Egyetlen bejelentkezési (SSO) integrációt konfigurálhat a Control Hub és a PingFederate azonosító szolgáltatóként (IdP) használó központi telepítés között.
Egyszeri bejelentkezés és vezérlőközpont
Az egyszeri bejelentkezés (egyszeri bejelentkezés) olyan munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyre jogosultságot kapnak. Kiküszöböli a további kéréseket, amikor a felhasználók egy adott munkamenet során váltanak alkalmazásokat.
A biztonsági állítások jelölési nyelve (SAML 2.0) összevonási protokollja az egyszeri bejelentkezés hitelesítésének biztosítására szolgál a Webex felhő és az identitásszolgáltató (IdP) között.
Profilok
A Webex App csak a webböngésző SSO-profilját támogatja. A webböngésző SSO-profiljában a Webex App a következő kötéseket támogatja:
SP kezdeményezett POST -> POST kötés
SP kezdeményezett REDIRECT -> POST kötés
NameID formátum
A SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóról való kommunikációhoz. A Webex Alkalmazás a következő NameID formátumokat támogatja.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Az IdP-ből betöltött metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.
SingleLogout
A Webex Alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex Alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyetlen kijelentkezés protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezett az IdP-vel. Győződjön meg arról, hogy az IdP a SingleLogout-hoz van konfigurálva.
Vezérlőközpont integrálása a PingFederate segítségével
A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe. |
Állítsa be ezt az integrációt a Webex szervezet felhasználói számára (beleértve a WebexAppot, a Webex-értekezleteketés a Control Hubban felügyelt egyéb szolgáltatásokat ). Ha a Webex webhelye integrálva van a ControlHubba, a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex-értekezletekhez, és azt nem kezeli a Control Hub, külön integrációt kell végeznie a Webex-értekezletek egyszeri bejelentkezésének engedélyezéséhez. (Lásd: A Webex egyszeri bejelentkezésének konfigurálása további információkért a webhelyfelügyelet sso-integrációjáról.)
Mielőtt elkezdené
Az egyszeri bejelentkezések és a vezérlőközpont esetében az azonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:
Töltse le a Webex metaadatait a helyi rendszerbe
1 | A vevői nézetből lépjen a https://admin.webex.com elemre, majd görgessen a Hitelesítéselemre, majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához. |
||
2 | Válassza ki a szervezet tanúsítványtípusát:
|
||
3 | Töltse le a metaadatfájlt. A Webex metaadatfájl neve idb-meta-<org-ID>-SP.xml. |
Új szolgáltatói kapcsolat konfigurálása
1 | Látogasson el a PingFederate felügyeleti portálra ( |
2 | Az SP CONNECTIONScsoportban válassza az Új létrehozása lehetőséget. |
3 | Jelölje be a Ne használjon sablont ehhez a kapcsolatrádióhoz gombot, majd válassza a Következőlehetőséget. |
4 | Válassza a Böngésző egyszeri bejelentkezés profiloklehetőséget, majd kattintson a Következőgombra. |
5 | Válassza a Metaadatok importálása lapot. |
6 | Kattintson a Fájl kiválasztása gombra a Control Hubból letöltött metaadatfájl tallózásának és importálásának megtekintéséhez és importálásához, majdkattintson a Következő gombra. |
7 | Tekintse át az adatokat az Általános adatok lapon, majd kattintson a Készgombra. |
Böngésző egyszeri bejelentkezésének konfigurálása
1 | A PingFederate Felügyeleti portálon válassza a Böngésző egyszeri bejelentkezésének konfigurálásalehetőséget. |
2 | Jelölje be az SP által kezdeményezett egyszeri bejelentkezés jelölőnégyzetet, majd kattintson a Következőgombra. |
3 | Válassza a Állítások létrehozása beállításalehetőséget. |
4 | Válassza a Protokollbeállítások konfigurálásalehetőséget. |
5 | Az Aktiválás és összegzés képernyőn állítsa a Kapcsolat állapotát Aktív állapotba. |
Metaadatok exportálása a PingFederate-ből
1 | A Főképernyőn kattintson a Az összes SP kezeléseelemre. |
2 | Keresse meg az imént létrehozott kapcsolatot, és kattintson a Metaadatok exportálásaparancsra. |
3 | Válassza ki az exportált fájl aláírásához használandó tanúsítványt a legördülő helyről. |
4 | Kattintson a Exportálásgombra. |
Az IdP metaadatok importálása és egyszeri bejelentkezés engedélyezése a teszt után
Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubprogramból.
Mielőtt elkezdené
Ne tesztelje az egyszeri bejelentkezést az identitásszolgáltató (IdP) felületéről. Ehhez az integrációhoz csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.
1 | Válasszon egyet:
|
||||
2 | Az IdP metaadatok importálása lapon húzza és dobja az IdP metaadatfájlt a lapra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Továbbgombra. Ha lehet, használja a biztonságosabb opciót. Ez csak akkor lehetséges, ha az azonosító azonosító nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához. Minden más esetben a kevésbé biztonságos opciót kell használnia. Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem saját maga írta alá, vagy nem írta alá egy privát hitelesítésszolgáltató. |
||||
3 | Válassza a SSO-beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, jelentkezzen be bejelentkezéssel az IdP-vel.
|
||||
4 | Vissza a Control Hub böngésző fülre.
|
Mi a következő lépés
Az automatikus e-mailek letiltása című témakörben letilthatja a szervezet új Webex App-felhasználóinak küldött e-maileket. A dokumentum a kommunikációnak a szervezet felhasználóinak történő küldésére vonatkozó ajánlott eljárásokat is tartalmazza.