Az egyszeri bejelentkezés (SSO) lehetővé teszi a felhasználók számára, hogy biztonságosan jelentkezzenek be a Webexbe a szervezet közös identitásszolgáltatójánál történő hitelesítéssel. Az identitásszolgáltató (IdP) biztonságosan tárolja és kezeli az Ön felhasználói digitális identitásait, valamint felhasználói hitelesítési szolgáltatást nyújt az Ön Webex-felhasználói számára.

Miért lehet szüksége több IdP-re

Sok nagyvállalat egyesül és felvásárolja magát, és ezek a vállalatok ritkán rendelkeznek ugyanazokkal az informatikai infrastruktúrával és identitásszolgáltatókkal. A kormányzati intézményeknek különböző szervezetei és ügynökségei vannak. Ezeknek a szervezeteknek gyakran van egy e-mail-címük a saját informatikai részlegeik és infrastruktúrájuk számára. A nagyobb oktatási intézmények központi beszerzési részleggel rendelkeznek, de különböző egyetemek és főiskolák különböző informatikai szervezetekkel és részlegekkel.

Gyakori, hogy az IdP-k és a szolgáltatók (SP-k) szövetségre lépnek egymással. Az IdP felelős az Ön felhasználói hitelesítő adatainak hitelesítéséért, az SP pedig megbízik az IdP által végzett hitelesítésben. Ez lehetővé teszi a felhasználók számára, hogy ugyanazt a digitális identitást használva különböző SaaS-alkalmazásokhoz és -szolgáltatásokhoz férjenek hozzá. Ha azonban valamilyen oknál fogva az Ön szervezete nem tud összevonni az IdP-ket, akkor a Webex megoldást kínál több IdP támogatására. A fenti okokból lehetőséget biztosítunk arra, hogy több IdP-hez konfigurálja az SSO-t a Webexben, és egyszerűsítse a felhasználók hitelesítési folyamatát.

Korlátozások

  • Ez a funkció csak akkor érhető el, ha megvásárolta a Webex bővített biztonsági csomagját.
  • Jelenleg csak az SAML, az OpenID Connect és a Webex Identity szolgáltatást támogatjuk identitásszolgáltatóként.

Hatókörön kívül

  • Konfigurálja a csoportos hozzárendeléseket.

Ez a rész azt ismerteti, hogyan integrálhatja az identitásszolgáltatóit (IdP) a Webex-szervezetével. Kiválaszthatja a szervezet igényeinek leginkább megfelelő IdP-ket.

Ha egy (a webes adminisztrációban kezelt) Webex Meetings-webhely SSO-integrációját keresi, olvassa el az Egyszeri bejelentkezés konfigurálása a Webex-adminisztrációhoz című témakört.

Előfeltételek

Mielőtt elkezdené

Győződjön meg arról, hogy teljesülnek a következő feltételek:

  • Rendelkeznie kell Webex bővített biztonsági csomaggal az SSO konfigurálásához több IdP-vel a Control Hubban.
  • Teljes jogú rendszergazdai szerepkörrel kell rendelkeznie a Control Hubban.
  • Több IdP beállítása előtt meg kell terveznie az útválasztási szabályok viselkedését.
Az alapértelmezett útválasztási szabály a kezdeti IdP konfigurálása után kerül alkalmazásra. De másik IdP-t is beállíthat alapértelmezettként. Olvassa el az Útválasztási szabály hozzáadása vagy szerkesztése szakaszt a cikk Útválasztási szabályok lapján.
SAML konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre a konfigurációs varázsló elindításához.

3

Válassza ki az SAML -t IdP-ként, majd kattintson a Tovább gombra.

4

Válassza ki a tanúsítvány típusát:

  • Cisco által önaláírt – ezt a választást javasoljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt – Biztonságosabb, de gyakran kell frissítenie a metaadatokat (hacsak az IdP szolgáltató nem támogatja a megbízhatókapcsolat-alapok alkalmazását).
A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.
5

Kattintson a Metaadatok letöltése lehetőségre, majd a Következő gombra.

A Webex alkalmazás metaadatfájlneve idb-meta--SP.xml.

