Az egyszeri bejelentkezés (SSO) lehetővé teszi a felhasználók számára, hogy biztonságosan bejelentkezzenek a Webexbe a szervezet közös identitásszolgáltatójánál történő hitelesítéssel. Az identitásszolgáltató (IdP) biztonságosan tárolja és kezeli a felhasználók digitális identitását, és felhasználói hitelesítési szolgáltatást nyújt a Webex-felhasználók számára.

Miért lehet szüksége több IdP-re?

Sok nagyvállalat megy keresztül fúziókon és felvásárlásokon, és ezek a cégek ritkán rendelkeznek ugyanazzal az informatikai infrastruktúrával és identitásszolgáltatókkal. A kormányzati intézmények alá tartoznak különféle szervezetek és ügynökségek. Ezek a szervezetek gyakran egyetlen e-mail címmel rendelkeznek a saját informatikai részlegeikhez, illetve infrastruktúrájukhoz. A nagyobb oktatási intézményeknek központi beszerzési osztályuk van, de a különböző egyetemeknek és főiskoláknak eltérő informatikai szervezeteik és tanszékeik vannak.

Gyakori, hogy az IdP-k és a szolgáltatók (SP-k) összefonódnak egymással. Az IdP felelős a felhasználók hitelesítő adatainak hitelesítéséért, az SP pedig megbízik az IdP által végzett hitelesítésben. Ez lehetővé teszi a felhasználók számára, hogy ugyanazzal a digitális identitással hozzáférjenek a különféle SaaS-alkalmazásokhoz és -szolgáltatásokhoz. De ha valamilyen okból a szervezete nem tud összevonni az IdP-ket, akkor a Webex egy kerülő megoldást kínál több IdP támogatására. Ezen okok miatt lehetőséget adunk arra, hogy több IdP-hez is konfiguráljon egyszeri bejelentkezést a Webexben, és leegyszerűsítse a felhasználók hitelesítési folyamatát.

Korlátozások

  • Jelenleg csak a SAML, az OpenID Connect és a Webex Identity szolgáltatásait támogatjuk identitásszolgáltatóként.

Hatókörön kívül

  • Csoportos hozzárendelések konfigurálása.

Ez a szakasz bemutatja, hogyan integrálhatja identitásszolgáltatóit (IdP) Webex-szervezetével. Kiválaszthatja azokat az IdP-ket, amelyek a legjobban megfelelnek szervezete igényeinek.

Ha egy Webex Meetings webhely egyszeri bejelentkezéses integrációját szeretnéd megvalósítani (a webhelyfelügyelet alatt), akkor tekintsd meg a Egyszeri bejelentkezés konfigurálása a Webex adminisztrációhozcímű részt.

Előfeltételek

Mielőtt elkezdené

Győződjön meg arról, hogy a következő feltételek teljesülnek:

    • Teljes jogú rendszergazdai jogosultsággal kell rendelkeznie a Control Hubban.
    • Egy metaadatfájl a identitásszolgáltatótól, amelyet a Webexnek kell átadni, és egy másik metaadatfájl a Webextől, amelyet a identitásszolgáltatónak kell átadni. További információkért lásd: Egyszeri bejelentkezés integrációja a Control Hubban. Ez csak a SAML konfigurációra vonatkozik.
    • Több IdP beállítása előtt tervezze meg az útválasztási szabályok viselkedését.

    Az alapértelmezett útválasztási szabály a kezdeti IdP konfigurálása után lép életbe. De beállíthat egy másik IdP-t alapértelmezettként. Lásd a Útválasztási szabály hozzáadása vagy szerkesztése részt az Útválasztási szabályok lapon ebben a cikkben.

SAML konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre, és kattintson az Egyszeri bejelentkezés aktiválásagombra .

4

Válassza a SAML lehetőséget IdP-ként, majd kattintson a Továbbgombra.

5

Válassza ki a tanúsítvány típusát:

  • Cisco által aláírt— Ezt a lehetőséget ajánljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírva— Biztonságosabb, de gyakran frissíteni kell a metaadatokat (kivéve, ha az IdP-szolgáltató támogatja a bizalmi horgonyokat).

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

6

Kattintson a Metaadatok letöltése lehetőségre, majd a Következő gombra.

A Webex alkalmazás metaadat-fájljának neve idb-meta-<org-ID>-SP.xml.

