- Kezdőlap
- /
- Cikk
Egyszeri bejelentkezés (SSO) integráció konfigurálható a Control Hub és a Shibboleth-ot identitásszolgáltató (IdP) használó központi telepítés között.
Egyszeri bejelentkezés és Control Hub
Az egyszeri bejelentkezés (SSO) egy munkamenet- vagy felhasználó-hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítési adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyhez jogosultságokat kaptak. Kiküszöböli a további felszólításokat, amikor a felhasználók alkalmazást váltanak egy adott munkamenet során.
A Security Assertion Markup Language (SAML 2.0) összevonási protokoll biztosítja az SSO -hitelesítést a Webex -felhő és az identitásszolgáltató (IdP) között.
Profilok
A Webex alkalmazás csak a webböngésző SSO -profilját támogatja. A webböngésző SSO -profiljában a Webex alkalmazás a következő összerendeléseket támogatja:
SP kezdeményezte POST -> POST-összerendelés
Az SP REDIRECT -> POST összerendelés kezdeményezte
NameID formátum
Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval kapcsolatos kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Az IdP-ről betöltött metaadatokban az első bejegyzés a Webex való használatra van konfigurálva.
SingleLogout
A Webex alkalmazás támogatja az egyszeri kijelentkezési profilt. A Webex alkalmazásban a felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez, és a kijelentkezés megerősítéséhez az Ön IdP-jével. Győződjön meg arról, hogy az IdP-je SingleLogout-ra van konfigurálva.
A Control Hub integrálása a Shibboleth alkalmazással
A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem adnak teljes körű konfigurációt az összes lehetőséghez. Például a következőhöz: |
Állítsa be ezt az integrációt a Webex -szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings alkalmazást és más, a Control Hubban felügyelt szolgáltatásokat). Ha a Webex-webhely be van építve a Control Hubba, a Webex-webhely örökli a felhasználókezelést. Ha nem tudja így elérni a Webex Meetings alkalmazást, és azt nem a Control Hub kezeli, külön integrációt kell végrehajtania az SSO a Webex Meetings számára engedélyezéséhez. (Lásd Egyszeri bejelentkezés konfigurálása a Webex számára További információ az SSO -integrációról a Webes adminisztráció.)
Az integrációs lépések a Shibboleth 2.4.5-ös verzióra vonatkoznak a CentOS 7 rendszerben, ahol a Tomcat 7 a webkiszolgáló.
Mielőtt elkezdené
Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:
Töltse le a Webex metaadatokat a helyi rendszerére
1 | Ügyfélnézetből inhttps://admin.webex.com , menjen ide: gombot, majd görgessen a lehetőséghez Hitelesítés , majd kapcsolja be a lehetőséget Egyszeri bejelentkezés beállítást a telepítővarázsló elindításához. | ||
2 | Válassza ki a tanúsítvány típusát a szervezete számára:
| ||
3 | Töltse le a metaadatfájlt. A Webex -metaadat fájlnév: idb-meta-<org-ID> -SP.xml . |
Engedélyezés konfigurálása a Shibboleth-fájlokban
A Shibboleth telepítése után példákat tartalmazó konfigurációs fájlok jelennek meg.
1 | Lépjen a címtárba /opt/shibboleth-idp/conf a példafájlok eléréséhez. |
2 | Döntse el, melyik hitelesítési módszert használja – például: LDAP -kötés az Active Directory. |
3 | Szerkessze a handler.xml fájlba a következőképpen: Megjegyzés törlése
Hozzászólás
|
4 | Töltse ki az Active Directory adatait, hogy lehetővé tegye a hitelesítést. Adja meg a konfigurációt a fájlhoz login.config .
|
Konfigurálja a Shibboleth szolgáltató összetevőket az SAML érvényesítéshez
1 | Adja hozzá a Webex SP-ből letöltött fájlt a könyvtárba /opt/shibboleth-idp/metadata . |
2 | Szerkessze a relying-party.xml fájl; a DefaultRelyingParty címke után adja hozzá a Webex SAML -igénylésének részleteit.
