Egyszeri bejelentkezés és Vezérlőközpont

Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:

  • SP kezdeményezte a POST -> POST kötést

  • SP kezdeményezte REDIRECT -> POST kötést

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-formátum:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-formátum:nincs megadva

  • urn:oasis:nevek:tc:SAML:1.1:nameid-formátum:emailCím

Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezik az idP-vel. Győződjön meg arról, hogy az idP be van állítva a SingleLogout szolgáltatáshoz.

Vezérlőközpont integrálása a PingFederate segítségével

A konfigurációs útmutatók egy konkrét példát mutatnak be az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt minden lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén.

Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára . (Lásd: Konfigurálja az egyszeri bejelentkezést a Webex számára, ha további információt szeretne a webhelyfelügyelet SSO-integrációjáról.)

Mielőtt elkezdené

Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:

Töltse le a Webex metaadatait a helyi rendszerbe

1

A vevő nézetében https://admin.webex.comnyissa meg a Felügyeleti > Szervezeti beállítások lehetőséget, majd görgessen a Hitelesítéslapra , majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához.

2

Válassza ki a szervezet tanúsítványtípusát:

  • Cisco által önaláírt – ezt a választást javasoljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt – Biztonságosabb, de gyakran kell frissítenie a metaadatokat (hacsak az IdP szolgáltató nem támogatja a megbízhatókapcsolat-alapok alkalmazását).

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

3

Töltse le a metaadatfájlt.

A Webex-metaadatfájl neve idb-meta--SP.xml.

Új szolgáltatói kapcsolat konfigurálása

1

Lépjen a PingFederate felügyeleti portáljára (https://:9999/pingfederate/app).

2

Az SP CONNECTIONScsoportban válassza az Új létrehozása lehetőséget.

3

Jelölje be a Ne használjon sablont ehhez a kapcsolatrádióhoz gombot, majd válassza a Következőlehetőséget.

4

Válassza a Böngésző egyszeri bejelentkezés profiloklehetőséget, majd kattintson a Következőgombra.

5

Válassza a Metaadatok importálása lapot.

6

Kattintson a Fájl kiválasztása gombra a Control Hubból letöltött metaadatfájl tallózásához és importálásához, majd kattintson a Tovább gombra.

7

Tekintse át az adatokat az Általános adatok lapon, majd kattintson a Készgombra.

Böngésző egyszeri bejelentkezésének konfigurálása

1

A PingFederate Felügyeleti portálon válassza a Böngésző egyszeri bejelentkezésének konfigurálásalehetőséget.

2

Jelölje be az SP által kezdeményezett egyszeri bejelentkezés jelölőnégyzetet, majd kattintson a Következőgombra.

3

Válassza a Állítások létrehozása beállításalehetőséget.

  1. Módosítsa a NameID-formátumot Átmenetire, és jelölje be az Attribútumok belefoglalása az átmeneti azonosító mellett jelölőnégyzetet.

  2. Bővítse ki a szerződésattribútumokat e-mail és uid attribútumok hozzáadásával urn:oasis:names:tc:SAML:2.0:attrname-format-basicformátumban, majd kattintson a Következő gombra.

  3. Válassza az Új adapterpéldány leképezése lehetőséget a hitelesítési mechanizmus kiválasztásához. Az ADAPTER PÉLDÁNY legördülő listában válassza ki a korábban konfigurált hitelesítési mechanizmusok egyikét, majd kattintson a Következőgombra.

  4. Jelölje ki a További attribútumok lekérése több adattárból egy leképezési rádiógombbal, majd kattintson a Következőgombra.

  5. Válassza az Attribútumforrás hozzáadása lehetőséget a tartomány Active Directory tartományvezérlője hozzáadásához, majd kattintson a Következőgombra.

  6. Adja meg az Alap DN-t , és válassza ki a gyökérobjektumosztályt . A Szöveg szűrése mezőbe írja be az LDAP szűrőt, majd kattintson a Következőgombra.

