Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , quindi scorrere fino a Autenticazione , quindi attivare il Single Sign-On per avviare la procedura di installazione guidata.

Scegli il tipo di certificato per la tua organizzazione:

• Autofirmato da Cisco —Si consiglia questa scelta. Consente di firmare il certificato in modo che sia necessario rinnovarlo solo una volta ogni cinque anni.
• Firmato da un'autorità di certificazione pubblica —Più sicuro, ma dovrai aggiornare frequentemente i metadati (a meno che il fornitore IdP non supporti i trust anchor).

I trust anchor sono chiavi pubbliche che fungono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

Scarica il file dei metadati.

Dall'interfaccia di amministrazione BIG-IP F5, andare a Criteri di accesso > SAML > BIG-IP come IdP.

Dai connettori SP esterni, selezionare Crea > da metadati.

Immettere un nome significativo per il nome del provider di servizi, come <yourorganizationname>.ciscowebex.com.

In Impostazioni di sicurezza, selezionare le seguenti caselle di controllo:

• La risposta deve essere firmata
• Asserzione deve essere firmata

Torna a Criteri di accesso > SAML > BIG-IP come IdP, quindi creare un nuovo servizio provider identità (IdP).

Immettere un nome significativo per il nome del servizio IdP, come CI.

Per l'ID entità IdP, utilizzare il nome di dominio completo del server Big-IP con qualcosa davanti, ad esempio, https://bigip0a.uc8sevtlab13.com/CI.

In Impostazioni asserzione, selezionare Identificativo transitorio per Tipo di oggetto asserzione.

Per Valore oggetto asserzione, restituire il valore dell'e-mail dell'utente %{session.ad.last.attr.mail}.

Restituire gli attributi mail e uid con il valore %{session.ad.last.attr.mail}.

In Impostazioni di sicurezza, seleziona un certificato per firmare l'asserzione.

Salvare le modifiche, quindi associare il provider di servizi e il provider di identità creato.

Selezionare Esporta servizio IDP.

Assicurarsi che il valore Firma metadati sia Sì.

Scarica il file di metadati sul desktop o in una posizione facile da trovare.

Andare a Criteri di accesso > Profili di accesso > SAML e creare una risorsa SAML per l'IdP creato.

Andare al profilo di accesso e modificare i criteri di accesso utilizzati per WebEx Messenger CAS.

Aggiungere una nuova voce nella scheda Logon con il nome Logon Page e lasciare i valori predefiniti.

Aggiungere una nuova voce nella scheda Autenticazione con il nome Autenticazione AD e specificare Active Directory come server.

Sulla filiale riuscita, aggiungi AD Query dalla scheda Autenticazione

Vai a Regole filiale e l'hai modificata in Query AD è passata.

Nella filiale di AD Query eseguita correttamente, aggiungere Advanced Resource Assign dalla scheda Assignment (Assegnazione risorse avanzate).

Fare clic su Aggiungi/Elimina e aggiungere due risorse SAML con tutte le risorse SAML e il Webtop creato.

Per Seleziona fine, seleziona Consenti.

La policy di accesso dovrebbe apparire come questa schermata:

Vai a Traffico locale > Server virtuali.

Aprire i profili di accesso per confermare che nessun server virtuale è associato al profilo.

Selezionare Assegnazione risorsa avanzata.

Selezionare Aggiungi/Elimina per aggiungere la nuova risorsa SAML.

Chiudere le finestre di progettazione dei criteri di accesso e applicare i nuovi criteri di accesso.

Scegli un'opzione:

• Ritornare alla pagina di selezione del certificato Control Hub - nel browser, quindi fare clic su Avanti .
• Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione , quindi scegliere Azioni > Importa metadati .

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fai clic su Avanti.

È necessario utilizzare il file Più sicuro opzione, se possibile. Ciò è possibile solo se il provider di identità ha utilizzato un'Autorità di certificazione pubblica per firmare i metadati.

In tutti gli altri casi, è necessario utilizzare il file Meno sicuro opzione. Ciò include se i metadati non sono firmati, autofirmati o firmati da un'Autorità di certificazione privata.

Okta non firma i metadati, quindi devi scegliere Meno sicuro per un'integrazione Okta SSO .

Selezionare Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova. Un errore dell'app Webex solitamente indica un problema con l'impostazione SSO . In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questo passaggio consente di impedire i falsi positivi a causa di un token di accesso che potrebbe trovarsi in una sessione esistente dopo aver eseguito l'accesso.

Torna alla scheda del browser Control Hub.

• Se il test ha esito positivo, selezionare Test eseguito correttamente. Attiva SSO e fare clic Avanti .
• Se il test non ha esito positivo, selezionare Test non riuscito. Disattiva SSO e fare clic Avanti .

La configurazione SSO non ha effetto nell'organizzazione a meno che non si scelga Primo pulsante di opzione opzione e si attivi SSO.