Az azonosítóhoz a Webex metaadatfájlból származó EntityID értéket kell használnia. Cserélje le a példa azonosító a szervezete EntityID azonosítójára. |
3 | A metadata:MetadataProvider címkén belül adja meg a fájl helyét:
Az SP metaadatok a Shibboleth fájlrendszer egyik fájljából származnak, azon a helyen, ahová feltöltötte a metaadatokat a Webex szervezethez. |
Állítsa be az érvényesítési attribútumokat
1 | Az Adatösszekötő részben adja meg, hogy honnan szeretné lekérni a felhasználókra vonatkozó attribútumokat. Active Directory, MyLDAP azonosítóval.
|
2 | Az Attribútumdefiníció részben tartsa meg azt, ami már a transientID konfigurációjában van. |
3 | Adja hozzá az SP által várt extra attribútumot, és adja meg, hogy az attribútumforrásban mire legyen leképezve. A mail (e- e-mail-cím attribútum az Active Directory) hozzárendelése az uid (Felhasználói azonosító a Webex) értékre.
|
4 | Határozza meg, hogy melyik attribútumot adja meg az egyes SP-megállapodásokhoz a attribútum-filter.xml fájlt. Adja meg a Webex számára az uid attribútumot, amely a felhasználó e- e-mail-cím van hozzárendelve. Engedje el az uid attribútumot a Webex kötött SP-megállapodáshoz.
Az Ön által létrehozott szabály: attribútum-resolver.xml rendelkeznie kell egy szabályzattal, amely felszabadítja a mail-attr attribútumot a Webexnek megfelelő Webex számára. |
5 | Töltse le a metaadatfájlt a Shibboleth szerverről /opt/shibboleth-idp/metadata . A fájlnév: idp-metadata.xml . |
Importálja az IdP-metaadatokat, és engedélyezze az egyszeri bejelentkezés egy teszt után
Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP-metaadatokat a helyi rendszerre, készen áll arra, hogy importálja azokat a Webex -szervezetbe a Control Hubból.
Mielőtt elkezdené
Ne tesztelje az SSO -integrációt az identitásszolgáltató (IdP) felületről. Csak a szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztjét kell használnia.
1 | Válasszon egyet:
| ||||
2 | Az IdP-metaadatok -metaadatok importálása oldalon húzza át az IdP-metaadatfájlt az oldalra, vagy használja a fájlböngészőt a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Tovább gombra. Használnia kell a Biztonságosabb opciót, ha teheti. Ez csak akkor lehetséges, ha az IdP nyilvános hitelesítésszolgáltatót használt a metaadatainak aláírásához. Minden egyéb esetben a Kevésbé biztonságos opciót. Ez vonatkozik arra az esetre is, ha a metaadatok nem privát hitelesítésszolgáltató által aláírt, önaláírt vagy aláírt.
| ||||
3 | Válassza ki Az SSO beállításának tesztelése , és amikor egy új böngészőlap megnyílik, bejelentkezéssel végezzen hitelesítést az IdP-vel.
| ||||
4 | Térjen vissza a Control Hub böngésző lapjára.
|
Mi a következő teendő
Használja a következő eljárásokat: Az Okta-felhasználók szinkronizálása a Cisco Webex Control Hub ha az Oktából szeretne felhasználói beüzemelést végezni a Webex felhőbe.
Használja a következő eljárásokat: Az Azure Active Directory -felhasználók szinkronizálása a Cisco Webex Control Hub ha szeretné végrehajtani a felhasználók kiépítését az Azure AD-ből a Webex -felhőbe.
Az eljárást itt követheti Automatikus e-mailek letiltása a szervezeten belüli új Webex App-felhasználóknak küldött e-mailek letiltásához. A dokumentum a szervezeten belüli felhasználóknak szóló közlemények kiküldésére vonatkozó bevált módszerek is tartalmaz.