כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל-Webex בצורה מאובטחת על-ידי אימות לספק הזהויות המשותף של הארגון שלך. ספק זהויות (IdP) מאחסן ומנהל בצורה מאובטחת את הזהויות הדיגיטליות של המשתמשים שלך ומספק את שירות אימות המשתמשים עבור משתמשי Webex שלך.

מדוע ייתכן שתצטרך ספקי זהויות מרובים

חברות גדולות רבות עוברות מיזוגים ורכישות, ולחברות אלה לעתים רחוקות יש את אותם ספקי תשתית IT וזהות. למוסדות ממשלתיים יש ארגונים וסוכנויות שונות מתחתם. לעתים קרובות, לארגונים אלה יש כתובת דוא"ל אחת עבור מחלקות IT ותשתית משלהם, בהתאמה. למוסדות חינוך גדולים יש מחלקת רכישות מרכזית, אך אוניברסיטאות ומכללות שונות עם ארגוני IT ומחלקות שונות.

זה נפוץ לראות ספקי זהויות וספקי שירות (SP) מאוחדים זה עם זה. ה-IdP אחראי לאימות פרטי הכניסה של המשתמשים שלך וה-SP סומך על האימות שבוצע על-ידי ה-IdP. זה מאפשר למשתמשים שלך לגשת ליישומים ושירותים שונים של SaaS באמצעות אותה זהות דיגיטלית. אבל, אם מסיבה כלשהי הארגון שלך לא יכול לאחד בין ספקי הזהויות, Webex מספק דרך עקיפה לתמיכה בספקי הזהויות מרובים. מסיבות אלה, אנחנו נותנים לך את האפשרות להגדיר SSO עבור ספקי זהויות מרובים ב-Webex ולפשט את תהליך האימות של המשתמשים שלך.

מגבלות

  • תכונה זו זמינה רק אם רכשת את Webex Extended Security Pack.
  • כרגע אנחנו תומכים רק ב-SAML, ב-OpenID Connect וב-Webex Identity כספקי זהויות.

מחוץ לטווח

  • קבע תצורה של הקצאות קבוצה.

סעיף זה עוסק באופן שבו באפשרותך לשלב את ספקי הזהויות (IdP) שלך עם ארגון Webex שלך. באפשרותך לבחור את ספקי הזהויות שמתאימים בצורה הטובה ביותר לדרישות הארגון שלך.

אם אתה מחפש שילוב SSO של אתר Webex Meetings (מנוהל בניהול אתר), עיין בקבע תצורה של כניסה יחידה עבור ניהול Webex.

דרישות מקדימות

לפני שתתחיל

ודא שהתנאים הבאים מתקיימים:

  • אתה זקוק לחבילת אבטחה מורחבת של Webex כדי לקבוע תצורה של SSO עם ספקי זהויות מרובים ב-Control Hub.
  • דרוש לך תפקיד מנהל מערכת מלא ב-Control Hub.
  • קובץ מטה-נתונים מה-IdP כדי למסור ל-Webex וקובץ מטה-נתונים מ-Webex, כדי למסור ל-IdP. למידע נוסף, ראה שילוב כניסה יחידה ב-Control Hub. זה חל רק על תצורת SAML.
  • עליך לתכנן את אופן הפעולה של כללי הניתוב לפני הגדרת ספקי זהויות מרובים.
כלל הניתוב של ברירת המחדל מוחל ברגע שתגדיר את ה-IdP הראשוני שלך. אבל תוכל להגדיר IdP אחר כברירת מחדל. עיין בהוספה או עריכה של כלל ניתוב בלשונית 'כללי ניתוב' במאמר זה.
קבע תצורה של SAML
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות כדי להפעיל את אשף התצורה.

3

בחר SAML כספק הזהות שלך ולחץ על הבא.

4

בחר את סוג התעודה:

  • נחתם בחתימה עצמית על-ידי Cisco – אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית – מאובטח יותר, אבל תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק IdP שלך תומך בעוגנים של אמון).
עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.
5

לחץ על הורדת מטה-נתונים ולחץ על הבא.

שם הקובץ של מטה-נתונים של יישום Webex הוא idb-meta--SP.xml.

