Integraciju s jednom prijavom (SSO) možete konfigurirati između Control Huba i implementacije koja koristi SimpleSAML kao davatelja identiteta (IdP).
Jedinstvena prijava i kontrolni centar
Jedinstvena prijava (SSO) je sesija ili postupak provjere autentičnosti korisnika koji korisniku omogućuje da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije na koje imaju prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.
Protokol Federacijskog protokola za označavanje sigurnosnih tvrdnji (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).
Profili
Webex App podržava samo SSO profil web preglednika. U SSO profilu web-preglednika Webex App podržava sljedeće veze:
SP pokrenuo POST -> POST povezivanje
SP pokrenuo REDIRECT -> POST povezivanje
Oblik ID naziva
SAML 2.0 Protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće NameID formate.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
U metapodacima koje učitate iz IdP-a prvi unos konfiguriran je za korištenje u web-aplikaciji Webex.
SingleLogout
Webex aplikacija podržava jedan profil za odjavu. U webexaplikaciji korisnik se može odjaviti iz aplikacije koja koristi SAML protokol za jedinstvenu odjavu kako bi završio sesiju i potvrdio tu odjavu s vašim IdP-om. Provjerite je li IdP konfiguriran za SingleLogout.
Integrirajte upravljački centar s SimpleSAML-om
Vodiči za konfiguraciju pokazuju specifičan primjer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije. |
Postavite ovu integraciju za korisnike u vašoj webex organizaciji (uključujući Webex App, Webex sastankei druge usluge kojima se upravlja u Control Hubu). Ako je vaše Webex web-mjesto integrirano u Control Hub ,Webex web-mjesto nasljeđuje upravljanje korisnicima. Ako ne možete pristupiti Webex sastancima na ovaj način i njime se ne upravlja u Control Hubu , morate napraviti zasebnu integraciju da biste omogućili SSO za Webex sastanke. (Pogledajte Konfigurirajte jedinstvenu prijavu za Webex za više informacija o integraciji SSO-a u administraciji web-mjesta.)
Prije nego što počnete
Za SSO i Control HubIDP-ovi moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IDP-ovi moraju biti konfigurirani na sljedeći način:
Preuzimanje metapodataka webexa u lokalni sustav
1 | Iz prikaza klijenta u https://admin.webex.comsustavu , a zatim se pomaknite do odjeljka Provjeraautentičnosti , a zatim se prebacite na postavku Jedinstvena prijava da biste pokrenuli čarobnjak za postavljanje. |
||
2 | Odaberite vrstu certifikata za svoju tvrtku ili ustanovu:
|
||
3 | Preuzmite datoteku metapodataka. Naziv datoteke Metapodataka Webex je idb-meta-<org-ID>-SP.xml. |
Pretvori metapodatke
1 | Otvorite izvezenu datoteku metapodataka Webexa u uređivaču teksta. |
2 | U pregledniku otvorite jednostavnu početnu stranicu zaSAML i prijavite se pomoću administratorskih vjerodajnica. Mjesto početne stranice razlikuje se, ali je obično slično ovom primjeru URL-a: https://yourcompany.yourdomain.com/simplesaml. |
3 | Na glavnoj stranici kliknite Federacija. |
4 | U odjeljku Alati napravite XML u Simple SAML XML pretvorbu. |
5 | Kopirajte metapodatke web-exa iz uređivača teksta, a zatim ih zalijepite u polje XML pretvorbe. |
6 | Kliknite Raščlanji . Pojavit će se pretvoreni metapodaci. Te ćete podatke dodati u udaljenu SP tekstualnu datoteku. |
Stvaranje datoteke metapodataka davatelja udaljenih usluga
Ovi koraci su zamišljeni kao primjer. Direktorij metapodataka i IDP glavno računalo razlikuju se ovisno o postavljanju klijenta.
Prije nego što počnete
Imajte na umu atribute koje morate proći i u skladu s tim mapp uređivanjem datoteke metapodataka saml20-idp-hosted.php. (Na primjer, uid, pošta, e-pošta i tako dalje). Pogledajte primjer metapodataka:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | U konfiguraciji SimpleSAML na glavnom računalu idite na direktorij metapodataka. |
2 | Pomoću uređivača teksta zalijepite raščlanjene podatke na kraju saml20-sp-remote.php i spremite datoteku. |
3 | Vratite se na naslovnicu SimpleSAML-a, kliknite Federacija, a zatim prikažite metapodatke za davatelja identiteta. |
4 | Zalijepite podatke u novu tekstualnu datoteku. |
5 | Spremite ažuriranu datoteku na radnu površinu sa smislenim nazivom kao što su simplesaml-metapodaci.xml. |
Uvoz IdP metapodataka i omogućavanje jedinstvene prijave nakon testiranja
Nakon izvoza metapodataka webexa, konfiguriranja IdP-a i preuzimanja IdP metapodataka u lokalni sustav, spremni ste ga uvesti u svoju web-ex organizaciju iz Control Huba.
Prije nego što počnete
Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje je pokrenuo Davatelj usluga (iniciran SP-om), tako da za tu integraciju morate koristiti SSO test kontrolnog središta.
1 | Odaberi jednu:
|
||||
2 | Na stranici Uvoz IDP metapodataka povucite i ispustite datoteku IdP metapodataka na stranicu ili pomoću mogućnosti preglednika datoteka pronađite i prenesite datoteku metapodataka. Kliknite Dalje. Trebali biste koristiti sigurniju opciju, ako možete. To je moguće samo ako je vaš IDP koristio javni CA za potpisivanje svojih metapodataka. U svim drugim slučajevima morate koristiti opciju Manje sigurno. To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA. |
||||
3 | Odaberite Testiraj postavljanje SSO-a, a kada se otvori nova kartica preglednika, provjerite autentičnost pomoću IDP-a prijavom.
|
||||
4 | Vratite se na karticu preglednika Kontrolni centar.
|
Što učiniti sljedeće
Možete slijediti postupak u odjeljku Suzbijanje automatiziranih poruka e-pošte da biste onemogućili e-poštu koja se šalje novim korisnicima web-aplikacije u vašoj tvrtki ili ustanovi. Dokument sadrži i najbolje primjere iz prakse za slanje komunikacija korisnicima u tvrtki ili ustanovi.