Egyszeri bejelentkezés és Control Hub

Az egyszeri bejelentkezés (SSO) egy munkamenet- vagy felhasználó-hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítési adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyhez jogosultságokat kaptak. Kiküszöböli a további felszólításokat, amikor a felhasználók alkalmazást váltanak egy adott munkamenet során.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll biztosítja az SSO -hitelesítést a Webex -felhő és az identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO -profilját támogatja. A webböngésző SSO -profiljában a Webex alkalmazás a következő összerendeléseket támogatja:

  • SP kezdeményezte POST -> POST-összerendelés

  • Az SP REDIRECT -> POST összerendelés kezdeményezte

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval kapcsolatos kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az IdP-ről betöltött metaadatokban az első bejegyzés a Webex való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyszeri kijelentkezési profilt. A Webex alkalmazásban a felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez, és a kijelentkezés megerősítéséhez az Ön IdP-jével. Győződjön meg arról, hogy az IdP-je SingleLogout-ra van konfigurálva.

A Control Hub integrálása a PingFederate alkalmazással


 

A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem adnak teljes körű konfigurációt az összes lehetőséghez. Például a következőhöz: nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient tartozó integrációs lépések dokumentálva vannak. Más formátumok, mint pl.: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fognak SSO-integráció esetén, de nem tartoznak a dokumentációnk hatókörébe.

Állítsa be ezt az integrációt a Webex -szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings alkalmazást és más, a Control Hubban felügyelt szolgáltatásokat). Ha a Webex-webhely be van építve a Control Hubba, a Webex-webhely örökli a felhasználókezelést. Ha nem tudja így elérni a Webex Meetings alkalmazást, és azt nem a Control Hub kezeli, külön integrációt kell végrehajtania az SSO a Webex Meetings számára engedélyezéséhez. (Lásd Egyszeri bejelentkezés konfigurálása a Webex számára További információ az SSO -integrációról a Webes adminisztráció.)

Mielőtt elkezdené

Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:

Töltse le a Webex metaadatokat a helyi rendszerére

1

Ügyfélnézetből inhttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre gombot, majd görgessen a lehetőséghez Hitelesítés , majd kapcsolja be a lehetőséget Egyszeri bejelentkezés beállítást a telepítővarázsló elindításához.

2

Válassza ki a tanúsítvány típusát a szervezete számára:

  • Cisco saját aláírásával — Ezt a választást javasoljuk. Írjuk alá a tanúsítványt, hogy csak ötévente kelljen megújítania.
  • Nyilvános hitelesítő hatóság írta alá — Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP szállítója támogatja a megbízhatósági horgonyokat).

 

A megbízhatósági horgonyok nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére jogosultak. További információkért olvassa el az IdP dokumentációját.

3

Töltse le a metaadatfájlt.

A Webex -metaadat fájlnév: idb-meta-<org-ID> -SP.xml .

Konfiguráljon egy új szolgáltató kapcsolatot

1

Lépjen a PingFederate felügyeleti portáljára ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Alatt SP KAPCSOLATOK , válassza ki Új létrehozása lehetőségre .

3

Válassza ki a Ne használjon sablont ehhez a kapcsolathoz rádiógombot, majd válassza ki a lehetőséget Következő .

4

Válassza ki Böngésző SSO profilok , majd kattintson a lehetőségre Következő .

5

Válassza ki a Metaadatok importálása fülre.

6

Kattintson Válassza a Fájl lehetőséget tallózással keresse meg és importálja a Control Hubról letöltött metaadatfájlt, majd kattintson a gombra Következő .

7

Tekintse át az Általános információk lapon található információkat, majd kattintson a gombra Kész .

Böngésző konfigurálása egyszeri bejelentkezés

1

A PingFederate felügyeleti portálon válassza a lehetőséget Böngésző SSO konfigurálása .

2

Ellenőrizze a SP által kezdeményezett SSO jelölőnégyzet, majd kattintson Következő .

3

Válassza ki Állítás létrehozásának konfigurálása .

  1. Módosítsa a NameID-formátumot erre: Átmeneti és ellenőrizze a Az attribútumok szerepeltetése az átmeneti azonosítón kívül jelölőnégyzet.

  2. Bővítse a szerződés attribútumokat hozzáadásával levélben és uid attribútumokat a formátumban urn:oasis:names:tc:SAML:2.0:attrname-format-basic, majd kattintson a lehetőségre Következő .

  3. Válassza ki Új adapterpéldány hozzárendelése hogy válasszon egy hitelesítési mechanizmust. A következőből: ADAPTER PÉLDA legördülő menüből válassza ki a korábban beállított hitelesítési mechanizmusok egyikét, majd kattintson a gombra Következő .

  4. Válassza ki a További attribútumok lekérése több adattárból egyetlen leképezéssel rádiógombot, majd kattintson Következő .

  5. Válassza ki Attribútumforrás hozzáadása hogy adja hozzá az Active Directory tartományvezérlőt a tartományhoz, majd kattintson a gombra Következő .

  6. Adja meg a Alap DN és válassza ki a gyökérobjektum osztályt<Show All="" Attributes=""> . A Szűrő szöveges mező adja meg az LDAP szűrőt, majd kattintson a gombra Következő .