6

העלה את קובץ המטה-נתונים של IdPs או מלא את טופס התצורה.

בעת העלאת קובץ המטה-נתונים, קיימות שתי דרכים לאמת את המטה-נתונים מה-IdP של הלקוח:

  • ה-IdP של הלקוח מספק חתימה בקובץ המטה-נתונים החתום על ידי CA ציבורית המהווה בסיס.
  • ה-IdP של הלקוח מספק CA פרטית בחתימה עצמית או שאינו מספק חתימה עבור קובץ המטה-נתונים שלו. אפשרות זו פחות מאובטחת.
אחרת, בטופס התצורה, הזן את פרטי ה-IdP.

לחץ על הבא.

7

(אופציונלי) באפשרותך לשנות את השם של תכונת SAML עבור שם משתמש של Webex או כתובת דוא"ל ראשית מ-uid למשהו שהוסכם עליו עם מנהל IdP כגון דוא"ל, upn וכו'.

8

(אופציונלי) קבע את התצורה של הגדרות Just In Time (JIT) ותגובת מיפוי SAML.

ראה קביעת התצורה של בדיוק בזמן (JIT) ומיפוי SAML בלשונית 'ניהול ספקי הזהויות' במאמר זה.
9

לחץ על בדוק הגדרת SSO, וכאשר נפתחת לשונית דפדפן חדשה, בצע אימות עם ה-IdP על-ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם פרטי הכניסה. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

10

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.
תצורת SSO לא תיכנס לתוקף בארגון שלך אלא אם תבחר בלחצן הבחירה הראשון ותפעיל SSO.

מה הלאה?

באפשרותך להגדיר כלל ניתוב. עיין בהוספה או עריכה של כלל ניתוב בלשונית 'כללי ניתוב' במאמר זה.

באפשרותך לבצע את ההליך בהסתר הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחו למשתמשים חדשים של יישום Webex בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

קבע תצורה של OpenID Connect
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות כדי להפעיל את אשף התצורה.

3

בחר OpenID Connect כספק הזהות שלך ולחץ על הבא.

4

הזן את פרטי IdP שלך.

  • שם – השם לזיהוי IdP שלך.
  • מזהה לקוח – המזהה הייחודי כדי לזהות אותך ואת ה-IdP שלך.
  • סוד לקוח – הסיסמה שאתה וה-IdP שלך מכירים.
  • זיקוקים – זיקוקים לשייך ל-IdP שלך.

5

בחר כיצד להוסיף נקודות קצה. ניתן לעשות זאת באופן אוטומטי או ידני.

  • השתמש בכתובת ה-URL של הגילוי – הזן את כתובת ה-URL של התצורה עבור IdP שלך.
  • הוסף מידע על נקודות קצה באופן ידני – הזן את הפרטים הבאים.

    • מנפיק
    • נקודת קצה של הרשאה
    • נקודת קצה של אסימון
    • נקודת קצה של JWKS
    • נקודת קצה של פרטי משתמש
    למידע נוסף, עיין במדריך התצורה של OpenID Connect.

6

(אופציונלי) קבע את התצורה של הגדרות Just In Time ‏(JIT).

ראה קביעת התצורה של בדיוק בזמן (JIT) ומיפוי SAML בלשונית 'ניהול ספקי הזהויות' במאמר זה.
7

לחץ על בדוק הגדרת SSO, וכאשר נפתחת לשונית דפדפן חדשה, בצע אימות עם ה-IdP על-ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם פרטי הכניסה. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

8

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.
תצורת SSO לא תיכנס לתוקף בארגון שלך אלא אם תבחר בלחצן הבחירה הראשון ותפעיל SSO.

מה הלאה?

באפשרותך להגדיר כלל ניתוב. עיין בהוספה או עריכה של כלל ניתוב בלשונית 'כללי ניתוב' במאמר זה.

באפשרותך לבצע את ההליך בהסתר הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחו למשתמשים חדשים של יישום Webex בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

קבע תצורה של זהות Webex
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות כדי להפעיל את אשף התצורה.

3

בחר Webex כספק הזהות שלך ולחץ על הבא.

