Jedinstvena prijava i kontrolni centar

Jedinstvena prijava (SSO) je sesija ili postupak provjere autentičnosti korisnika koji korisniku omogućuje da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije na koje imaju prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol Federacijskog protokola za označavanje sigurnosnih tvrdnji (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web preglednika. U SSO profilu web-preglednika Webex App podržava sljedeće veze:

  • SP pokrenuo POST -> POST povezivanje

  • SP pokrenuo REDIRECT -> POST povezivanje

Oblik ID naziva

SAML 2.0 Protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće NameID formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn: oasis: names: tc: SAML: 1.1: nameid-format: neodređen

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitate iz IdP-a prvi unos konfiguriran je za korištenje u Webexu .

SingleLogout

Webex aplikacija podržava jedan profil za odjavu. U webex aplikacijikorisnik se može odjaviti iz aplikacije koja koristi SAML protokol za jedinstvenu odjavu kako bi završio sesiju i potvrdio tu odjavu s vašim IdP-om. Provjerite je li IdP konfiguriran za SingleLogout.

Integracija upravljačkog središta s PingFederateom

Vodiči za konfiguraciju pokazuju specifičan primjer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient . Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u web-organizaciji (uključujući Webex App, Webex sastankei druge servise kojima se upravlja u Control Hubu). Ako je vaše Webex web-mjesto integrirano u Control Hub, Webex web-mjesto nasljeđuje upravljanje korisnicima. Ako na taj način ne možete pristupiti sastancima web-exa, a njime se ne upravlja u kontrolnom središtu, morate napraviti zasebnu integraciju da biste omogućili SSO za web-sastanke. (Pogledajte Konfigurirajte jedinstvenu prijavu za Webex za više informacija o integraciji SSO-a u administraciji web-mjesta.)

Prije nego što počnete

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

Preuzimanje metapodataka webexa u lokalni sustav

1

U prikazu klijenta u sustavu https://admin.webex.comotvorite Postavke upravljanja > organizacije, a zatim se pomaknite do odjeljka Provjera autentičnosti, a zatim se prebacite na postavku Jedinstvena prijava da biste pokrenuli čarobnjak za postavljanje.

2

Odaberite vrstu certifikata za svoju tvrtku ili ustanovu:

  • Samopotpisao Cisco– preporučujemo ovaj odabir. Dopustite nam da potpišemo certifikat tako da ga trebate obnoviti samo jednom u pet godina.
  • Potpisano od strane javnog certifikacijskog tijela– sigurnije, ali morat ćete često ažurirati metapodatke (osim ako vaš pružatelj identiteta ne podržava usađene vjerodajnice).

Sidra povjerenja javni su ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Dodatne informacije potražite u dokumentaciji o IDP-u.

3

Preuzmite datoteku metapodataka.

Naziv datoteke Webex metapodataka je idb-meta--SP.xml.

Konfiguriranje nove veze davatelja usluga

1

Idite na portal administracije PingFederate (https://:9999/pingfederate/app).

2

U odjeljku SP VEZEodaberite Stvori novo.

3

Odaberite gumb Nemoj koristiti predložak za ovaj izborni gumb veze, a zatim Dalje.

4

Odaberite SSO profili preglednika, a zatim kliknite Dalje.

5

Odaberite karticu Uvoz metapodataka.

6

Kliknite na Odaberi datoteku da biste pregledali i uvezli datoteku metapodataka koju ste preuzeli iz okruženja Control Hub, a zatim kliknite na Dalje.

7

Pregledajte informacije na kartici Opće informacije, a zatim kliknite Gotovo.

Konfiguriranje jedinstvene prijave u preglednik

1

Na portalu za administraciju PingFederata odaberite Konfiguriraj SSO preglednika.

2

Potvrdite okvir SP-inicirani SSO, a zatim kliknite Dalje .

3

Odaberite Konfiguriraj stvaranje tvrdnji.

  1. Promijenite oblik NameID u Prolazni i potvrdite okvir Uključi atribute uz prijelazni identifikator.

  2. Proširite atribute ugovora dodavanjem atributa pošte i uida u obliku urn:oasis:names:tc:SAML:2.0:attrname-format-basic, a zatim kliknite Dalje .

  3. Odaberite Mapiraj novu instancu prilagodnika da biste odabrali mehanizam provjere autentičnosti. Na padajućem izborniku INSTANCA ADAPTERA odaberite jedan od prethodno konfiguriranih mehanizama provjere autentičnosti, a zatim kliknite Dalje.

  4. Odaberite Dohvati dodatne atribute iz više spremišta podataka pomoću jednog gumba za mapiranje radija, a zatim kliknite Dalje.

  5. Odaberite Dodaj izvor atributa da biste dodali kontrolor domene servisa Active Directory za domenu, a zatim kliknite Dalje.