7

Töltse fel az IdP-k metaadatfájlját, vagy töltse ki a konfigurációs űrlapot.

A metaadatfájl feltöltésekor kétféleképpen lehet érvényesíteni a metaadatokat az ügyfél azonosító szolgáltatójától (IdP):

  • Az ügyfél IdP egy nyilvános legfelső szintű hitelesítésszolgáltató által aláírt aláírást biztosít a metaadatokban.
  • Az ügyfél IdP saját aláírású privát hitelesítésszolgáltatót biztosít, vagy nem biztosít aláírást a metaadataihoz. Ez a lehetőség kevésbé biztonságos.
Egyéb esetben a konfigurációs űrlapon adja meg az IdP-információkat.

Kattintson a Tovább gombra.

8

(Választható) A Webex felhasználónév vagy az Elsődleges e-mail cím SAML attribútumának nevét uid -ről egy az IdP-kezelővel egyeztetett névre módosíthatja, például email, upnstb.

9

(Választható) Konfigurálja a Just In Time (JIT) beállításokat és a SAML leképezési választ.

Lásd a Just In Time (JIT) és SAML leképezés konfigurálása című részt a cikk IdP-k kezelése lapján.
10

Kattintson a SSO beállítás teszteléselehetőségre, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, akkor probléma lehet a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az egyszeri bejelentkezési folyamat megtekintéséhez javasoljuk, hogy kattintson a URL másolása a vágólapra gombra ezen a képernyőn, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

11

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson az Aktiválásgombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . A hibák kijavításához térjen vissza az előző lépésekhez.

Az SSO konfigurációja csak akkor lép életbe a szervezetében, ha kiválasztja az első választógombot, és aktiválja az SSO-t.

Mi a következő teendő

Beállíthat egy útválasztási szabályt. Lásd a Útválasztási szabály hozzáadása vagy szerkesztése részt az Útválasztási szabályok lapon ebben a cikkben.

A szervezetében új Webex App felhasználóknak küldött e-mailek letiltásához kövesse az Automatikus e-mailek letiltása című részben leírt eljárást. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

OpenID Connect konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre, és kattintson az Egyszeri bejelentkezés aktiválásagombra .

4

Válassza az OpenID Connect lehetőséget IdP-ként, majd kattintson a Továbbgombra.

5

Adja meg az IdP-adatait.

  • Név— Az IdP azonosító neve.
  • Ügyfél-azonosító— Az Ön és az Ön identitásszolgáltatójának azonosítására szolgáló egyedi azonosító.
  • Ügyféltitkos jelszó— Az Ön és az IdP-je által ismert jelszó.
  • Hatókörök— Az IdP-hez társítandó hatókörök.

6

Válassza ki a végpontok hozzáadásának módját. Ez automatikusan vagy manuálisan is elvégezhető.

  • A felderítési URL használatával automatikusan hozzáadhatók a végpontok.

    • Adja meg az IdP felderítési URL-címét. Ez az URL automatikusan kitölti a szükséges végpontokat az OIDC egyszeri kijelentkezéshez (SLO).
    • Kapcsolja be a lehetőséget, hogy a munkamenet automatikusan kijelentkezzen, így a felhasználók minden csatlakoztatott alkalmazásból és szolgáltatásból kijelentkeznek, amikor kijelentkeznek a Webexből.

  • Ha inkább manuálisan szeretné hozzáadni az összes végponti információt, akkor adja hozzá a következő adatokat.

    • Kibocsátó— Adja meg a kibocsátó URL-címét az IdP által megadott módon.
    • Engedélyezési végpont— Adja meg az engedélyezési végpont URL-címét.
    • Token végpont— Adja meg a token végpont URL-címét.
    • JWKS végpont— Adja meg a JSON webkulcskészlet (JWKS) URL-címét.
    • Felhasználói adatok végpontja— Adja meg a felhasználói adatok végpontjának URL-címét.
    • Ha a Munkamenet automatikus kijelentkezésének engedélyezése be van kapcsolva, akkor meg kell adnia a Munkamenet kijelentkezési végpontja URL-címét az egyszeri kijelentkezés (SLO) engedélyezéséhez az összes csatlakoztatott alkalmazásban.
    További információkért lásd az OpenID Connect konfigurációs útmutatót.

7

(Választható) Konfigurálja a Just In Time (JIT) beállításokat.