4

בדוק קראתי והבנתי איך Webex IdP עובד ולחץ על הבא.

5

הגדר כלל ניתוב.

עיין בהוספה או עריכה של כלל ניתוב בלשונית 'כללי ניתוב' במאמר זה.

לאחר הוספת כלל ניתוב, ה-IdP יתווסף ויוצג תחת הלשונית ספק הזהויות .

מה הלאה?

באפשרותך לבצע את ההליך תחת הסתר הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשים חדשים של יישום Webex בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

כללי ניתוב חלים בעת הגדרת יותר מ-IdP אחד. כללי ניתוב מאפשרים ל-Webex לזהות לאיזה IdP לשלוח את המשתמשים שלך כאשר הגדרת מספר ספקי זהויות.

בעת הגדרת יותר מ-IdP אחד, באפשרותך להגדיר את כללי הניתוב באשף התצורה של SSO. אם תדלג על שלב כלל הניתוב, Control Hub מוסיף את ה-IdP אבל לא מפעיל את ה-IdP. עליך להוסיף כלל ניתוב כדי להפעיל את ה-IdP.

הוסף או ערוך כללי ניתוב
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית כללי ניתוב .

בעת הגדרת ה-IdP הראשון, כלל הניתוב מתווסף באופן אוטומטי ומוגדר ככלל ברירת המחדל. תוכל לבחור IdP אחר להגדרה ככלל ברירת המחדל במועד מאוחר יותר.

4

לחץ על הוסף כלל ניתוב חדש.

5

הזן את הפרטים עבור כלל חדש:

  • שם כלל – הזן את השם של כלל הניתוב.
  • בחר סוג ניתוב – בחר דומיין או קבוצה.
  • אם אלה הדומיינים/הקבוצות שלך – הזן את הדומיינים/הקבוצות בתוך הארגון שלך.
  • לאחר מכן השתמש בספק זהויות זה – בחר את ה-IdP.

6

לחץ על הוסף.

7

בחר את כלל הניתוב החדש ולחץ על הפעל.

באפשרותך לשנות את סדר העדיפויות של כלל הניתוב אם יש לך כללי ניתוב עבור ספקי זהויות מרובים.
השבת או מחק כללי ניתוב
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית כללי ניתוב .

4

בחר את כלל הניתוב.

5

בחר אם ברצונך להשבית או למחוק את כלל הניתוב.

מומלץ שיהיה לך כלל ניתוב פעיל אחר עבור ה-IdP. אחרת, ייתכן שתיתקל בבעיות בכניסה ל-SSO.

לא ניתן להשבית או למחוק את כלל ברירת המחדל , אבל ניתן לשנות את ה-IdP המנותב.
נהל את תעודות ספק הזהויות (IdP) שלך

לפני שתתחיל

מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה ב-Control Hub שתוקפה של תעודת IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש האישורים, אנחנו מכסים את מה שנדרש ב-Control Hub, יחד עם שלבים גנריים לאחזור מטה-נתונים מעודכנים של IdP ולהעלות אותם ל-Control Hub כדי לחדש את האישור.

זה חל רק על תצורת SAML.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

עבור אל ה-IdP, לחץ על העלאה ובחר העלה מטה-נתונים של Idp.

כדי להוריד את קובץ המטה-נתונים, לחץ על הורד ובחר הורד מטה-נתונים של Idp.
5

נווט לממשק הניהול של IdP כדי לאחזר את קובץ המטה-נתונים החדש.

6

חזור ל-Control Hub וגרור ושחרר את קובץ המטה-נתונים של IdP לאזור ההעלאה או לחץ על בחר קובץ כדי להעלות את המטה-נתונים.

7

בחר פחות מאובטח (בחתימה עצמית) או מאובטח יותר (בחתימה על-ידי CA ציבורי), בהתאם לאופן שבו מטה-נתונים של IdP חתום ולחץ על שמור.

8

קבע את התצורה של הגדרות Just In Time (JIT) ותגובת מיפוי SAML.