  6. Navedite Osnovni DN i odaberite korijensku klasu objekta . U tekstni okvir Filtar unesite LDAP filtar, a zatim kliknite Dalje.

    Stavka mora sadržavati atribut koji očekujete od korisnika. Također mora sadržavati vrijednost koju mapira u izvorima LDAP-a. Na primjer, ako je aktivni imenik postavljen za filtriranje na atributu za prijavu u sustav Windows, unesite sAMAccountName=${Username}.

  7. Odaberite izvor i vrijednost da biste mapirali atribute tvrdnji s atributima koje pruža AD datastore. (Ne unosite ništa za kriterije izdavanja.)

  8. Provjerite ima li konfiguracija tvrdnji mapiranje identiteta postavljeno naProlazno , Ugovor o atributima postavljen na uid i Instance prilagodnika postavljene na 1.

    Atribut UID trebao bi se preslikati na adresu e-pošte korisnika.

4

Odaberite Konfiguriraj postavke protokola.

  1. Za dopuštene SAML veze potvrdite samo potvrdne okvire POST i Redirect.

  2. Za pravila potpisa odaberite Uvijek potpiši SAML tvrdnju.

    Postavke protokola trebale bi izgledati ovako.

  3. Odaberite Konfiguriraj vjerodajnice da biste konfigurirali certifikat za tvrdnju.

  4. Odaberite certifikat koji je već stvoren za SAML tvrdnje.

5

Na zaslonu Aktivacija i sažetak postavite status veze na Aktivno .

Izvoz metapodataka iz PingFederata

1

Na glavnom zaslonu kliknite Upravljanje svim SP-om.

2

Pronađite vezu koju ste upravo stvorili i kliknite Izvezi metapodatke.

3

S padajućeg izbornika odaberite certifikat koji će se koristiti za potpisivanje izvezene datoteke.

4

Kliknite Izvoz.

Uvoz IdP metapodataka i omogućavanje jedinstvene prijave nakon testiranja

Nakon što izvezete metapodatke webexa , konfigurirate IdP i preuzmete IdP metapodatke u lokalni sustav, spremni ste ga uvesti u svoju web-ex organizaciju iz Control Huba.

Prije nego što počnete

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje je pokrenuo Davatelj usluga (iniciran SP-om), tako da za tu integraciju morate koristiti SSO test kontrolnog središta .

1

Odaberi jednu:

  • Vratite se na Control Hub – stranicu za odabir certifikata u pregledniku, a zatim kliknite na Dalje.
  • Ako Control Hub više nije otvoren na kartici preglednika, u prikazu korisnika u https://admin.webex.comsustavu idite na Upravljanje > Postavke organizacije, pomaknite se do Provjera autentičnosti, a zatim odaberite Radnje > Uvoz metapodataka.
2

Na stranici Uvoz IDP metapodataka povucite i ispustite datoteku IdP metapodataka na stranicu ili pomoću mogućnosti preglednika datoteka pronađite i prenesite datoteku metapodataka. Kliknite Dalje.

Trebali biste koristiti sigurniju opciju, ako možete. To je moguće samo ako je vaš IDP koristio javni CA za potpisivanje svojih metapodataka.

U svim drugim slučajevima morate koristiti opciju Manje sigurno . To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, pa morate odabrati Manje sigurno za Okta SSO integraciju.

3

Odaberite Testiraj postavljanje jedinstvene prijave, a kada se otvori nova kartica preglednika, potvrdite autentičnost s IdP-om prijavom.

Ako primite pogrešku pri provjeri autentičnosti, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška web-aplikacije obično znači problem s postavljanjem SSO-a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i lijepite metapodatke kontrolnog središta u postavljanje IDP-a.

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažno pozitivne rezultate zbog pristupnog tokena koji se možda koristi u postojećoj sesiji od prijave.

4

Vratite se na karticu preglednika Kontrolni centar .

  • Ako je test bio uspješan, odaberite Uspješno testiranje. Uključite SSO i kliknite Dalje.
  • Ako test nije uspio, odaberite Neuspješan test. Isključite SSO i kliknite Dalje.

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Koristite postupke u sinkronizaciji korisnika Okta u Cisco Webex kontrolni centar ako želite napraviti dodjelu resursa korisnicima iz Okte u Webex oblak.

Koristite postupke u Sinkronizacija Azure Active Directory korisnika u Cisco Webex Control Hub ako želite učiniti pružanje korisnika iz Azure AD u Webex oblaku.

Možete slijediti postupak u odjeljku Onemogućavanje automatskih poruka e-pošte kako biste onemogućili e-poštu poslanu novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument sadrži i najbolje primjere iz prakse za slanje komunikacija korisnicima u tvrtki ili ustanovi.