Lásd a Just In Time (JIT) és SAML leképezés konfigurálása című részt a cikk IdP-k kezelése lapján.
8

Kattintson a SSO beállítás teszteléselehetőségre, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, akkor probléma lehet a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az egyszeri bejelentkezési folyamat megtekintéséhez javasoljuk, hogy kattintson a URL másolása a vágólapra gombra ezen a képernyőn, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

9

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson az Aktiválásgombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . A hibák kijavításához térjen vissza az előző lépésekhez.

Az SSO konfigurációja csak akkor lép életbe a szervezetében, ha kiválasztja az első választógombot, és aktiválja az SSO-t.

Mi a következő teendő

Beállíthat egy útválasztási szabályt. Lásd a Útválasztási szabály hozzáadása vagy szerkesztése részt az Útválasztási szabályok lapon ebben a cikkben.

A szervezetében új Webex App felhasználóknak küldött e-mailek letiltásához kövesse az Automatikus e-mailek letiltása című részben leírt eljárást. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

Webex Identity konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre, és kattintson az Egyszeri bejelentkezés aktiválásagombra .

4

Válassza a Webex lehetőséget IdP-ként, majd kattintson a Továbbgombra.

5

Jelölje be a Elolvastam és megértettem a Webex IdP működését jelölőnégyzetet, majd kattintson a Továbbgombra.

6

Útválasztási szabály beállítása.

Lásd a Útválasztási szabály hozzáadása vagy szerkesztése részt az Útválasztási szabályok lapon ebben a cikkben.

Miután hozzáadott egy útválasztási szabályt, a rendszer hozzáadja az IdP-t, és az Identitásszolgáltató lapon jelenik meg.

Mi a következő lépés

A szervezetében új Webex App felhasználóknak küldött e-mailek letiltásához kövesse az Automatikus e-mailek letiltása című részben leírt eljárást. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

Az útválasztási szabályok egynél több IdP beállításakor érvényesek. Az útválasztási szabályok lehetővé teszik a Webex számára, hogy azonosítsa, melyik IdP-hez irányítsa a felhasználókat, ha több IdP-t konfigurált.

Egynél több IdP beállításakor az útválasztási szabályokat az SSO konfigurációs varázslóban adhatja meg. Ha kihagyja az útválasztási szabály lépését, akkor a Control Hub hozzáadja az IdP-t, de nem aktiválja az IdP-t. Az IdP aktiválásához hozzá kell adnia egy útválasztási szabályt.

Útválasztási szabályok hozzáadása vagy szerkesztése
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Útválasztási szabályok fülre.

Az első IdP konfigurálásakor az útválasztási szabály automatikusan hozzáadódik, és Alapértelmezett szabálykéntlesz beállítva. Később kiválaszthat egy másik IdP-t alapértelmezett szabályként.

4

Kattintson az Új útválasztási szabály hozzáadásagombra .

5

Adja meg az útvonalszabály részleteit:

  • Szabály neve— Adja meg az útválasztási szabály nevét.
  • Válasszon útválasztási típust— Válasszon tartományt vagy csoportot.
  • Ha ezek a te domains/groups—Írd be a domains/groups a szervezetén belül.
  • Ezután használja ezt az identitásszolgáltatót—Válassza ki az IdP-t.

6

Válassza ki a többtényezős hitelesítés (MFA) módszerét:

  • A jelenlegi MFA állapot megtartása— Lehetővé teszi a meglévő MFA-módszer megőrzését változtatások nélkül.
  • Az aktuális MFA állapot felülbírálása— Lehetővé teszi a meglévő MFA-módszer új konfigurációra módosítását.
  • Csak ehhez a szabályhoz engedélyezze az MFA-t— Kapcsolja be, ha kifejezetten az aktuális útválasztási szabályhoz szeretné engedélyezni az MFA-t.

A szervezet MFA-jának konfigurálásával kapcsolatos további információkért lásd: Többtényezős hitelesítés integrációjának engedélyezése a Control Hubban.

7

Kattintson a Hozzáadásgombra.

8

Válassza ki az új útválasztási szabályt, és kattintson az Aktiválásgombra.

Módosíthatja az útválasztási szabályok prioritási sorrendjét, ha több IdP-hez is rendelkezik útválasztási szabályokkal.

Útválasztási szabályok inaktiválása vagy törlése
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Útválasztási szabályok fülre.

