Egyszeri bejelentkezés és Vezérlőközpont

Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:

  • SP kezdeményezte a POST -> POST kötést

  • SP kezdeményezte REDIRECT -> POST kötést

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

A Control Hub integrálása az Okta-val


A konfigurációs útmutatók egy konkrét példát mutatnak be az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt minden lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén.

Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára . (Lásd: Konfigurálja az egyszeri bejelentkezést a Webex számára, ha további információt szeretne a webhelyfelügyelet SSO-integrációjáról.)

Mielőtt elkezdené

  • Az SSO és a Control Hubesetében az idP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az idP-ket a következő módon kell konfigurálni:

Töltse le a Webex metaadatait a helyi rendszerbe

1

A vevő nézetében https://admin.webex.comnyissa meg a Felügyeleti > Szervezeti beállítások lehetőséget, majd görgessen a Hitelesítéslapra , majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához.

2

Válassza ki a szervezet tanúsítványtípusát:

  • A Ciscosaját maga írta alá – Javasoljuk ezt a választást. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Egy hitelesítésszolgáltatóáltal aláírt – Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP-szállító támogatja a megbízhatósági horgonyokat).

 

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

3

Töltse le a metaadatfájlt.

A Webex metaadat-fájlneve idb-meta--<org-ID>SP.xml.

Az Okta konfigurálása Webex-szolgáltatásokhoz

1

Jelentkezzen be rendszergazdaként az Okta-bérlőbe (example.okta.com, ahol például a vállalat vagy a szervezet neve), lépjen az Alkalmazásoklapra , majd kattintson az Alkalmazáshozzáadása gombra .

2

Keressen a "Cisco Webex" kifejezésre , és adja hozzá az alkalmazást a bérlőhöz.

3

Kattintson a Tovább, majd az SAML 2.0 gombra .

4

Nyissa meg a böngészőben a Control Hubból letöltött metaadatfájlt. Másolja az entityID URL-címeit (a fájl tetején) és az assertionConsumerService helyet (a fájl alján).

1. ábra. Példa kiemelt entitásazonosítóra a Control Hub metaadatfájljában
2. ábra. Példa a Control Hub metaadatfájl kiemelt állításáraConsumerService hely
5

Az Okta Cisco Webex lapján görgessen a Speciális beállításoklapra , majd illessze be a Control Hub metaadatfájlból másolt entity id és assertion consumer service értékeket, majd mentse a módosításokat.

6

Kattintson a Bejelentkezés gombra , majd töltse le az Okta metaadatfájlt a fájl importálásáról a Control Hub példányba.

7

Kattintson a Hozzárendelések gombra , válassza ki az összes felhasználót és a Control Hubban kezelt alkalmazásokhoz és szolgáltatásokhoz társítani kívánt releváns csoportokat, kattintson a Hozzárendelés , majd a Készgombra .

Hozzárendelhet felhasználót vagy csoportot. Ne hagyja ki ezt a lépést; ellenkező esetben a Control Hub és az Okta integráció nem fog működni.

Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .

Mielőtt elkezdené

Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a vezérlőközpont – tanúsítványkijelölő lapra a böngészőben, majd kattintson a Továbbgombra .
  • Ha a Control Hub már nincs megnyitva a böngésző lapon, a ügyfélnézetből https://admin.webex.coma ( ) válassza a Felügyeleti > Szervezet beállításai,görgessen a Hitelesítéslapra , majd válassza a Műveletek > metaadatokimportálása lehetőséget.
2

Az IdP metaadatok importálása lapon húzza az IdP metaadatfájlt a lapra, vagy a fájlböngésző beállítással keresse meg és töltse fel a metaadatfájlt. Kattintson a Tovább gombra .

Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató.


 

Az Okta nem írja alá a metaadatokat, ezért az Okta SSO-integrációhoz a Kevésbé biztonságos lehetőséget kell választania .

3

Válassza a SSO-beállítás tesztelése lehetőséget , és amikor új böngészőfül nyílik meg, bejelentkezéssel hitelesítse magát az IdP-vel.


 

Ha hitelesítési hiba jelenik meg, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.


 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása a vágólapra ezen a képernyőn, és illessze be egy privát böngészőablakba. Innen keresztül bejelentkezhet az SSO-val. Ez a lépés leállítja a hamis pozitív eredményt, mert egy hozzáférési jogkivonat lehet egy meglévő munkamenetben, amikor be van jelentkezve.

4

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Kapcsolja be az egyszeri bejelentkezést, és kattintson a Továbbgombra .
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Kapcsolja ki az egyszeri bejelentkezést, és kattintson a Továbbgombra .

 

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Mi a következő lépés

Használja az Okta-felhasználók szinkronizálása a Cisco Webex Control Hubba című témakör eljárásait, ha az Okta-ból a Webex felhőbe szeretné kiépíteni a felhasználókat.

Az Automatizált e-mailek letiltása című témakörben leírt eljárást követve letilthatja a szervezet új Webex Alkalmazás felhasználóinak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.