Egyszeri bejelentkezés és Vezérlőközpont

Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:

  • SP kezdeményezte a POST -> POST kötést

  • SP kezdeményezte REDIRECT -> POST kötést

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezik az idP-vel. Győződjön meg arról, hogy az idP be van állítva a SingleLogout szolgáltatáshoz.

A Control Hub integrálása a Google Apps alkalmazásokkal

A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. Például nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient a integrációs lépései dokumentálva vannak. Más formátumok, mint például urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress a [], működnek az SSO integrációhoz, de ezek kívül esnek a dokumentációnk hatókörén.

Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára .

Mielőtt elkezdené

Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:

Töltse le a Webex metaadatait a helyi rendszerbe

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre, és kattintson az Egyszeri bejelentkezés aktiválásagombra .

4

Válasszon ki egy IdP-t.

5

Válassza ki a szervezet tanúsítványtípusát:

  • Cisco által aláírt— Ezt a lehetőséget ajánljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírva— Biztonságosabb, de gyakran frissíteni kell a metaadatokat (kivéve, ha az IdP-szolgáltató támogatja a bizalmi horgonyokat).

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

6

Töltse le a metaadatfájlt.

A Webex metaadatfájl neve idb-meta-<org-ID>-SP.xml.

Egyéni alkalmazás konfigurálása a Google Rendszergazdában

1

Jelentkezzen be a Google Apps adminisztrátori konzoljába ( https://admin.google.com) egy rendszergazdai jogosultságokkal rendelkező fiókkal, majd kattintson az Alkalmazások lehetőségre. > Webes és mobilalkalmazások.

2

Az Alkalmazás hozzáadása legördülő esetben kattintson a Egyéni SAML-alkalmazás hozzáadásaelemre.

3

Az 1. lehetőség szakasz Google Idp-információk lapján kattintson a METAADATOK LETÖLTÉSE elemre, és mentse a fájlt egy könnyen megtalálható helyre a helyi rendszeren.

A Google metaadatfájlja letöltődik. A fájlnév formátuma GoogleIDPMetadata-.xml.

4

Kattintson a NEXTgombra.

5

Az Az egyéni alkalmazás alapvető adatai oldalon adja meg az alkalmazás nevét Webex alkalmazás, majd kattintson a KÖVETKEZŐgombra.

6

A Szolgáltató adatai oldal kitöltéséhez egy szövegszerkesztőben nyissa meg a korábban letöltött Webex metaadatfájlt.

  1. Keresse meg a Webex metaadatfájlban az AssertionConsumerService kifejezést, majd másolja ki a Location kulcsszó utáni URL-címet, és illessze be az ACS URL mezőbe a Szolgáltató adatai oldalon.

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp

  2. Keresse meg a Webex metaadatfájlban a entityID kifejezést, és másolja az azt követő URL-címet a Entity ID mezőbe a Service Provider Details oldalon.

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c

  3. A Névazonosítót Alapadatokra és Elsődleges e-mail címre kell állítani

  4. A névazonosító formátumát NEM MEGADOTT értékre kell állítani

  5. Nincs szükség attribútum-hozzárendelésekre, ezért az Attribútum-hozzárendelés oldalon kattintson a BEFEJEZÉSgombra.

A Webex SAML alkalmazás létrehozása után engedélyeznie kell a felhasználók számára.

7

Kattintson a Webex SAML alkalmazás jobb oldalán található függőleges pontra, és válasszon egyet:

  • Mindenki számára
  • Bekapcsolva bizonyos szervezeteknél (majd válassza ki a szervezeteket)

Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .

Mielőtt elkezdené

Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a böngészőjében a Control Hub – tanúsítványkiválasztó oldalra, majd kattintson a Továbbgombra.
  • Nyissa meg újra a Control Hub alkalmazást, ha az már nincs megnyitva a böngésző lapján. A Control Hub ügyfél nézetéből lépjen a Kezelés menüpontra. > Biztonság > Hitelesítés, válassza ki az IdP-t, majd válassza a Műveletek lehetőséget. > Metaadatok importálása.
2

Az IdP metaadatok importálása oldalon vagy húzza át az IdP metaadatfájlt az oldalra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Tovább gombra .

Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató.

Az Okta nem írja alá a metaadatokat, ezért az Okta SSO-integrációhoz a Kevésbé biztonságos lehetőséget kell választania .

3

Válassza a SSO beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

Ha hitelesítési hiba jelenik meg, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez a lépés leállítja a hamis pozitív eredményt, mert egy hozzáférési jogkivonat lehet egy meglévő munkamenetben, amikor be van jelentkezve.

4

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Kapcsolja be az egyszeri bejelentkezést, és kattintson a Továbbgombra .
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Kapcsolja ki az egyszeri bejelentkezést, és kattintson a Továbbgombra .

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Mi a következő lépés

Használja az Okta-felhasználók szinkronizálása a Cisco Webex Control Hubba című témakör eljárásait, ha az Okta-ból a Webex felhőbe szeretné kiépíteni a felhasználókat.

Használja az Azure Active Directory felhasználók szinkronizálása a Cisco Webex Control Hub, ha azt szeretné, hogy a felhasználói ellátás ki az Azure AD a Webex felhő.

A szervezetében új Webex App felhasználóknak küldött e-mailek letiltásához kövesse az Automatikus e-mailek letiltása című részben leírt eljárást. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.