ראה קביעת התצורה של בדיוק בזמן (JIT) ומיפוי SAML בלשונית 'ניהול ספקי הזהויות' במאמר זה.
9

לחץ על בדוק הגדרת SSO, וכאשר נפתחת לשונית דפדפן חדשה, בצע אימות עם ה-IdP על-ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם פרטי הכניסה. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

10

לחץ על שמור.

נהל את תעודות ספק השירות שלך

לפני שתתחיל

מומלץ לעדכן את כל ספקי הזהויות בארגון בעת חידוש תעודת ספק השירות.

זה חל רק על תצורת SAML.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

עבור אל IdP ולחץ על .

5

לחץ על סקור אישורים ותאריך תפוגה.

פעולה זו תיקח אותך לחלון אישורי ספק שירות (SP) .
6

לחץ על חדש תעודה.

7

בחר את סוג IdP בארגון שלך:

  • IdP שתומך באישורים מרובים
  • IdP שתומך בתעודה אחת
8

בחר את סוג התעודה לחידוש:

  • נחתם בחתימה עצמית על-ידי Cisco – אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית – מאובטח יותר, אבל תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק IdP שלך תומך בעוגנים של אמון).
עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.
9

לחץ על הורד מטה-נתונים או על הורד תעודה כדי להוריד עותק של קובץ המטה-נתונים או התעודה המעודכנים מענן Webex.

10

נווט לממשק הניהול של IdP כדי להעלות את קובץ המטה-נתונים או התעודה החדשים של Webex.

ניתן לבצע שלב זה באמצעות לשונית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP) או באמצעות תמיכה ספציפית של ספק ענן, בהתאם להגדרת IdP שלך והאם אתה או מנהל מערכת נפרד של IdP אחראים לשלב זה.

למידע נוסף, עיין במדריכים שלנו לשילוב SSO או פנה למנהל המערכת של IdP לקבלת תמיכה. אם אתה נמצא ב-Active Directory Federation Services ‏(AD FS), תוכל לראות כיצד לעדכן מטה-נתונים של WEBEX ב-AD FS

11

חזור לממשק Control Hub ולחץ על הבא.

12

בחר עודכנו בהצלחה כל ספקי הזהויות ולחץ על הבא.

פעולה זו מעלה את קובץ המטה-נתונים של SP או את התעודה לכל ספקי הזהויות בארגון שלך.

13

לחץ על סיום חידוש.

בדוק את הגדרת ה-SSO שלך

לפני שתתחיל

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

עבור אל IdP ולחץ על תפריט 'עוד' .

5

בחר בדוק IdP.

6

לחץ על בדוק הגדרת SSO, וכאשר נפתחת לשונית דפדפן חדשה, בצע אימות עם ה-IdP על-ידי כניסה.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם פרטי הכניסה. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

7

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל SSO ו-IdP ולחץ על שמור.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.
תצורת SSO אינה נכנסת לתוקף בארגון שלך, אלא אם תבחר בלחצן האפשרויות הראשון ותפעיל את SSO.

קבע תצורה בזמן (JIT) ומיפוי SAML

לפני שתתחיל

ודא שהתנאים המקדימים הבאים מתקיימים:

  • SSO כבר מוגדר.

  • הדומיינים כבר אומתו.

  • נדרשות בעלות על הדומיינים ומופעלים. תכונה זו מבטיחה שמשתמשים מהדומיין שלך ייווצרו ויעודכנו פעם אחת בכל פעם שהם מבצעים אימות מול IdP שלך.

  • אם DirSync או Azure AD מופעלים, יצירה או עדכון של SAML JIT לא יעבדו.

  • האפשרות 'חסום עדכון פרופיל משתמש' מופעלת. מיפוי עדכון SAML מותר מכיוון שתצורה זו שולטת ביכולת המשתמש לערוך את התכונות. שיטות יצירה ועדכון מבוקרות על-ידי מנהל מערכת עדיין נתמכות.

בעת הגדרת SAML JIT עם Azure AD או IdP שבו הדוא"ל אינו מזהה קבוע, מומלץ להשתמש בתכונת הקישור externalId כדי למפות למזהה ייחודי. אם נמצא שהדוא"ל אינו תואם לתכונת הקישור, המשתמש יתבקש לאמת את זהותו או ליצור משתמש חדש עם כתובת הדוא"ל הנכונה.

