Egyszeri bejelentkezés és Webex vezérlőközpont

Az egyszeri bejelentkezés (egyszeri bejelentkezés) olyan munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyre jogosultságot kapnak. Kiküszöböli a további kéréseket, amikor a felhasználók egy adott munkamenet során váltanak alkalmazásokat.

A biztonsági állítások jelölési nyelve (SAML 2.0) összevonási protokoll az egyszeri bejelentkezés hitelesítésének biztosítására szolgál a Cisco Webex felhő és az identitásszolgáltató (IdP) között.

Profilok

A Cisco Webex Teams csak a webböngésző SSO-profilját támogatja. A webböngésző SSO-profiljában a Cisco Webex Teams a következő kötéseket támogatja:

  • SP kezdeményezett POST -> POST kötés

  • SP kezdeményezett REDIRECT -> POST kötés

NameID formátum

A SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóról való kommunikációhoz. A Cisco Webex Teams a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az IdP-ből betöltött metaadatokban az első bejegyzés a Cisco Webexben való használatra van konfigurálva.

SingleLogout

A Cisco Webex Teams támogatja az egységes kijelentkezési profilt. A Cisco Webex Teams alkalmazásban a felhasználó kijelentkezhet az alkalmazásból, amely a SAML egyetlen kijelentkezés protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezett az IdP-vel. Győződjön meg arról, hogy az IdP a SingleLogout-hoz van konfigurálva.

F5 Big IP integrálása a Cisco Webex Control Hub segítségével egyszeri bejelentkezéshez


A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe.

Állítsa be ezt az integrációt a Cisco Webex szervezet felhasználói számára (beleértve a Cisco WebexTeamst, a Cisco WebexMeetings-t és a Cisco Webex Control Hubban kezelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Cisco Webex Control Hubba,a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Cisco Webex Meetings-hez, és azt nem kezeli a Cisco Webex ControlHub, akkor külön integrációt kell végeznie a Cisco Webex Meetings SSO engedélyezéséhez. (Lásd: A Webex egyszeri bejelentkezésének konfigurálása további információkért a webhelyfelügyelet sso-integrációjáról.)

Mielőtt elkezdené

Az SSO és a Cisco Webex Control Hub esetében azazonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:

Töltse le a Cisco Webex metaadatait a helyi rendszerbe

1

A vevői nézetből lépjen a https://admin.webex.comBeállításokelemre, majd görgessen a Hitelesítéselemre.

2

Kattintson a Módosításelemre, kattintson a Harmadik fél identitásszolgáltatójának integrálása elemre. (Speciális), majd kattintson a Továbbgombra.

3

Töltse le a metaadatfájlt.

A Cisco Webex metaadat fájlnév idb-meta-<org-ID>-SP.xml.

A külső szolgáltató és az identitásszolgáltató konfigurálása

1

A BIG-IP F5 felügyeleti felületről nyissa meg az Access Policy > SAML > BIG-IP azonosítót.

2

A Külső SP-összekötőkterületen válassza a > létrehozása metaadatokbóllehetőséget.

3

Adjon meg egy értelmes nevet a szolgáltató nevének, például <yourorganizationname>.ciscowebex.com.

4

A Biztonsági beállításokcsoportban jelölje be a következő jelölőnégyzeteket:

  • A választ alá kell írni
  • Az állítást alá kell írni
5

Térjen vissza az Access Policy > SAML > BIG-IP azonosítóként, majd hozzon létre egy új identitásszolgáltató (IdP) szolgáltatást.

6

Adjon meg egy értelmes nevet az IdP szolgáltatás nevének, például CI.

7

Az IdP-entitásazonosítóhoz használja a Big-IP-kiszolgáló FQDN-jét valamivel az elején – például https://bigip0a.uc8sevtlab13.com/CI.

8

A Állítási beállításokterületen válassza az Állítási tárgytípus átmeneti azonosítójalehetőséget.

9

A Assertion Subject Value esetében adja visszaa(z) %{session.ad.last.attr.mail} felhasználó e-mailjénekértékét.

10

Adja vissza a(z) %{session.ad.last.attr.mail} értékkel rendelkező attribútumokat és uid-ot.

11

A Biztonsági beállítások területen válasszon egy tanúsítványt az állítás aláírásához.

12

Mentse a módosításokat, majd kösse össze a létrehozott szolgáltatót és identitásszolgáltatót.

Töltse le az F5 Big-IP metaadatokat

1

Válassza az IDP-szolgáltatás exportálásalehetőséget.

2

Győződjön meg arról, hogy a Metaadatok aláírása érték Igen .

3

Töltse le a metaadatfájlt az asztalra vagy egy könnyen megtalálható helyre.

