Egyszeri bejelentkezés és vezérlőközpont

Az egyszeri bejelentkezés (egyszeri bejelentkezés) olyan munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyre jogosultságot kapnak. Kiküszöböli a további kéréseket, amikor a felhasználók egy adott munkamenet során váltanak alkalmazásokat.

A biztonsági állítások jelölési nyelve (SAML 2.0) összevonási protokollja az egyszeri bejelentkezés hitelesítésének biztosítására szolgál a Webex felhő és az identitásszolgáltató (IdP) között.

Profilok

A Webex App csak a webböngésző SSO-profilját támogatja. A webböngésző SSO-profiljában a Webex App a következő kötéseket támogatja:

  • SP kezdeményezett POST -> POST kötés

  • SP kezdeményezett REDIRECT -> POST kötés

NameID formátum

A SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóról való kommunikációhoz. A Webex Alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az IdP-ből betöltött metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

SingleLogout

A Webex Alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex Alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyetlen kijelentkezés protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezett az IdP-vel. Győződjön meg arról, hogy az IdP a SingleLogout-hoz van konfigurálva.

Control Hub integrálása a PingFederate-tal egyszeri bejelentkezéshez


A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe.

Állítsa be ezt az integrációt a Webex szervezet felhasználói számára (beleértve a WebexAppot, a Webex-értekezleteketés a Control Hubban felügyelt egyéb szolgáltatásokat ). Ha a Webex webhelye integrálva van a ControlHubba, a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex-értekezletekhez, és azt nem kezeli a Control Hub, külön integrációt kell végeznie a Webex-értekezletek egyszeri bejelentkezésének engedélyezéséhez. (Lásd: A Webex egyszeri bejelentkezésének konfigurálása további információkért a webhelyfelügyelet sso-integrációjáról.)

Mielőtt elkezdené

Az egyszeri bejelentkezések és a vezérlőközpont esetében az azonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:

Töltse le a Webex metaadatait a helyi rendszerbe

1

A vevői nézetből lépjen a https://admin.webex.comFelügyeleti > Szervezeti beállítások elemre, majd görgessen a Hitelesítéselemre, majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához.

2

Válassza ki a szervezet tanúsítványtípusát:

  • A Cisco által aláírt önadírta– Ezt a választást ajánljuk. Hadd írjuk alá a tanúsítványt, így csak ötévente egyszer kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt– Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP-szállító támogatja a megbízhatósági horgonyokat).

 

A bizalmi horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgálnak. További információért tekintse meg az IdP dokumentációját.

3

Töltse le a metaadatfájlt.

A Webex metaadatfájl neve idb-meta-<org-ID>-SP.xml.

Új szolgáltatói kapcsolat konfigurálása

1

Látogasson el a PingFederate felügyeleti portálra ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Az SP CONNECTIONScsoportban válassza az Új létrehozása lehetőséget.

3

Jelölje be a Ne használjon sablont ehhez a kapcsolatrádióhoz gombot, majd válassza a Következőlehetőséget.

4

Válassza a Böngésző egyszeri bejelentkezés profiloklehetőséget, majd kattintson a Következőgombra.

5

Válassza a Metaadatok importálása lapot.

6

Kattintson a Fájl kiválasztása gombra a Control Hubból letöltött metaadatfájl tallózásának és importálásának megtekintéséhez és importálásához, majdkattintson a Következő gombra.

7

Tekintse át az adatokat az Általános adatok lapon, majd kattintson a Készgombra.

Böngésző egyszeri bejelentkezésének konfigurálása

1

A PingFederate Felügyeleti portálon válassza a Böngésző egyszeri bejelentkezésének konfigurálásalehetőséget.

2

Jelölje be az SP által kezdeményezett egyszeri bejelentkezés jelölőnégyzetet, majd kattintson a Következőgombra.

3

Válassza a Állítások létrehozása beállításalehetőséget.

  1. Módosítsa a NameID-formátumot Átmenetire, és jelölje be az Attribútumok belefoglalása az átmeneti azonosító mellett jelölőnégyzetet.

  2. Bővítse ki a szerződésattribútumokat e-mail és uid attribútumok hozzáadásávalurn:oasis:names:tc:SAML:2.0:attrname-format-basicformátumban, majd kattintson a Következő gombra.

  3. Válassza az Új adapterpéldány leképezése lehetőséget a hitelesítési mechanizmus kiválasztásához. Az ADAPTER PÉLDÁNY legördülő listában válassza ki a korábban konfigurált hitelesítési mechanizmusok egyikét, majd kattintson a Következőgombra.

  4. Jelölje ki a További attribútumok lekérése több adattárból egy leképezési rádiógombbal, majd kattintson a Következőgombra.

  5. Válassza az Attribútumforrás hozzáadása lehetőséget a tartomány Active Directory tartományvezérlője hozzáadásához, majd kattintson a Következőgombra.

