Jedinstvena prijava i kontrolni centar

Jedinstvena prijava (SSO) je sesija ili postupak provjere autentičnosti korisnika koji korisniku omogućuje da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije na koje imaju prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol Federacijskog protokola za označavanje sigurnosnih tvrdnji (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web preglednika. U SSO profilu web-preglednika Webex App podržava sljedeće veze:

  • SP pokrenuo POST -> POST povezivanje

  • SP pokrenuo REDIRECT -> POST povezivanje

Oblik ID naziva

SAML 2.0 Protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće NameID formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitate iz IdP-a prvi unos konfiguriran je za korištenje u Webexu .

Integrirajte kontrolno središte s Microsoft Azureom

Webex podržava samo jednog IdP-a za svaki zahtjev za autentifikaciju. Tijek autentifikacije je sljedeći: Korisnik > Webex autentifikacija > IdP 1 > Webex autentifikacija > Korisnik. To znači da iako različiti korisnici mogu autentificirati pomoću različitih IdP-ova, korisnik ne može prelaziti između više IdP-ova tijekom jednog procesa autentifikacije. Svi dodatni koraci poput MFA moraju biti integrirani s pojedinačnim IdP-om koji se koristi za taj određeni zahtjev.

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Drugi formati poput urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funkcionirat će za SSO integraciju, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u web-organizaciji (uključujući Webex App, Webex sastankei druge servise kojima se upravlja u Control Hubu). Ako je vaše Webex web-mjesto integrirano u Control Hub, Webex web-mjesto nasljeđuje upravljanje korisnicima. Ako na taj način ne možete pristupiti sastancima web-exa, a njime se ne upravlja u kontrolnom središtu, morate napraviti zasebnu integraciju da biste omogućili SSO za web-sastanke.

Prije nego što počnete

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

  • U Azure Active Directory-u, rezervisanje je podržano samo u ručnom režimu. Ovaj dokument obuhvaća samo integraciju s jednom prijavom (SSO).
  • Postojeći Webex korisnici s prethodnim konfiguracijama federacije mogu naići na probleme sa standardnim Entra ID Webex predloškom zbog promjena u SAML atributima. Preporučujemo postavljanje prilagođene federacije Entra ID-a kako biste riješili ovaj problem koristeći svoje prethodne SAML postavke. Obavezno provedite SSO test Control Huba kako biste omogućili kompatibilnost i riješili sve nedosljednosti.

Preuzimanje metapodataka webexa u lokalni sustav

1

Prijavite se u Kontrolno središte.

2

Idi na Upravljanje > Sigurnost > Autentifikacija.

3

Idite na karticu Pružatelj identiteta i kliknite Aktiviraj SSO.

4

Odaberite IdP.

5

Odaberite vrstu certifikata za svoju tvrtku ili ustanovu:

  • Samopotpisano od strane Cisca— Preporučujemo ovaj izbor. Dopustite nam da potpišemo certifikat tako da ga trebate obnoviti samo jednom u pet godina.
  • Potpisano od strane javnog tijela za izdavanje certifikata— Sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš IdP dobavljač ne podržava sidra povjerenja).

Sidra povjerenja javni su ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Dodatne informacije potražite u dokumentaciji o IDP-u.

6

Preuzmite datoteku metapodataka.

Naziv datoteke metapodataka Webexa je idb-meta-<org-ID>-SP.xml.

Konfiguriranje postavki SSO aplikacije u Azureu

Prije nego što počnete

1

Prijavite se na portal Azure na adresi https://portal.azure.com sa svojim vjerodajnicama za administratore.

2

Ako ne možete vidjeti ikonu Azure Active Directory, kliknite Više usluga.

3

Idi na Azure Active Directory za svoju organizaciju.

4

Idite na Enterprise Applications i kliknite na Dodaj.

5

Kliknite Dodaj aplikaciju iz galerije.

6

U okvir za pretraživanje upišite Cisco Webex.

7

U oknu rezultata odaberite Cisco Webex, a zatim kliknite Kreiraj da biste dodali aplikaciju.

8

Da biste bili sigurni da se Webex aplikacija koju ste dodali za jedno prijavljivanje ne prikazuje na portalu korisnika, otvorite novu aplikaciju. U odjeljku Upravljanje kliknite Svojstva i postavite Vidljivo korisnicima? na Br.

Ne podržavamo da aplikacija Webex bude vidljiva korisnicima.