Hozzáférési szabályzat hozzáadása

1

Nyissa meg az Access Policy > Access Profiles > SAML-t, és hozzon létre egy SAML-erőforrást a létrehozott idP-hez.

2

Nyissa meg hozzáférési profilját, és szerkessze a WebEx Messenger CAS-hoz használt hozzáférési szabályzatot.

3

Adjon hozzá egy új elemet a Bejelentkezés lapon Bejelentkezési oldal névvel, és hagyja meg az alapértelmezett értékeket.

4

Adjon hozzá egy új elemet a Hitelesítés lapon AD Auth névvel, és adja meg az Active Directoryt kiszolgálóként.

5

A sikeres ágon adjon hozzá AD-lekérdezést a Hitelesítés lapról

6

Lépjen a Fiókszabályok elemre, és változtassa meg AD-lekérdezésre.

7

Az AD-lekérdezés sikeres ágához a Hozzárendelés lapról adja hozzá a Speciális erőforrás-hozzárendelést.

8

Kattintson a Hozzáadás/Törlés gombra, és adjon hozzá két erőforrást SAML az összes SAML-erőforrással és a létrehozott webtetővel.

9

A Befejezés kiválasztásamezőben válassza a Engedélyezés lehetőséget.

A hozzáférési szabályzatnak a következő képernyőképen kell kinéznie:

Hozzáférési profil társítása a virtuális kiszolgálóhoz

A hozzáférési profilt a létrehozott virtuális kiszolgálóhoz kell társítania.

1

Lépjen a Helyi forgalom > virtuális kiszolgálók elemre.

2

Nyissa meg az Access Profiles lehetőséget annak megerősítéséhez, hogy nincs virtuális kiszolgáló társítva a profilhoz.

3

Válassza a Speciális erőforrás-hozzárendeléslehetőséget.

4

Az új SAML-erőforrás hozzáadásához válassza a Hozzáadás/törlés lehetőséget.

5

Zárja be az Access Policy tervezőablakait, és alkalmazza az új hozzáférési házirendet.

Az idP metaadatok importálása és egyszeri bejelentkezés engedélyezése teszt után

Miután exportálta a Cisco Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Cisco Webex szervezetébe a Control Hubwebhelyről.

Mielőtt elkezdené

Ne tesztelje az egyszeri bejelentkezést az identitásszolgáltató (IdP) felületéről. Ehhez az integrációhoz csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a Cisco Webex Control Hub – Könyvtár metaadatainak exportálása lapra a böngészőben, majd kattintson a Következőgombra.
  • Ha a Vezérlőközpont már nincs megnyitva a böngésző lapon, a felhasználói nézetből lépjen a https://admin.webex.comBeállítások , görgessen aHitelesítés elemre, válassza a Harmadik fél identitásszolgáltatójának integrálása (Speciális)lehetőséget, majd kattintson a Tovább gombra a megbízható metaadatfájl oldalon (mert már korábban is megtette).
2

Az IdP metaadatok importálása lapon húzza és dobja az IdP metaadatfájlt a lapra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Továbbgombra.

Ha a metaadatok nincsenek aláírva, önaláírt tanúsítvánnyal vannak aláírva, vagy egy privát vállalati hitelesítésszolgáltatóval (CA) vannak aláírva, javasoljuk, hogy a metaadatok (biztonságosabb) tanúsítványhatóság által aláírt tanúsítványthasználja. Ha a tanúsítvány öna alá van írva, ki kell választania a kevésbé biztonságos opciót.

3

Válassza a SSO-kapcsolat teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, jelentkezzen be bejelentkezéssel az IdP-vel.


 

Ha hitelesítési hibát kap, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, és próbálkozzon újra.

A Webex Teams-hiba általában az egyszeri bejelentkezés beállításával kapcsolatos problémát jelent. Ebben az esetben ismét végigsétálhat a lépéseken, különösen azon lépéseken, amelyek során a Vezérlőközpont metaadatait másolja és beillesztheti az IdP-beállításba.

4

Vissza a Control Hub böngésző fülre.

  • Ha a teszt sikeres volt, válassza a Ez a teszt sikeres volt lehetőséget. Engedélyezze az Egyszeri bejelentkezés lehetőséget, és kattintson a Következőgombra.
  • Ha a teszt sikertelen volt, válassza a Ez a teszt sikertelen volt. Tiltsa le az Egyszeri bejelentkezés beállítást, majd kattintson a Következőgombra.

Mi a következő lépés

Az automatizált e-mailek letiltása című témakörben letilthatja a szervezet új Webex Teams-felhasználóinak küldött e-maileket. A dokumentum a kommunikációnak a szervezet felhasználóinak történő küldésére vonatkozó ajánlott eljárásokat is tartalmazza.