משתמשים חדשים שנוצרו לא יקבלו רישיונות מוקצים באופן אוטומטי אלא אם הוגדר תבנית רישיון אוטומטית לארגון.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

עבור אל IdP ולחץ על תפריט 'עוד' .

5

בחר ערוך מיפוי SAML.

6

קבע תצורה של הגדרות Just-in-Time (JIT).

  • צור או הפעל משתמש: אם לא נמצא משתמש פעיל, then Webex Identity יוצר את המשתמש ומעדכן את התכונות לאחר שהמשתמש מאומת עם IdP.
  • עדכן משתמש עם תכונות SAML: אם נמצא משתמש עם כתובת דוא"ל, then Webex Identity מעדכן את המשתמש עם התכונות הממופות בקביעת SAML.
אשר שהמשתמשים יכולים להיכנס באמצעות כתובת דוא"ל אחרת, שאינה ניתנת לזיהוי.

7

קבע תצורה של תכונות נדרשות של מיפוי SAML.

טבלה 1. תכונות נדרשות

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

שם משתמש / כתובת דוא"ל ראשית

דוגמה: uID

מפה את תכונת UID לדוא"ל של המשתמש המוקצה, ל-UPN או ל-edupersonprincipalname.

8

קבע את תצורת תכונות קישור.

זה צריך להיות ייחודי למשתמש. הוא משמש לבדיקת מידע של משתמש כך ש-Webex יכול לעדכן את כל תכונות הפרופיל, כולל דוא"ל עבור משתמש.
טבלה 2. תכונות קישור

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

externalId

דוגמה: user.objectid

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

מספר עובדים

דוגמה: user.employeeid

מספר העובד של המשתמש, או מספר זיהוי בתוך מערכת משאבי האנוש שלו. שים לב שפעולה זו אינה מיועדת לחיצוני, משום שניתן לעשות שימוש חוזר או למחזר מספר עובדים עבור משתמשים אחרים.

תכונת שלוחה 1

דוגמה: user.extension attribute1

מפה תכונות מותאמות אישית אלה לתכונות מורחבות ב-Active Directory‏, ב-Azure או בספר הטלפונים שלך, עבור קודי מעקב.

תכונת שלוחה 2

דוגמה: משתמש.שלוחה2

תכונת שלוחה 3

דוגמה: תכונת משתמש. שלוחה3

תכונת שלוחה 4

דוגמה: משתמש.extensionlattribute4

תכונת שלוחה 5

דוגמה: תכונת משתמש.שלוחה5

9

קבע תצורה של תכונות פרופיל.

טבלה 2. תכונות פרופיל

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

externalId

דוגמה: user.objectid

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

מספר עובדים

דוגמה: user.employeeid

מספר העובד של המשתמש הזה, או מספר זיהוי בתוך מערכת משאבי האנוש שלו. שים לב שפעולה זו אינה מיועדת ל"חיצוני", משום שניתן להשתמש מחדש או למחזר את "מספר העובדים" עבור משתמשים אחרים.

מועדף

דוגמה: user.preferredlanguage

השפה המועדפת של המשתמש.

מקומי

דוגמה: user.locale

מיקום העבודה הראשי של המשתמש.

אזור זמן

דוגמה: אזור זמן user.com

אזור הזמן הראשי של המשתמש.

displayName

דוגמה: שם משתמש. displayname

שם התצוגה של המשתמש ב-Webex.

name.givenName

דוגמה: משתמש. givenname

השם הפרטי של המשתמש.

name.familyName

דוגמה: משתמש.שם משפחה

שם המשפחה של המשתמש.

כתובת

דוגמה: user.streetaddress

כתובת מיקום העבודה הראשי שלו.

כתובות.state

דוגמה: user.state

המצב של מיקום העבודה הראשי שלו.

כתובות. אזור

דוגמה: user.region

האזור של מיקום העבודה הראשי שלו.

כתובת.postalקוד

דוגמה: user.postalcode

המיקוד של מיקום העבודה הראשי שלי.