6

Töltse fel az IDP-metaadatfájlját, vagy töltse ki a konfigurációs űrlapot.

A metaadatfájl feltöltésekor kétféleképpen érvényesítheti a metaadatokat az ügyfél IdP-ből:

  • Az ügyfél IdP egy nyilvános legfelső szintű hitelesítésszolgáltató által aláírt aláírást biztosít a metaadatokban.
  • Az ügyfél IdP saját aláírású privát hitelesítésszolgáltatót biztosít, vagy nem biztosít aláírást a metaadataihoz. Ez a lehetőség kevésbé biztonságos.
Ellenkező esetben a konfigurációs űrlapon adja meg az IdP adatait.

Kattintson a Továbbgombra.

7

(Opcionális) Megváltoztathatja a Webex felhasználónév vagy az elsődleges e-mail-cím SAML-attribútumának nevét uid -ról az IdP-kezelővel megállapodott valamire, például az e-mail-címre, upn-re stb.

8

(Nem kötelező) Konfigurálja a Just In Time (JIT) beállításokat és az SAML-leképezési választ.

Olvassa el a Just In Time (JIT) és az SAML-leképezés konfigurálása című cikket az ebben a cikkben található IdP-k kezelése lapon.
9

Kattintson az SSO-beállítás tesztelése lehetőségre, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, probléma léphet fel a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az SSO bejelentkezési élmény megtekintéséhez javasoljuk, hogy kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

10

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson az Aktiválás gombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Térjen vissza az előző lépésekhez a hibák elhárításához.
Az SSO-konfiguráció csak akkor lép hatályba a szervezetben, ha kiválasztja az első rádiógombot és aktiválja az SSO-t.

Mi a következő teendő

Beállíthat útválasztási szabályt. Olvassa el az Útválasztási szabály hozzáadása vagy szerkesztése szakaszt a cikk Útválasztási szabályok lapján.

Az Automatikus e-mailek letiltása szakaszban leírt eljárást követve letilthatja a szervezetében az új Webex alkalmazás felhasználóknak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

OpenID Connect konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre a konfigurációs varázsló elindításához.

3

Válassza az OpenID Connect lehetőséget IdP-ként, majd kattintson a Tovább gombra.

4

Adja meg az IdP adatait.

  • Név – Az IdP azonosítására szolgáló név.
  • Kliensazonosító – Az Ön és az IdP azonosítására szolgáló egyedi azonosító.
  • Ügyféltitkos kód – Az Ön és az IdP-je által ismert jelszó.
  • Hatókörök – Az IdP-hez társítandó hatókörök.

5

Válassza ki, hogyan adja hozzá a végpontokat. Ez történhet automatikusan vagy manuálisan.

  • A keresési URL használata – Adja meg az IdP konfigurációs URL-jét.
  • Végponti információk manuális hozzáadása – Adja meg a következő adatokat.

    • Kibocsátó
    • Engedélyezési végpont
    • Token végpontja
    • JWKS-végpont
    • Felhasználói információ végpontja
    További információkért lásd az OpenID Connect konfigurációs útmutatóját.

6

(Nem kötelező) Konfigurálja a Just In Time (JIT) beállításokat.

Olvassa el a Just In Time (JIT) és az SAML-leképezés konfigurálása című cikket az ebben a cikkben található IdP-k kezelése lapon.
7

Kattintson az SSO-beállítás tesztelése lehetőségre, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, probléma léphet fel a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az SSO bejelentkezési élmény megtekintéséhez javasoljuk, hogy kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

8

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson az Aktiválás gombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Térjen vissza az előző lépésekhez a hibák elhárításához.
Az SSO-konfiguráció nem lép hatályba a szervezetben, hacsak nem választja ki az első rádiógombot, és aktiválja az SSO-t.

Mi a következő teendő

Beállíthat útválasztási szabályt. Olvassa el az Útválasztási szabály hozzáadása vagy szerkesztése szakaszt a cikk Útválasztási szabályok lapján.

