכונת extensionattribute5

תכונת שלוחה 6

דוגמה: משתמש.extensionattribute6

תכונת שלוחה 7

דוגמה: משתמש.extensionattribute7

תכונת שלוחה 8

דוגמה: משתמש:Extensionattribute8

תכונת שלוחה 9

דוגמה: משתמש.extensionattribute9

תכונת שלוחה 10

דוגמה: משתמש:Extensionattribute10

10

קבע תצורה של תכונות קבוצה.

  1. צור קבוצה ב-Control Hub ושים לב למזהה קבוצת Webex.
  2. עבור אל ספריית המשתמשים או אל ה-IdP והגדר תכונה עבור משתמשים שיוקצו למזהה קבוצת Webex.
  3. עדכן את תצורת ה-IdP שלך כך שתכלול טענה שנושא שם תכונה זה יחד עם מזהה קבוצת Webex (לדוגמה c f7d85-b691-42b8-a20b-12345xxxx). באפשרותך גם להשתמש במזהה החיצוני לניהול שינויים בשמות קבוצה או לתרחישי שילוב עתידיים. לדוגמה, סנכרון עם Azure AD או יישום סנכרון קבוצת SCIM.
  4. ציין את השם המדויק של התכונה שתישלח בהצהרת SAML עם מזהה הקבוצה. אפשרות זו משמשת להוספת המשתמש לקבוצה.
  5. ציין את השם המדויק של המזהה החיצוני של אובייקט הקבוצה אם אתה משתמש בקבוצה מספר הטלפונים שלך כדי לשלוח חברים בהצהרת SAML.

 

אם משתמש A משויך אל groupID 1234 ומשתמש B עם groupID ב-4567 הם מוקצים לקבוצות נפרדות. תרחיש זה מציין שתכונה אחת מאפשרת למשתמשים לשייך למזהי קבוצה מרובים. למרות שזה לא נפוץ, זה אפשרי, יכול להיחשב כשינוי תוסף. לדוגמה, אם משתמש A נכנס בתחילה לשימוש groupID ב-1234 הם הופכים לחברים בקבוצה המקבילה. אם משתמש A מאוחר יותר נכנס באמצעות groupID 4567, הם מתווספים לקבוצה השנייה זו.

הקצאת SAML JIT אינה תומכת בהסרת משתמשים מקבוצות או בכל מחיקה של משתמשים.

טבלה 5. תכונות קבוצה

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

מזהה קבוצה

דוגמה: מזהה קבוצה

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

groupexternal Id

דוגמה: groupexternal Id

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

לקבלת רשימה של תכונות קביעת SAML עבור Webex Meetings, ראה https://help.webex.com/article/WBX67566.

מחק את ספק הזהויות (IdP) שלך

לפני שתתחיל


 
מומלץ להשבית תחילה או למחוק את כללי הניתוב של IdP לפני מחיקת ה-IdP.
1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP ולחץ.

4

בחרו ב-מחיקה.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

לחץ על השבת את SSO.

אשר השבתת SSO.

לאחר אישור, SSO מושבת עבור כל ספקי הזהויות בארגון שלך.

תקבל התראות ב-Control Hub לפני שתוקפן פג האישורים, אבל תוכל גם להגדיר באופן יזום את כללי ההתראה. כללים אלה מאפשרים לך לדעת מראש שפג תוקפו של תעודות SP או ה-IdP שלך. אנחנו יכולים לשלוח לך אותם בדוא"ל, מרחב ביישום Webex, או בשניהם.


 

ללא קשר לערוץ המשלוח המוגדר, כל ההתראות תמיד מופיעות ב-Control Hub. למידע נוסף, ראה מרכז ההתראות ב-Control Hub .

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל מרכז ההתראות.

2

בחר נהל ולאחר מכן כל הכללים.

3

מרשימת הכללים, בחר אחד מכללי SSO שברצונך ליצור:

  • פג התוקף של תעודת SSO IDP
  • תפוגה של תעודת SSO SP
4

בקטע ערוץ המסירה, סמן את התיבה עבור דוא"ל, מרחב Webex, או את שניהם.

אם תבחרו בדוא"ל, הזן את כתובת הדוא"ל שאמורה לקבל את ההתראה.


 

אם תבחר באפשרות המרחב של Webex, תווסף באופן אוטומטי למרחב בתוך יישום Webex ואנו מספקים את ההתראות שם.

5

שמור את השינויים.

מה הלאה?

אנו שולחים התראות על תפוגת התעודות פעם ב-15 יום, החל מ-60 יום לפני התפוגה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15). ההתראות נפסקות בעת חידוש התעודה.

אם תיתקל בבעיות עם כניסת SSO שלך, תוכל להשתמש באפשרות ההתאוששות העצמית של sso כדי לקבל גישה לארגון Webex שלך המנוהל ב-Control Hub. אפשרות ההתאוששות העצמית מאפשרת לך לעדכן או להשבית את SSO ב-Control Hub.