    A bejegyzésnek tartalmaznia kell azt az attribútumot, amelyet a felhasználótól elvár. Tartalmaznia kell azt az értéket is, amelyre az LDAP forrásokban leképez. Például, ha az aktív könyvtár a Windows bejelentkezési attribútumra van beállítva, akkor adja meg az Enter billentyűt sAMAccountName=${Felhasználónév} .

  7. Válassza ki a forrást és az értéket, hogy az érvényesítési attribútumokat leképezze az AD-adattár által biztosított attribútumokkal. (Ne adjon meg semmit a Kiadási feltételek mezőben.)

  8. Ellenőrizze, hogy az érvényesítési konfiguráció rendelkezik-e Identity Mapping beállítva Átmeneti , Szerződés tulajdonság beállítva uid , és Adapter példányok beállítva 1 .


     

    Az uid attribútumnak a felhasználó e- e-mail-cím kell illeszkednie.

4

Válassza ki Protokollbeállítások konfigurálása .

  1. Az Engedélyezett SAML -kötések esetén csak a KÖZZÉTÉTEL és Átirányítás jelölőnégyzeteket.

  2. Az Aláírási házirendhez válassza a lehetőséget Mindig írja alá az SAML -igazolást .

    A protokollbeállításoknak a következőképpen kell kinézniük.

  3. Válassza ki Hitelesítő adatok konfigurálása hogy konfigurálja a tanúsítványt az állításhoz.

  4. Válassza ki azt a tanúsítványt, amely már létrehozott SAML -érvényesítésekhez.

5

Az Aktiválás és összegzés képernyőn állítsa be a Kapcsolat állapota hogy Aktív .

Metaadatok exportálása a PingFederate alkalmazásból

1

A főképernyőn kattintson a lehetőségre Összes SP kezelése .

2

Keresse meg az imént létrehozott kapcsolatot, és kattintson Metaadatok exportálása lehetőségre .

3

A legördülő menüből válassza ki az exportált fájl aláírásához használni kívánt tanúsítványt.

4

Kattintson Exportálás lehetőségre .

Importálja az IdP-metaadatokat, és engedélyezze az egyszeri bejelentkezés egy teszt után

Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP-metaadatokat a helyi rendszerre, készen áll arra, hogy importálja azokat a Webex -szervezetbe a Control Hubból.

Mielőtt elkezdené

Ne tesztelje az SSO -integrációt az identitásszolgáltató (IdP) felületről. Csak a szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztjét kell használnia.

1

Válasszon egyet:

  • Térjen vissza a Control Hub – tanúsítvány kiválasztó oldalára a böngészőjében, majd kattintson a gombra Következő .
  • Ha a Control Hub már nincs megnyitva a böngésző lapon, az ügyfélnézetből behttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Hitelesítés , majd válassza a lehetőséget Műveletek lehetőségre > Metaadatok importálása .
2

Az IdP-metaadatok -metaadatok importálása oldalon húzza át az IdP-metaadatfájlt az oldalra, vagy használja a fájlböngészőt a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Tovább gombra.

Használnia kell a Biztonságosabb opciót, ha teheti. Ez csak akkor lehetséges, ha az IdP nyilvános hitelesítésszolgáltatót használt a metaadatainak aláírásához.

Minden egyéb esetben a Kevésbé biztonságos opciót. Ez vonatkozik arra az esetre is, ha a metaadatok nem privát hitelesítésszolgáltató által aláírt, önaláírt vagy aláírt.


 

Az Okta nem írja alá a metaadatokat, ezért választania kell Kevésbé biztonságos Okta SSO -integrációhoz.

3

Válassza ki Az SSO beállításának tesztelése , és amikor egy új böngészőlap megnyílik, bejelentkezéssel végezzen hitelesítést az IdP-vel.


 

Ha hitelesítési hibaüzenetet kap, lehet, hogy a hitelesítő adatokkal van probléma. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO -beállítással kapcsolatos problémát jelent. Ebben az esetben ismételje meg a lépéseket, különösen azokat, amelyeknél a Control Hub metaadatait másolja és illessze be az IdP-beállításba.


 

Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez a lépés leállítja a hamis pozitív üzeneteket egy olyan hozzáférési token miatt, amely egy meglévő munkamenetben lehet, hogy Ön bejelentkezett.

4

Térjen vissza a Control Hub böngésző lapjára.

  • Ha a teszt sikeres volt, válassza a lehetőséget Sikeres teszt. SSO bekapcsolása és kattintson Következő .
  • Ha a teszt sikertelen volt, válassza a lehetőséget Sikertelen teszt. Az SSO kikapcsolása és kattintson Következő .

 

Az SSO -konfiguráció csak akkor lép életbe a szervezetben, ha az első választógombot választja és aktiválja az SSO-t.

Mi a következő teendő

Használja a következő eljárásokat: Az Okta-felhasználók szinkronizálása a Cisco Webex Control Hub ha az Oktából szeretne felhasználói beüzemelést végezni a Webex felhőbe.

Használja a következő eljárásokat: Az Azure Active Directory -felhasználók szinkronizálása a Cisco Webex Control Hub ha szeretné végrehajtani a felhasználók kiépítését az Azure AD-ből a Webex -felhőbe.

Az eljárást itt követheti Automatikus e-mailek letiltása a szervezeten belüli új Webex App-felhasználóknak küldött e-mailek letiltásához. A dokumentum a szervezeten belüli felhasználóknak szóló közlemények kiküldésére vonatkozó bevált módszerek is tartalmaz.