כתובות.country

דוגמה: user.country

המדינה של מיקום העבודה הראשי שלו.

phoneNumbers.work

דוגמה: מספר טלפון בעבודה

מספר הטלפון בעבודה של מיקום העבודה הראשי שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

phoneNumbers.extension

דוגמה: מספר טלפון נייד

שלוחת העבודה של מספר הטלפון הראשי בעבודה שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

כינוי גוף

דוגמה: כינוי גוף משתמש.

כינויי הגוף של המשתמש. זוהי תכונה אופציונלית, והמשתמש או מנהל המערכת יכולים להפוך אותה לגלוי בפרופיל שלו.

כותרת

דוגמה: user.jobtitle

תפקיד המשתמש.

מחלקה

דוגמה: user.department

המחלקה או הצוות של תפקיד המשתמש.

כינוי גוף

דוגמה: כינוי גוף משתמש.

זהו כינוי הגוף של המשתמש. הנראות של תכונה זו נשלטת על-ידי מנהל המערכת והמשתמש

מנהל

דוגמה: מנהל

מנהל המשתמש או מוביל הצוות שלו.

קוסטסנטר

דוגמה: קוסטסנטר

זהו שם המשפחה של המשתמש הידוע גם בשם משפחה או שם משפחה

דוא"ל.alternate1

דוגמה: שם משתמש. mailnickname

כתובת דוא"ל חלופית עבור המשתמש. אם ברצונך שהמשתמש יוכל להיכנס באמצעות זה, מפה אותו ל-uid.

דוא"ל.alternate2

דוגמה: user.primyauthoritativemail

כתובת דוא"ל חלופית עבור המשתמש. אם ברצונך שהמשתמש יוכל להיכנס באמצעות זה, מפה אותו ל-uid.

דוא"ל.alternate3

דוגמה: user.alternativeauthoritativemail

כתובת דוא"ל חלופית עבור המשתמש. אם ברצונך שהמשתמש יוכל להיכנס באמצעות זה, מפה אותו ל-uid.

דוא"ל.alternate4

דוגמה: user.othermail

כתובת דוא"ל חלופית עבור המשתמש. אם ברצונך שהמשתמש יוכל להיכנס באמצעות זה, מפה אותו ל-uid.

דוא"ל.alternate5

דוגמה: user.othermail

כתובת דוא"ל חלופית עבור המשתמש. אם ברצונך שהמשתמש יוכל להיכנס באמצעות זה, מפה אותו ל-uid.
10

קבע תצורה של תכונות שלוחה.

מפה תכונות אלה לתכונות מורחבות ב-Active Directory‏, ב-Azure או בספר הטלפונים שלך, עבור קודי מעקב.
טבלה 4. תכונות שלוחה

שם תכונה של זהות Webex

שם תכונת SAML

תכונת שלוחה 1

דוגמה: user.extension attribute1

תכונת שלוחה 2

דוגמה: משתמש.שלוחה2

תכונת שלוחה 3

דוגמה: תכונת משתמש. שלוחה3

תכונת שלוחה 4

דוגמה: תכונת user.extension4

תכונת שלוחה 5

דוגמה: תכונת משתמש.שלוחה5

תכונת שלוחה 6

דוגמה: משתמש.סיומת תכונה6

תכונת שלוחה 7

דוגמה: user.extensionattribute7

תכונת שלוחה 8

דוגמה: תכונת user.extension8

תכונת שלוחה 9

דוגמה: תכונת user.extension9

תכונת שלוחה 10

דוגמה: תכונת user.extension10

11

קבע תצורה של תכונות קבוצה.

  1. צור קבוצה ב-Control Hub ושים לב למזהה קבוצת Webex.
  2. עבור אל ספריית המשתמשים או ל-IdP והגדר תכונה עבור משתמשים שיוקצו למזהה קבוצת Webex.
  3. עדכן את תצורת ה-IdP שלך כדי לכלול טענה הנושאת את שם התכונה הזה יחד עם מזהה קבוצת Webex (לדוגמה, c65f7d85-b691-42b8-a20b-⁦12345xxxx⁩). תוכל גם להשתמש במזהה החיצוני לניהול שינויים בשמות קבוצות או לתרחישי שילוב עתידיים. לדוגמה, סנכרון עם Azure AD או הטמעת סנכרון קבוצת SCIM.
  4. ציין את השם המדויק של התכונה שתישלח בקביעת SAML עם מזהה הקבוצה. אפשרות זו משמשת להוספת המשתמש לקבוצה.
  5. ציין את השם המדויק של המזהה החיצוני של אובייקט הקבוצה אם אתה משתמש בקבוצה מהספרייה שלך כדי לשלוח חברים בקביעת SAML.