4

Válassza ki az útválasztási szabályt.

5

Válassza ki, hogy Deaktiválja vagy Törölje az útválasztási szabályt.

Javasoljuk, hogy legyen egy másik aktív útválasztási szabály az IdP-hez. Ellenkező esetben problémákba ütközhet az egyszeri bejelentkezés során.

Az Alapértelmezett szabály nem deaktiválható vagy törölhető, de az irányított IdP módosítható.

Azonosítószolgáltatói (IdP) tanúsítványok kezelése

Mielőtt elkezdené

Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy az IdP-tanúsítvány lejár. Mivel az idP-szállítók saját dokumentációval rendelkeznek a tanúsítvány megújításához, lefedjük a Control Hubban szükségeseket,valamint a frissített IdP-metaadatok lekérésének általános lépéseit, és feltöltjük a Control Hubba a tanúsítvány megújításához.

Ez csak a SAML konfigurációra vonatkozik.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, kattintson feltölt a gombra, és válassza a Idp metaadatok feltöltéselehetőséget.

A metaadatfájl letöltéséhez kattintson Letöltés a gombra, és válassza a Idp metaadatok letöltéselehetőséget.
5

Keresse meg az IdP felügyeleti felületét az új metaadatfájl lekéréséhez.

6

Térjen vissza a Control Hub-ba, és húzza át az IdP metaadatfájlt a feltöltési területre, vagy kattintson a Fájl kiválasztása gombra a metaadatok feltöltéséhez.

7

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget attól függően, hogy az IdP metaadatai hogyan vannak aláírva, majd kattintson a Mentésgombra.

8

Konfigurálja a Just In Time (JIT) beállításokat és a SAML leképezési választ.

Lásd a Just In Time (JIT) és SAML leképezés konfigurálása című részt a cikk IdP-k kezelése lapján.
9

Kattintson a SSO beállítás teszteléselehetőségre, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés száraz futtatásként működik, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az egyszeri bejelentkezést.

Ha hitelesítési hibát kap, akkor probléma lehet a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az egyszeri bejelentkezési folyamat megtekintéséhez javasoljuk, hogy kattintson a URL másolása a vágólapra gombra ezen a képernyőn, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

10

Kattintson a Mentés lehetőségre.

Szolgáltatói (SP) tanúsítványok kezelése

Mielőtt elkezdené

Javasoljuk, hogy az SP-tanúsítvány megújításakor frissítse a szervezetében található összes identitásszolgáltatót.

Ez csak a SAML konfigurációra vonatkozik.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, és kattintson a gombra.

5

Kattintson a Tanúsítványok és lejárati dátum áttekintéselehetőségre.

Ez a Szolgáltatói (SP) tanúsítványok ablakba viszi.
6

Kattintson a Tanúsítvány megújításagombra.

7

Válassza ki a szervezetében használt IdP típusát:

  • Több tanúsítványt támogató IdP
  • Egyetlen tanúsítványt támogató IdP
8

Válassza ki a megújítás tanúsítványtípusát:

  • Cisco által aláírt— Ezt a lehetőséget ajánljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírva— Biztonságosabb, de gyakran frissíteni kell a metaadatokat (kivéve, ha az IdP-szolgáltató támogatja a bizalmi horgonyokat).

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

9

Kattintson a Metaadatok letöltése vagy a Tanúsítvány letöltése gombra a frissített metaadatfájl vagy tanúsítvány Webex felhőből történő letöltéséhez.

10

Navigáljon az IdP-kezelési felületére az új Webex metaadatfájl vagy tanúsítvány feltöltéséhez.

Ezt a lépést böngészőlapon, távoli asztali protokollon (RDP) vagy adott felhőszolgáltatói támogatáson keresztül teheti meg, attól függően, hogy az IdP beállítása és az, hogy Ön vagy egy külön IdP-rendszergazda felelős-e ezért a lépésért.

További információkért tekintse meg az SSO integrációs útmutatóinkat, vagy forduljon az IdP-adminisztrátorhoz segítségért. Ha az Active Directory Federation Services (AD FS) szolgáltatást használja, itt tekintheti meg: hogyan frissítheti a Webex metaadatait az AD FS-ben

11

Térjen vissza a Control Hub felületére, és kattintson a Továbbgombra.

12

Válassza a Az összes IdP frissítése sikeresen megtörtént lehetőséget, majd kattintson a Továbbgombra.