Az Automatikus e-mailek letiltása szakaszban leírt eljárást követve letilthatja a szervezetében az új Webex alkalmazás felhasználóknak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

Webex-identitás konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre a konfigurációs varázsló elindításához.

3

Válassza ki a Webexet IdP-ként, majd kattintson a Tovább gombra.

4

Jelölje be Elolvastam és megértettem, hogyan működik a Webex IdP , majd kattintson a Tovább gombra.

5

Állítson be útválasztási szabályt.

Olvassa el az Útválasztási szabály hozzáadása vagy szerkesztése szakaszt a cikk Útválasztási szabályok lapján.

Miután hozzáadott egy útválasztási szabályt, a rendszer hozzáadja az IdP-t, és megjelenik az Identitásszolgáltató lapon.

Mi a következő lépés

Az Automatikus e-mailek letiltása szakaszban leírt eljárást követve letilthatja az Ön szervezetében lévő új Webex alkalmazás felhasználóknak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

Az útválasztási szabályok akkor érvényesek, amikor több IdP-t állít be. Az útválasztási szabályok lehetővé teszik, hogy a Webex azonosítsa, melyik IdP-re küldje a felhasználóit, ha több IdP-t konfigurált.

Egynél több IdP beállításakor az SSO konfigurációs varázslóban határozhatja meg az útválasztási szabályokat. Ha kihagyja az útválasztási szabály lépését, akkor a Control Hub hozzáadja az IdP-t, de nem aktiválja azt. Az IdP aktiválásához hozzá kell adnia útválasztási szabályt.

Útválasztási szabályok hozzáadása vagy szerkesztése
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Útválasztási szabályok fülre.

Az első IdP konfigurálásakor a rendszer automatikusan hozzáadja az útválasztási szabályt, és az Alapértelmezett szabályként van beállítva. Később kiválaszthat egy másik IdP-t alapértelmezett szabályként való beállításhoz.

4

Kattintson az Új útválasztási szabály hozzáadása lehetőségre.

5

Adja meg egy új szabály részleteit:

  • Szabály neve – Adja meg az útválasztási szabály nevét.
  • Válasszon ki egy útválasztási típust – Válasszon ki tartományt vagy csoportot.
  • Ha ezek az Ön tartományai/csoportjai – adja meg a szervezetén belüli tartományokat/csoportokat.
  • Ezután használja ezt az identitásszolgáltatót – válassza ki az IdP-t.

6

Kattintson a Hozzáadásgombra.

7

Válassza ki az új útválasztási szabályt, majd kattintson az Aktiválás gombra.

Módosíthatja az útválasztási szabály prioritási sorrendjét, ha több IdP-re is rendelkezik útválasztási szabályokkal.
Útválasztási szabályok inaktiválása vagy törlése
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Útválasztási szabályok fülre.

4

Válassza ki az útválasztási szabályt.

5

Válassza ki, hogy szeretné-e deaktiválni vagy törölni az útválasztási szabályt.

Javasoljuk, hogy legyen egy másik aktív útválasztási szabály az IdP-hez. Ellenkező esetben problémákba ütközhet az SSO-bejelentkezéssel.

Az Alapértelmezett szabály nem inaktiválható vagy törölhető, de módosíthatja az átirányított IdP-t.
Identitásszolgáltató (IdP) tanúsítványainak kezelése

Mielőtt elkezdené

Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy az IdP-tanúsítvány lejár. Mivel az idP-szállítók saját dokumentációval rendelkeznek a tanúsítvány megújításához, lefedjük a Control Hubban szükségeseket,valamint a frissített IdP-metaadatok lekérésének általános lépéseit, és feltöltjük a Control Hubba a tanúsítvány megújításához.

Ez csak az SAML-konfigurációra vonatkozik.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Lépjen az IdP-re, kattintson az feltölt Idp-metaadatok feltöltése elemre.

A metaadatfájl letöltéséhez kattintson a Letöltés gombra, és válassza az Idp-metaadatok letöltése lehetőséget.
5

Keresse meg az IdP felügyeleti felületét az új metaadatfájl lekéréséhez.