  6. Adja meg az Alap DN-t, és válassza ki a gyökérobjektum-osztályt <Show All="" Attributes="">. A Szöveg szűrése mezőbe írja be az LDAP szűrőt, majd kattintson a Következőgombra.

    A bejegyzésnek tartalmaznia kell azt az attribútumot, amelyet a felhasználótól elvár. Tartalmaznia kell azt az értéket is, amelyre az LDAP-forrásokban leképezi. Ha például az Active Directory szűrőre van állítva a Windows bejelentkezési attribútumon, írja be a sAMAccountName=${Username}parancsot.

  7. Válassza ki a forrást és az értéket az állítási attribútumok leképezéséhez az AD adattár által biztosított attribútumokkal. (Ne adjon meg semmit a kibocsátási feltételekhez.)

  8. Ellenőrizze, hogy az állításkonfigurációban az Identity Mappingtranziens, az attribútumszerződésuid, az adapterpéldányok pedig 1 - re vannak-e állítva.


     

    Az uid attribútumnak le kell térképeznie a felhasználó e-mail címét.

4

Válassza a Protokollbeállítások konfigurálásalehetőséget.

  1. A megengedhető SAML-kötések esetén csak a POST és az átirányítás jelölőnégyzetet jelölje be.

  2. Az Aláírási házirend esetében válassza a Saml-állítás mindig aláírásalehetőséget.

    A protokollbeállításoknak a következőnek kell kinéznie.

  3. Válassza a Hitelesítő adatok konfigurálása lehetőséget az állítás tanúsítványának konfigurálásához.

  4. Válassza ki azt a tanúsítványt, amelyet már létrehoztak az SAML-állításokhoz.

5

Az Aktiválás és összegzés képernyőn állítsa a Kapcsolat állapotát Aktív állapotba.

Metaadatok exportálása a PingFederate-ből

1

A Főképernyőn kattintson a Az összes SP kezeléseelemre.

2

Keresse meg az imént létrehozott kapcsolatot, és kattintson a Metaadatok exportálásaparancsra.

3

Válassza ki az exportált fájl aláírásához használandó tanúsítványt a legördülő helyről.

4

Kattintson a Exportálásgombra.

Az IdP metaadatok importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubprogramból.

Mielőtt elkezdené

Ne tesztelje az egyszeri bejelentkezést az identitásszolgáltató (IdP) felületéről. Ehhez az integrációhoz csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Vissza a Vezérlőközpontba – tanúsítványkijelölő lap a böngészőben, majd kattintson a Következő gombra.
  • Ha a Control Hub már nincs megnyitva a böngésző lapon, a vevői nézetből lépjen a https://admin.webex.comFelügyeleti > Szervezeti beállításokelemre, görgessen a Hitelesítéselemre, majd válassza a Metaadatok importálása > Műveletek parancsot.
2

Az IdP metaadatok importálása lapon húzza és dobja az IdP metaadatfájlt a lapra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Továbbgombra.

Ha lehet, használja a biztonságosabb opciót. Ez csak akkor lehetséges, ha az azonosító azonosító nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a kevésbé biztonságos opciót kell használnia. Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem saját maga írta alá, vagy nem írta alá egy privát hitelesítésszolgáltató.

3

Válassza a SSO-beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, jelentkezzen be bejelentkezéssel az IdP-vel.


 

Ha hitelesítési hibát kap, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, és próbálkozzon újra.

A Webex alkalmazáshiba általában az egyszeri bejelentkezés beállításával kapcsolatos problémát jelent. Ebben az esetben ismét végigsétálhat a lépéseken, különösen azon lépéseken, amelyek során a Vezérlőközpont metaadatait másolja és beillesztheti az IdP-beállításba.


 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása vágólapra ebből a képernyőről, és illessze be egy privát böngészőablakba. Innen átsétálhat az SSO-val való bejelentkezésen. Ez a lépés leállítja a hamis pozitívokat egy olyan hozzáférési jogkivonat miatt, amely egy meglévő munkamenetben lehet a bejelentkezéstől.

4

Vissza a Control Hub böngésző fülre.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget. Kapcsolja be az egyszeri bejelentkezést, majd kattintson a Továbbgombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget. Kapcsolja ki az egyszeri bejelentkezést, majd kattintson a Továbbgombra.

 

Az egyszeri bejelentkezés konfigurációja csak akkor lép érvénybe a szervezetben, ha az első rádiógombot választja, és aktiválja az egyszeri bejelentkezést.

Mi a következő lépés

Az automatikus e-mailek letiltása című témakörben letilthatja a szervezet új Webex App-felhasználóinak küldött e-maileket. A dokumentum a kommunikációnak a szervezet felhasználóinak történő küldésére vonatkozó ajánlott eljárásokat is tartalmazza.