Konfigurálhat egyszeri bejelentkezési (SSO) integrációt a Control Hub és egy olyan üzembe helyezés között, amely a Shibboleth-et identitásszolgáltatóként (IdP) használja.
Egyszeri bejelentkezés és Vezérlőközpont
Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.
A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.
Profilok
A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:
SP kezdeményezte a POST -> POST kötést
SP kezdeményezte REDIRECT -> POST kötést
NameID formátum
Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.
SingleLogout
A Webex alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezik az idP-vel. Győződjön meg arról, hogy az idP be van állítva a SingleLogout szolgáltatáshoz.
Integrálja a Control Hubot a Shibboleth-tal
A konfigurációs útmutatók egy konkrét példát mutatnak be az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt minden lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén. |
Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára . (Lásd: Konfigurálja az egyszeri bejelentkezést a Webex számára, ha további információt szeretne a webhelyfelügyelet SSO-integrációjáról.)
Az integrációs lépések a Shibboleth 2.4.5-re vonatkoznak a CentOS 7-ben, a Tomcat 7 pedig webszerverként.
Mielőtt elkezdené
Az SSO és a Control Hubesetében az idP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az idP-ket a következő módon kell konfigurálni:
Töltse le a Webex metaadatait a helyi rendszerbe
1 | A vevő nézetében https://admin.webex.comnyissa meg , majd görgessen a Hitelesítéslapra , majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához. |
||
2 | Válassza ki a szervezet tanúsítványtípusát:
|
||
3 | Töltse le a metaadatfájlt. A Webex metaadat-fájlneve idb-meta--<org-ID>SP.xml. |
Engedélyezés konfigurálása Shibboleth fájlokban
A Shibboleth telepítése után konfigurációs fájlokat kap példákkal.
1 | A példafájlok eléréséhez nyissa meg az /opt/shibboleth-idp/conf könyvtárat . |
2 | Döntse el, hogy melyik engedélyezési módszert használja – például LDAP-kötés az Active Directoryhoz. |
3 | Szerkessze a kezelőt.xml fájlt az alábbiak szerint: Nem hozzászólás
Hozzászólás
|
4 | Töltse ki az Active Directory adatait a hitelesítés engedélyezéséhez. Adja meg a login.config fájl konfigurációját. Példa:
|
Shibboleth szolgáltatói összetevők konfigurálása SAML állításhoz
1 | Adja hozzá a Webex SP-ről letöltött fájlt a /opt/shibboleth-idp/metaadatokkönyvtárhoz . |
2 | Szerkessze a függő entitás.xml fájlt; a DefaultRelyingParty címke után adja hozzá a WebexSAML állításának részleteit.
Az azonosítóhoz a Webex metaadatfájl EntityID értékét kell használnia. Cserélje le a példa azonosítóját a szervezet EntityID-jára. |
3 | A metaadatok:MetadataProvider címke belsejében adja hozzá a fájl helyét:
Az SP metaadatok a Shibboleth fájlrendszer egyik fájljából származnak, azon a helyen, ahol feltöltötte a Webex szervezet metaadatait . |
Az állításattribútumok konfigurálása
1 | Az Adatcsatlakozó szakaszban adja meg, hogy hol szeretné lekérni a felhasználókra vonatkozó attribútumokat. Példa:Active Directory, a MyLDAP azonosítójával.
|
2 | Az Attribútumdefiníció szakaszban tartsa meg azt, ami már a tranziensid konfigurációjában van. |
3 | Adja hozzá az SP által várt extra attribútumot, és határozza meg, hogy mit rendel hozzá az attribútumforráshoz. Példa:
|
4 | Határozza meg, hogy melyik attribútumot adja meg az attribútumszűrő.xml fájl egyes SP-megállapodásainak. Adja meg az uid attribútumot a Webexnek , amely a felhasználó e-mail címéhez van leképezve. Példa:Engedje el az uid attribútumot a Webex-szel kötött SP-megállapodáshoz.
Az attribútum-feloldóban létrehozott szabálynak.xml házirenddel kell rendelkeznie a Webexnekmegfelelő EntityID-nek való e-mail attr attribútum felszabadításához. |
5 | Töltse le a metaadatfájlt a Shibboleth kiszolgálóról a /opt/shibboleth-idp/metadata fájlban . A fájlnév idp-metaadatok.xml. |
Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után
Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .
Mielőtt elkezdené
Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.
1 | Válasszon egyet:
|
||||
2 | Az IdP metaadatok importálása lapon húzza az IdP metaadatfájlt a lapra, vagy a fájlböngésző beállítással keresse meg és töltse fel a metaadatfájlt. Kattintson a Tovább gombra . Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához. Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató. |
||||
3 | Válassza a SSO-beállítás tesztelése lehetőséget , és amikor új böngészőfül nyílik meg, bejelentkezéssel hitelesítse magát az IdP-vel.
|
||||
4 | Térjen vissza a Control Hub böngésző lapra.
|
Mi a következő lépés
Az Automatizált e-mailek letiltása című témakörben leírt eljárást követve letilthatja a szervezet új Webex Alkalmazás felhasználóinak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.