6

Térjen vissza a Control Hubba, és húzza az IDP-metaadatfájlt a feltöltési területre, vagy kattintson a Fájl kiválasztása gombra a metaadatok feltöltéséhez.

7

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget az IdP-metaadatok aláírásának módjától függően, majd kattintson a Mentésgombra.

8

Konfigurálja a Just In Time (JIT) beállításokat és az SAML-leképezési választ.

Olvassa el a Just In Time (JIT) és az SAML-leképezés konfigurálása című cikket az ebben a cikkben található IdP-k kezelése lapon.
9

Kattintson az SSO-beállítás tesztelése lehetőségre, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, probléma léphet fel a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az SSO bejelentkezési élmény megtekintéséhez javasoljuk, hogy kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

10

Kattintson a Mentés lehetőségre.

Szolgáltatói (SP) tanúsítványok kezelése

Mielőtt elkezdené

Javasoljuk, hogy az SP-tanúsítvány megújításakor frissítse a szervezet összes IdP-jét.

Ez csak az SAML-konfigurációra vonatkozik.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Lépjen az IdP-re, és kattintson a gombra.

5

Kattintson a Tanúsítványok és lejárati dátum ellenőrzése lehetőségre.

Ezzel a Szolgáltatói (SP) tanúsítványok ablakba kerül.
6

Kattintson a Tanúsítvány megújítása lehetőségre.

7

Válassza ki az IdP típusát a szervezetében:

  • Több tanúsítványt támogató IdP
  • Egyetlen tanúsítványt támogató IdP
8

Válassza ki a megújítás tanúsítványtípusát:

  • Cisco által önaláírt – ezt a választást javasoljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt – Biztonságosabb, de gyakran kell frissítenie a metaadatokat (hacsak az IdP szolgáltató nem támogatja a megbízhatókapcsolat-alapok alkalmazását).
A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.
9

Kattintson a Metaadatok letöltése vagy a Tanúsítvány letöltése lehetőségre a frissített metaadatfájl vagy tanúsítvány másolatának letöltéséhez a Webex-felhőből.

10

Navigáljon az IdP-kezelőfelületére az új Webex-metaadatfájl vagy -tanúsítvány feltöltéséhez.

Ezt a lépést böngészőlapon, távoli asztali protokollon (RDP) vagy adott felhőszolgáltatói támogatáson keresztül teheti meg, attól függően, hogy az IdP beállítása és az, hogy Ön vagy egy külön IdP-rendszergazda felelős-e ezért a lépésért.

További információkért tekintse meg az SSO-integrációs útmutatóinkat , vagy vegye fel a kapcsolatot az IdP-rendszergazdájával segítségért. Ha Active Directory összevonási szolgáltatásokat (AD FS) használ, megtekintheti, hogyan frissítheti a Webex-metaadatokat az AD FS-ben

11

Térjen vissza a Control Hub felületére, és kattintson a Tovább gombra.

12

Válassza az Összes IdP sikeresen frissítve lehetőséget, majd kattintson a Tovább gombra.

Ez feltölti az SP-metaadatfájlt vagy -tanúsítványt a szervezet összes IdP-jére.

13

Kattintson a Megújítás befejezése gombra.

SSO-beállításának tesztelése

Mielőtt elkezdené

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Lépjen az IdP-re, és kattintson a Továbbiak menü gombra.

5

Válassza az IdP tesztelése lehetőséget.

6

Kattintson az SSO-beállítás tesztelése lehetőségre, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Ha hitelesítési hibát kap, probléma léphet fel a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az SSO bejelentkezési élmény megtekintéséhez javasoljuk, hogy kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

7

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson a Mentés gombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Térjen vissza az előző lépésekhez a hibák elhárításához.
Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Just in Time (JIT) és SAML-leképezés konfigurálása

Mielőtt elkezdené

Győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  • Az SSO már konfigurálva van.

  • A domainek már ellenőrizve lettek.

  • A tartományok igényelve és bekapcsolva vannak. Ez a funkció biztosítja, hogy a tartományából származó felhasználók minden alkalommal jönnek létre és frissülnek az IdP-vel történő hitelesítés során.