אם משתמש A משויך ל-groupID 1234 ומשתמש B עם groupID 4567, הוא מוקצה לקבוצות נפרדות. תרחיש זה מציין שתכונה אחת מאפשרת למשתמשים לשייך למזהה קבוצה מרובים. אמנם זה נדיר, אבל זה אפשרי וניתן לראות בו שינוי נוסף. לדוגמה, אם משתמש A נכנס תחילה באמצעות groupID 1234, הוא הופך לחבר בקבוצה המתאימה. אם משתמש A נכנס מאוחר יותר באמצעות groupID 4567, הוא יתווסף גם לקבוצה השנייה הזו.

הקצאת SAML JIT אינה תומכת בהסרת משתמשים מקבוצות או במחיקה כלשהי של משתמשים.

טבלה 5. תכונות קבוצה

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

מזהה קבוצה

דוגמה: מזהה קבוצה

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

מזהה חיצוני של קבוצה

דוגמה: מזהה חיצוני של קבוצה

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

לקבלת רשימה של תכונות קביעת SAML עבור Webex Meetings, ראה https://help.webex.com/article/WBX67566.

מחק את ספק הזהויות (IdP)

לפני שתתחיל

מומלץ להשבית או למחוק תחילה את כללי הניתוב של ה-IdP לפני מחיקת ה-IdP.
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

עבור אל IdP ולחץ על תפריט 'עוד'.

5

בחר מחק.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > הגדרות ארגון, גלול אל כניסה יחידה ולחץ על נהל SSO וספקי זהויות.

3

עבור ללשונית ספק הזהויות .

4

לחץ על השבת SSO.

אשר השבתת SSO.

לאחר האישור, SSO מושבת עבור כל ספקי הזהויות בארגון שלך.

תקבל התראות ב-Control Hub לפני שתוקף האישורים יוגדר, אך תוכל גם להגדיר כללי התראה באופן יזום. כללים אלה מיידעים אותך מראש שתעודת ספק השירות או ה-IdP שלך עומדת לפוג. אנחנו יכולים לשלוח לך אותם בדוא"ל, מרחב ביישום Webex או את שניהם.

ללא קשר לערוץ המסירה המוגדר, כל ההתראות מופיעות תמיד ב-Control Hub. למידע נוסף, ראה מרכז ההתראות ב-Control Hub .

1

היכנס למרכז הבקרה.

2

עבור אל מרכז ההתראות.

3

בחר נהל ולאחר מכן בחר כל הכללים.

4

מרשימת הכללים, בחר כל אחד מכללי ה-SSO שברצונך ליצור:

  • תפוגה של תעודת IDP של SSO
  • תפוגה של תעודת SP של SSO
5

בקטע ערוץ המסירה, סמן את התיבה עבור דוא"ל, מרחב Webex או את שניהם.

אם תבחר 'דוא"ל', הזן את כתובת הדוא"ל שאמורה לקבל את ההתראה.

אם תבחר באפשרות המרחב של Webex, אתה מתווסף באופן אוטומטי למרחב בתוך יישום Webex ואנו מספקים שם את ההתראות.

6

שמור את השינויים.

מה הלאה?

אנחנו שולחים התראות על תפוגה של תעודה אחת כל 15 יום, החל מ-60 יום לפני התפוגה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15.) התראות נעצרות בעת חידוש האישור.

אם תיתקל בבעיות בכניסה ל-SSO, תוכל להשתמש באפשרות שחזור עצמי של SSO כדי לקבל גישה לארגון Webex המנוהל ב-Control Hub. אפשרות ההחלמה העצמית מאפשרת לך לעדכן או להשבית SSO ב-Control Hub.