Ez feltölti az SP metaadatfájlt vagy tanúsítványt a szervezet összes IdP-jére.

13

Kattintson a Megújítás befejezésegombra.

SSO-beállításának tesztelése

Mielőtt elkezdené

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, és kattintson Továbbiak menüa gombra.

5

Válassza a IdP teszteléselehetőséget.

6

Kattintson a SSO beállítás teszteléselehetőségre, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

Ha hitelesítési hibát kap, akkor probléma lehet a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Az egyszeri bejelentkezési folyamat megtekintéséhez javasoljuk, hogy kattintson a URL másolása a vágólapra gombra ezen a képernyőn, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

7

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Aktiválja az SSO-t és az IdP-t, majd kattintson a Mentésgombra.
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . A hibák kijavításához térjen vissza az előző lépésekhez.

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Just In Time (JIT) és SAML leképezés konfigurálása

Mielőtt elkezdené

Győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  • Az SSO már konfigurálva van.

  • A domainek már ellenőrizve lettek.

  • A domaineket igényelték és bekapcsolták. Ez a funkció biztosítja, hogy a domainjéből származó felhasználók minden alkalommal egyszer létrejöjjenek és frissüljenek, amikor hitelesítik magukat az IdP-vel.

  • Ha a DirSync vagy az Azure AD engedélyezve van, akkor a SAML JIT létrehozása vagy frissítése nem fog működni.

  • A "Felhasználói profil frissítésének blokkolása" engedélyezve van. Az SAML frissítési leképezése azért engedélyezett, mert ez a konfiguráció szabályozza a felhasználó azon képességét, hogy szerkessze az attribútumokat. A rendszergazda által vezérelt létrehozási és frissítési módszerek továbbra is támogatottak.

Amikor SAML JIT-et állít be Azure AD-vel vagy olyan IdP-vel, ahol az e-mail-cím nem állandó azonosító, javasoljuk, hogy a externalId linking attribútum használatát használja egy egyedi azonosítóhoz való leképezéshez. Ha azt tapasztaljuk, hogy az e-mail cím nem egyezik meg a linking attribútummal, a felhasználót felkérjük, hogy igazolja személyazonosságát, vagy hozzon létre egy új felhasználót a helyes e-mail címmel.

Az újonnan létrehozott felhasználók csak akkor kapnak automatikusan hozzárendelt licenceket, ha a szervezet rendelkezik automatikus licencsablonnal .

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, és kattintson Továbbiak menüa gombra.

5

Válassza a SAML-leképezés szerkesztéselehetőséget.

6

Konfigurálja a Just-in-Time (JIT) beállításokat.

  • Felhasználó létrehozása vagy aktiválása: Ha nem található aktív felhasználó, akkor a Webex Identity létrehozza a felhasználót, és frissíti az attribútumokat, miután a felhasználó hitelesítette magát az IdP-vel.
  • Frissítse a felhasználót SAML attribútumokkal: Ha talál egy e-mail címmel rendelkező felhasználót, akkor a Webex Identity frissíti a felhasználót az SAML helyességi feltételben leképezett attribútumokkal.
Győződjön meg arról, hogy a felhasználók be tudnak jelentkezni egy másik, azonosíthatatlan e-mail címmel.

7

Konfigurálja a SAML leképezéshez szükséges attribútumokat.

1. táblázat. Kötelező attribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

Felhasználónév / Elsődleges e-mail cím

Példa: uid

Az UID-attribútumok megfeleltetése a jogosultságot szerzett felhasználó e-mailjének, upn-jének vagy edupersonprincipalname-jének.

8

Konfigurálja a csatolási attribútumokat.

Ennek egyedinek kell lennie a felhasználó számára. Felhasználó keresésére szolgál, hogy a Webex frissíthesse az összes profilattribútumot, beleértve a felhasználó e-mail címét is.
2. táblázat Attribútumok összekapcsolása

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

alkalmazottak száma

Példa: user.employeeid fájl

A felhasználó alkalmazotti száma, vagy egy azonosítószám a HR-rendszerén belül. Megjegyzendő, hogy ez nem externalida számára készült, mert employeenumber a []-t más felhasználók számára újra felhasználhatja vagy újrahasznosíthatja.