  • Ha a DirSync vagy az Azure AD engedélyezve van, akkor a SAML JIT létrehozása vagy frissítése nem fog működni.

  • A "Felhasználói profil frissítésének blokkolása" engedélyezve van. Az SAML frissítési leképezése azért engedélyezett, mert ez a konfiguráció szabályozza a felhasználó azon képességét, hogy szerkessze az attribútumokat. A rendszergazda által vezérelt létrehozási és frissítési módszerek továbbra is támogatottak.

Amikor az SAML JIT-t Azure AD-vel vagy olyan IdP-vel állítja be, ahol az e-mail nem állandó azonosító, azt javasoljuk, hogy az externalId összekapcsoló attribútumot használja egy egyedi azonosítóhoz való hozzárendeléshez. Ha azt találjuk, hogy az e-mail nem egyezik a kapcsolódó attribútummal, a rendszer arra kéri a felhasználót, hogy ellenőrizze személyazonosságát, vagy hozzon létre egy új felhasználót a megfelelő e-mail-címmel.

Az újonnan létrehozott felhasználók csak akkor kapnak automatikusan hozzárendelt licenceket, ha a szervezet rendelkezik automatikus licencsablonnal .

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Lépjen az IdP-re, és kattintson a Továbbiak menü gombra.

5

Válassza az SAML-leképezés szerkesztéselehetőséget.

6

Konfigurálja a Just-in-Time (JIT) beállításokat.

  • Felhasználó létrehozása vagy aktiválása: ha nem található aktív felhasználó, akkor a Webex Identity létrehozza a felhasználót, és frissíti az attribútumokat, miután a felhasználó hitelesítette az IdP-vel.
  • Frissítse a felhasználót SAML attribútumokkal: Ha talál egy e-mail címmel rendelkező felhasználót, akkor a Webex Identity frissíti a felhasználót az SAML helyességi feltételben leképezett attribútumokkal.
Erősítse meg, hogy a felhasználók más, azonosításra nem alkalmas e-mail-címmel jelentkezhetnek be.

7

Konfigurálja az SAML-leképezés kötelező attribútumait.

1. táblázat Kötelező attribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

Felhasználónév / Elsődleges e-mail cím

Példa: uid

Az UID-attribútumok megfeleltetése a jogosultságot szerzett felhasználó e-mailjének, upn-jének vagy edupersonprincipalname-jének.

8

Konfigurálja a Összekapcsolási attribútumokat.

Ennek a felhasználóra egyedinek kell lennie. A felhasználó keresésére szolgál, hogy a Webex frissíthesse az összes profilattribútumot, beleértve a felhasználó e-mailjét is.
2. táblázat Összekapcsoló attribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

alkalmazottak száma

Példa: user.employeeid fájl

A felhasználó alkalmazotti száma vagy a HR-rendszerén belüli azonosító szám. Vegye figyelembe, hogy ez nem az externalid számára készült, mert újrahasználhatja vagy újrahasznosíthatja az alkalmazottak számát más felhasználók számára.

1. bővítményattribútum

Példa: user.extensionattribute1

Rendelje hozzá ezeket az egyéni attribútumokat kibővített attribútumokhoz az Active Directory, az Azure vagy a címtárában a nyomkövető kódokhoz.

2. bővítményattribútum

Példa: user.extensionattribute2

3. bővítményattribútum

Példa: user.extensionattribute3

4. bővítményattribútum

Példa: user.extensionlattribute4

5. bővítményattribútum

Példa: user.extensionattribute5

9

Konfigurálja a Profilattribútumokat.