    A bejegyzésnek tartalmaznia kell azt az attribútumot, amelyet a felhasználótól elvár. Tartalmaznia kell azt az értéket is, amelyre az LDAP-forrásokban leképezi. Ha például az Active Directory szűrőre van állítva a Windows bejelentkezési attribútumon, írja be a sAMAccountName=${Username}parancsot.

  7. Válassza ki a forrást és az értéket az állítási attribútumok leképezéséhez az AD adattár által biztosított attribútumokkal. (Ne adjon meg semmit a kibocsátási feltételekhez.)

  8. Ellenőrizze, hogy az állításkonfigurációban az Identity Mapping tranziens, az attribútumszerződés uid, az adapterpéldányok pedig 1 - re vannak-e állítva.

    Az uid attribútumnak le kell térképeznie a felhasználó e-mail címét.

4

Válassza a Protokollbeállítások konfigurálásalehetőséget.

  1. A megengedhető SAML-kötések esetén csak a POST és az átirányítás jelölőnégyzetet jelölje be.

  2. Az Aláírási házirend esetében válassza a Saml-állítás mindig aláírásalehetőséget.

    A protokollbeállításoknak a következőnek kell kinéznie.

  3. Válassza a Hitelesítő adatok konfigurálása lehetőséget az állítás tanúsítványának konfigurálásához.

  4. Válassza ki azt a tanúsítványt, amelyet már létrehoztak az SAML-állításokhoz.

5

Az Aktiválás és összegzés képernyőn állítsa a Kapcsolat állapotát Aktív állapotba.

Metaadatok exportálása a PingFederate-ből

1

A Főképernyőn kattintson a Az összes SP kezeléseelemre.

2

Keresse meg az imént létrehozott kapcsolatot, és kattintson a Metaadatok exportálásaparancsra.

3

Válassza ki az exportált fájl aláírásához használandó tanúsítványt a legördülő helyről.

4

Kattintson a Exportálásgombra.

Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .

Mielőtt elkezdené

Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a Control Hub – tanúsítvány kiválasztása oldalra a böngészőben, majd kattintson a Tovább gombra.
  • Ha a Control Hub már nem nyílik meg a böngésző fülön, az ügyfélnézetből itt: https://admin.webex.com, lépjen a következőre: Kezelés >> Szervezeti beállítások, görgessen a következőhöz: Hitelesítés, majd válassza a Műveletek >> Metaadatok importálása.
2

Az IdP metaadatok importálása lapon húzza az IdP metaadatfájlt a lapra, vagy a fájlböngésző beállítással keresse meg és töltse fel a metaadatfájlt. Kattintson a Tovább gombra .

Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató.

Az Okta nem írja alá a metaadatokat, ezért az Okta SSO-integrációhoz a Kevésbé biztonságos lehetőséget kell választania .

3

Válassza az SSO-beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Ha hitelesítési hiba jelenik meg, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez a lépés leállítja a hamis pozitív eredményt, mert egy hozzáférési jogkivonat lehet egy meglévő munkamenetben, amikor be van jelentkezve.

4

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Kapcsolja be az egyszeri bejelentkezést, és kattintson a Továbbgombra .
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Kapcsolja ki az egyszeri bejelentkezést, és kattintson a Továbbgombra .

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Mi a következő lépés

Használja az Okta-felhasználók szinkronizálása a Cisco Webex Control Hubba című témakör eljárásait, ha az Okta-ból a Webex felhőbe szeretné kiépíteni a felhasználókat.

Használja az Azure Active Directory felhasználók szinkronizálása a Cisco Webex Control Hub, ha azt szeretné, hogy a felhasználói ellátás ki az Azure AD a Webex felhő.

Az Automatikus e-mailek letiltása szakaszban leírt eljárást követve letilthatja az Ön szervezetében lévő új Webex alkalmazás felhasználóknak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.