1. bővítményattribútum

Példa: user.extensionattribute1

Rendelje le ezeket az egyéni attribútumokat az Active Directory, az Azure vagy a saját címtárának kiterjesztett attribútumaihoz a nyomkövetési kódok érdekében.

2. bővítményattribútum

Példa: user.extensionattribute2

3. bővítményattribútum

Példa: user.extensionattribute3

4. bővítményattribútum

Példa: user.extensionlattribute4

5. bővítményattribútum

Példa: user.extensionattribute5

9

Konfigurálja a Profilattribútumokat.

3. táblázat. Profilattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

alkalmazottak száma

Példa: user.employeeid fájl

Ennek a felhasználónak az alkalmazotti száma, vagy egy azonosító szám a HR-rendszeren belül. Vegye figyelembe, hogy ez nem az "externalid" -re vonatkozik, mert újra felhasználhatja vagy újrahasznosíthatja az "employeenumber" -t más felhasználók számára.

preferáltNyelv

Példa: user.preferredlanguage

A felhasználó által előnyben részesített nyelv.

színhely

Példa: user.locale

A felhasználó elsődleges munkavégzési helye.

időzóna

Példa: user.timezone

A felhasználó elsődleges időzónája.

displayName

Példa: user.displayname

A felhasználó megjelenített neve a Webex-ben.

name.givenName

Példa: user.givenname név

A felhasználó keresztneve.

name.familyName

Példa: user.vezetéknév

A felhasználó vezetékneve.

címek.streetAddress

Példa: user.streetaddress

Az elsődleges munkavégzési hely címe, utca, házszám.

címek.állam

Példa: user.state

Az elsődleges munkahelyük állapota.

címek.régió

Példa: user.region

Az elsődleges munkavégzési hely régiója.

addresses.irányítószám

Példa: user.irányítószám

Az elsődleges munkavégzési hely irányítószáma.

címek.ország

Példa: user.country

Az elsődleges munkavégzési hely országa.

phoneNumbers.work

Példa: munkahelyi telefonszám

Az elsődleges munkavégzési hely munkahelyi telefonszáma. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

phoneNumbers.extension (angolul)

Példa: mobiltelefonok száma

Az elsődleges munkahelyi telefonszám munkahelyi melléke. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

névmás

Példa: user.névmás

A felhasználó névmásai. Ez egy nem kötelező attribútum, és a felhasználó vagy a rendszergazda láthatóvá teheti a profiljában.

munkakör

Példa: user.jobtitle

A felhasználó munkaköre.

részleg

Példa: user.department

A felhasználó munkahelyi részlege vagy csapata.

névmás

Példa: user.névmás

Ez a felhasználó névmása. Ennek az attribútumnak a láthatóságát az Admin és a felhasználó szabályozza

vezető

Példa: vezető

A felhasználó menedzsere vagy a csapat vezetője.

költségcentrum

Példa: költséghely

Ez a felhasználó vezetékneve, más néven vezetéknév vagy családnév

e-mail.alternate1 címen érhető el.

Példa: user.mailnickname

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate2 címen érhető el.

Példa: user.primaryauthoritativemail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate3

Példa: user.alternativeauthoritativemail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate4 címen érhető el.

Példa: user.othermail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.

e-mail.alternate5 címen érhető el.

Példa: user.othermail

A felhasználó alternatív e-mail-címe. Ha azt szeretné, hogy a felhasználó be tudjon jelentkezni vele, képezze le az uid-ra.
10

Konfigurálja a Bővítményattribútumokat.

Leképezze ezeket az attribútumokat a active directory, az Azure-ban vagy a címtárban található kiterjesztett attribútumokra a követőkódok számára.
4. táblázat. Bővítményattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

1. bővítményattribútum

Példa: user.extensionattribute1

2. bővítményattribútum

Példa: user.extensionattribute2

3. bővítményattribútum

Példa: user.extensionattribute3

4. bővítményattribútum

Példa: user.extensionattribute4

5. bővítményattribútum

Példa: user.extensionattribute5

6. bővítményattribútum

Példa: user.extensionattribute6

7. bővítményattribútum

Példa: user.extensionattribute7

8. bővítményattribútum

Példa: user.extensionattribute8

9. bővítményattribútum

Példa: user.extensionattribute9

10.10. bővítményattribútum

Példa: user.extensionattribute10

11

Konfigurálja a Csoport attribútumait.