3. táblázat. Profilattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

alkalmazottak száma

Példa: user.employeeid fájl

Ennek a felhasználónak az alkalmazotti száma, vagy egy azonosító szám a HR-rendszeren belül. Vegye figyelembe, hogy ez nem az "externalid" -re vonatkozik, mert újra felhasználhatja vagy újrahasznosíthatja az "employeenumber" -t más felhasználók számára.

preferáltNyelv

Példa: user.preferredlanguage

A felhasználó által előnyben részesített nyelv.

színhely

Példa: user.locale

A felhasználó elsődleges munkavégzési helye.

időzóna

Példa: user.timezone

A felhasználó elsődleges időzónája.

displayName

Példa: user.displayname

A felhasználó megjelenített neve a Webex-ben.

name.givenName

Példa: user.givenname név

A felhasználó keresztneve.

name.familyName

Példa: user.vezetéknév

A felhasználó vezetékneve.

címek.streetAddress

Példa: user.streetaddress

Az elsődleges munkavégzési hely címe, utca, házszám.

címek.állam

Példa: user.state

Az elsődleges munkahelyük állapota.

címek.régió

Példa: user.region

Az elsődleges munkavégzési hely régiója.

addresses.irányítószám

Példa: user.irányítószám

Az elsődleges munkavégzési hely irányítószáma.

címek.ország

Példa: user.country

Az elsődleges munkavégzési hely országa.

phoneNumbers.work

Példa: munkahelyi telefonszám

Az elsődleges munkavégzési hely munkahelyi telefonszáma. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

phoneNumbers.extension (angolul)

Példa: mobiltelefonok száma

Az elsődleges munkahelyi telefonszám munkahelyi melléke. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

névmás

Példa: user.névmás

A felhasználó névmásai. Ez egy nem kötelező attribútum, és a felhasználó vagy a rendszergazda láthatóvá teheti a profiljában.

munkakör

Példa: user.jobtitle

A felhasználó munkaköre.

részleg

Példa: user.department

A felhasználó munkahelyi részlege vagy csapata.

névmás

Példa: user.névmás

Ez a felhasználó névmása. Ennek az attribútumnak a láthatóságát az Admin és a felhasználó szabályozza

vezető

Példa: vezető

A felhasználó menedzsere vagy a csapat vezetője.

költségcentrum

Példa: költséghely

Ez a felhasználó vezetékneve, más néven vezetéknév vagy családnév

e-mail.alternate1 címen érhető el.

Példa: user.mailnickname

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate2 címen érhető el.

Példa: user.primaryauthoritativemail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate3

Példa: user.alternativeauthoritativemail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate4 címen érhető el.

Példa: user.othermail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate5 címen érhető el.

Példa: user.othermail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.
10

Konfigurálja a mellékattribútumokat.

Leképezze ezeket az attribútumokat a active directory, az Azure-ban vagy a címtárban található kiterjesztett attribútumokra a követőkódok számára.
4. táblázat. Bővítményattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

1. bővítményattribútum

Példa: user.extensionattribute1

2. bővítményattribútum

Példa: user.extensionattribute2

3. bővítményattribútum

Példa: user.extensionattribute3

4. bővítményattribútum

Példa: user.extensionattribute4

5. bővítményattribútum

Példa: user.extensionattribute5

6. bővítményattribútum

Példa: user.extensionattribute6

7. bővítményattribútum

Példa: user.extensionattribute7

8. bővítményattribútum

Példa: user.extensionattribute8

9. bővítményattribútum

Példa: user.extensionattribute9

10.10. bővítményattribútum

Példa: user.extensionattribute10

11

Konfigurálja a csoportattribútumokat.

  1. Hozzon létre egy csoportot a Control Hubban, és jegyezze fel a Webex-csoport azonosítóját.
  2. Lépjen a felhasználói címtárába vagy az IdP-be, és állítson be egy attribútumot azoknak a felhasználóknak, akik hozzá lesznek rendelve a Webex-csoportazonosítóhoz.
  3. Frissítse az IdP konfigurációját, hogy tartalmazzon egy olyan igénylést, amely ezt az attribútumnevet és a Webex-csoport azonosítóját is tartalmazza (pl. c65f7d85-b691-42b8-a20b-12345xxxx). A külső azonosítót a csoportnevek módosításainak kezeléséhez vagy a jövőbeni integrációs forgatókönyvek kezeléséhez is használhatja. Például szinkronizálás az Azure AD-vel vagy SCIM-csoport szinkronizálás végrehajtása.
  4. Adja meg annak az attribútumnak a pontos nevét, amelyet az SAML-tesztben el kell küldeni a csoportazonosítóval. Ezzel hozzáadja a felhasználót egy csoporthoz.
  5. Adja meg a csoportobjektum külső azonosítójának pontos nevét, ha a címtárból származó csoportot használ tagok küldésére az SAML-tényben.