9

Konfiguriranje pojedinačnog potpisa:

  1. U odjeljku Upravljanje kliknite Pojedinačna prijava, a zatim u odjeljku Odaberi metodu s jednim znakom odaberite SAML.

  2. Kliknite Prenesi datoteku metapodataka, a zatim odaberite datoteku metapodataka koju ste preuzeli s Control Huba.

    Uvezi datoteku metapodataka u Azure

    Neka se polja automatski popunjavaju za vas.

  3. U odjeljku Upravljanje kliknite Postavi pojedinačnu prijavu sa SAML-om, kliknite ikonu Uredi kako biste otvorili Osnovnu konfiguraciju SAML-a.

  4. Kopirajte vrijednost URL-a odgovora i zalijepite ga u Prijavi se na URL, a zatim spremite promjene.

10

Idi na Upravljanje > Korisnici i grupe, a zatim odaberite odgovarajuće korisnike i grupe kojima želite odobriti pristup Webex aplikaciji.

11

Na stranici Set Up Single Sign-On with SAML u odjeljku SAML Signing Certificate kliknite Download (Preuzmi) da biste preuzeli XML za metapodatke Federacije i spremili ga na računalo.

Uvoz IdP metapodataka i omogućavanje jedinstvene prijave nakon testiranja

Nakon što izvezete metapodatke webexa , konfigurirate IdP i preuzmete IdP metapodatke u lokalni sustav, spremni ste ga uvesti u svoju web-ex organizaciju iz Control Huba.

Prije nego što počnete

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje je pokrenuo Davatelj usluga (iniciran SP-om), tako da za tu integraciju morate koristiti SSO test kontrolnog središta .

1

Odaberi jednu:

  • Vratite se na stranicu Control Hub – odabir certifikata u pregledniku, a zatim kliknite Dalje.
  • Ponovno otvorite Control Hub ako više nije otvoren u kartici preglednika. Iz korisničkog prikaza u Control Hubu idite na Upravljanje > Sigurnost > Autentifikacija, odaberite IdP, a zatim odaberite Radnje > Uvoz metapodataka.
2

Na stranici Uvoz metapodataka IdP-a povucite i ispustite datoteku metapodataka IdP-a na stranicu ili upotrijebite opciju preglednika datoteka za pronalaženje i prijenos datoteke metapodataka. Kliknite Dalje.

Trebali biste koristiti sigurniju opciju, ako možete. To je moguće samo ako je vaš IDP koristio javni CA za potpisivanje svojih metapodataka.

U svim drugim slučajevima morate koristiti opciju Manje sigurno . To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, pa morate odabrati Manje sigurno za Okta SSO integraciju.

3

Odaberite Testiraj postavke SSO-ai kada se otvori nova kartica preglednika, autentificirajte se s IdP-om prijavom.

Ako primite pogrešku pri provjeri autentičnosti, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška web-aplikacije obično znači problem s postavljanjem SSO-a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i lijepite metapodatke kontrolnog središta u postavljanje IDP-a.

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažno pozitivne rezultate zbog pristupnog tokena koji se možda koristi u postojećoj sesiji od prijave.

4

Vratite se na karticu preglednika Kontrolni centar .

  • Ako je test bio uspješan, odaberite Uspješno testiranje. Uključite SSO i kliknite Dalje.
  • Ako test nije uspio, odaberite Neuspješan test. Isključite SSO i kliknite Dalje.

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Koristite postupke u sinkronizaciji korisnika Okta u Cisco Webex kontrolni centar ako želite napraviti dodjelu resursa korisnicima iz Okte u Webex oblak.

Koristite postupke u Sinkronizacija Azure Active Directory korisnika u Cisco Webex Control Hub ako želite učiniti pružanje korisnika iz Azure AD u Webex oblaku.

Možete slijediti postupak u odjeljku Suzbijanje automatiziranih e-poruka kako biste onemogućili e-poruke koje se šalju novim korisnicima Webex aplikacije u vašoj organizaciji. Dokument sadrži i najbolje primjere iz prakse za slanje komunikacija korisnicima u tvrtki ili ustanovi.

Rješavanje problema Azure integracija

Kada radite SAML test, provjerite da li koristite Mozilla Firefox i da li instalirati SAML tragač iz https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Provjerite tvrdnju koja dolazi iz servisa Azure da biste provjerili ima li ispravan oblik imenika i ima li uid atributa koji odgovara korisniku u Webex aplikaciji.