  1. Hozzon létre egy csoportot a Control Hubban, és jegyezze fel a Webex csoport azonosítóját.
  2. Lépjen a felhasználói könyvtárába vagy az IdP-jébe, és állítson be egy attribútumot azoknak a felhasználóknak, akiket a Webex csoportazonosítóhoz rendel.
  3. Frissítse az IdP konfigurációját, hogy tartalmazzon egy olyan jogcímet, amely ezt az attribútumnevet és a Webex csoport azonosítóját is tartalmazza (pl. c65f7d85-b691-42b8-a20b-12345xxxx). A külső azonosítót a csoportnevek módosításainak kezelésére vagy a jövőbeli integrációs forgatókönyvekhez is használhatja. Például szinkronizálás az Azure AD-vel vagy SCIM-csoportok szinkronizálásának megvalósítása.
  4. Adja meg az SAML-állításban a csoportazonosítóval együtt elküldendő attribútum pontos nevét. Ez a felhasználó csoporthoz való hozzáadására szolgál.
  5. Adja meg a csoportobjektum külső azonosítójának pontos nevét, ha a címtárból származó csoportot használ a tagok küldéséhez az SAML-állításban.

Ha az A felhasználó groupID a 1234-es, a B felhasználó pedig groupID a 4567-es címhez van társítva, akkor külön csoportokba vannak sorolva. Ez a forgatókönyv azt jelzi, hogy egyetlen attribútum lehetővé teszi a felhasználók számára, hogy több csoportazonosítóhoz is társítsák őket. Bár ez nem gyakori, lehetséges, és additív változásnak tekinthető. Például, ha az A felhasználó kezdetben groupID a 1234 címmel jelentkezik be, akkor a megfelelő csoport tagjává válik. Ha az „A” felhasználó később groupID a 4567-es azonosítóval jelentkezik be, akkor őt is hozzáadják ehhez a második csoporthoz.

A SAML JIT kiépítése nem támogatja a felhasználók csoportokból való eltávolítását vagy a felhasználók törlését.

5. táblázat. Csoportattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

csoportazonosító

Példa: csoportazonosító

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

csoportkülső azonosító

Példa: csoportkülső azonosító

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

A Webex-értekezletek SAML helyességifeltétel-attribútumainak listáját lásd: https://help.webex.com/article/WBX67566.

Az identitásszolgáltató (IdP) törlése

Mielőtt elkezdené

Javasoljuk, hogy először inaktiválja vagy törölje az IdP útválasztási szabályait, mielőtt törölné az IdP-t.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, és kattintson Továbbiak menüa gombra.

5

Válassza a Törléslehetőséget.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Kattintson a SSO deaktiválásalehetőségre.

Erősítse meg az SSO deaktiválását.

A megerősítést követően az SSO inaktiválódik a szervezet összes IdP-je számára.

A tanúsítványok lejárta előtt riasztásokat fog kapni a Control Hubban, de proaktívan is beállíthatja a riasztási szabályokat. Ezek a szabályok előzetesen tudatják Ön számára, hogy az SP- vagy idP-tanúsítványok lejárnak. Ezeket e-mailben, a Webex alkalmazásban szóközön vagy mindkettőn keresztül küldhetjükel Önnek.

A konfigurált kézbesítési csatornától függetlenül az összes riasztás mindig megjelenik a Control Hubterületen. További információért lásd a Riasztások központot a Control Hubban.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Riasztási központba.

3

Válassza a Manage then All rules parancsot.

4

A Szabályok listában válassza ki a létrehozni kívánt egyszeri bejelentkezés szabályait:

  • SSO IDP tanúsítvány lejárata
  • SSO SP tanúsítvány lejárata
5

A Kézbesítési csatorna szakaszban jelölje be az E-mail, Webex területvagy mindkettő jelölőnégyzetet.

Ha az E-mail lehetőséget választja, adja meg azt az e-mail-címet, amely megkapja az értesítést.

Ha a Webex hely opciót választja, a rendszer automatikusan hozzáadja a Webex alkalmazáson belüli térhez, és ott kézbesítjük az értesítéseket.

6

Mentse a módosításokat.

Mi a következő lépés

A tanúsítvány lejárati figyelmeztetéseit 15 naponta egyszer küldjük el, 60 nappal a lejárat előtt. (A 60., 45., 30. és 15. napon várhatóak riasztások.) A riasztások a tanúsítvány megújításakor leállnak.