Ha A felhasználó az 1234-es groupID csoporthoz, B felhasználó pedig a 4567-es groupID felhasználóhoz van társítva, akkor külön csoportokhoz lesznek hozzárendelve. Ez a forgatókönyv azt jelzi, hogy egyetlen attribútum lehetővé teszi a felhasználók számára, hogy több csoportazonosítóhoz társítsanak. Bár ez nem gyakori, lehetséges és additív változásnak tekinthető. Például, ha A felhasználó kezdetben a groupID 1234 használatával jelentkezik be, a megfelelő csoport tagjává válik. Ha A felhasználó később a groupID 4567 használatával jelentkezik be, akkor a rendszer hozzáadja a második csoporthoz is.

Az SAML JIT beüzemelése nem támogatja a felhasználók csoportokból való eltávolítását vagy a felhasználók törlését.

5. táblázat. Csoportattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

csoportazonosító

Példa: csoportazonosító

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

csoportexternalId

Példa: csoportexternalId

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

A Webex-értekezletek SAML helyességifeltétel-attribútumainak listáját lásd: https://help.webex.com/article/WBX67566.

Identitásszolgáltató (IdP) törlése

Mielőtt elkezdené

Javasolt, hogy az IdP törlése előtt először inaktiválja vagy törölje az IdP útválasztási szabályait.
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Lépjen az IdP-re, és kattintson a Továbbiak menü gombra.

5

Válassza a Törléslehetőséget.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés > Szervezeti beállításokelemre, görgessen az Egyszeri bejelentkezés lehetőségre, majd kattintson az SSO és IdP-k kezelése lehetőségre.

3

Lépjen az Identitásszolgáltató lapra.

4

Kattintson az SSO inaktiválása lehetőségre.

Erősítse meg az SSO-deaktiválást.

A megerősítést követően az SSO inaktiválódik a szervezet összes IdP-jére vonatkozóan.

A tanúsítványok lejárta előtt riasztásokat fog kapni a Control Hubban, de proaktívan is beállíthatja a riasztási szabályokat. Ezek a szabályok előzetesen tudatják Ön számára, hogy az SP- vagy idP-tanúsítványok lejárnak. Ezeket e-mailben, a Webex alkalmazásban szóközön vagy mindkettőn keresztül küldhetjükel Önnek.

A konfigurált kézbesítési csatornától függetlenül az összes riasztás mindig megjelenik a Control Hubterületen. További információért lásd a Riasztások központot a Control Hubban.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Riasztási központba.

3

Válassza a Manage then All rules parancsot.

4

A Szabályok listában válassza ki a létrehozni kívánt egyszeri bejelentkezés szabályait:

  • SSO IDP tanúsítvány lejárata
  • SSO SP tanúsítvány lejárata
5

A Kézbesítési csatorna szakaszban jelölje be az E-mail, Webex területvagy mindkettő jelölőnégyzetet.

Ha az E-mail lehetőséget választja, adja meg azt az e-mail-címet, amely megkapja az értesítést.

Ha a Webex hely opciót választja, a rendszer automatikusan hozzáadja a Webex alkalmazáson belüli térhez, és ott kézbesítjük az értesítéseket.

6

Mentse a módosításokat.

Mi a következő lépés

A tanúsítvány lejárati figyelmeztetéseit 15 naponta egyszer küldjük el, 60 nappal a lejárat előtt. (A riasztások a 60., 45., 30. és 15. napon várhatók.) A riasztások a tanúsítvány megújításakor leállnak.

Ha problémába ütközik az SSO-bejelentkezéssel, az SSO önhelyreállítási opció segítségével hozzáférhet a Control Hubban kezelt Webex szervezetéhez. Az önhelyreállítási beállítás lehetővé teszi az SSO frissítését vagy letiltását a Control Hubban.