SSO consente agli utenti di utilizzare un singolo set di credenziali comune per le applicazioni dell'app Webex e altre applicazioni nell'organizzazione. Webex consente di impostare SSO per più provider di identità (IdP) nell'organizzazione per l'autenticazione utente. È inoltre possibile creare regole di instradamento per configurare l'autenticazione per vari domini o gruppi di utenti.
Il Single Sign-On (SSO) consente agli utenti di accedere a Webex in modo sicuro eseguendo l'autenticazione presso il provider di identità comune della propria organizzazione. Un provider identità (IdP) memorizza in modo sicuro e gestisce le identità digitali degli utenti e fornisce il servizio di autenticazione utente per gli utenti Webex .
Perché potrebbero essere necessari più IdP
Molte grandi società sono oggetto di fusioni e acquisizioni e queste società raramente dispongono della stessa infrastruttura IT e provider di identità. Le istituzioni governative hanno diverse organizzazioni e agenzie. Spesso, queste organizzazioni dispongono di un unico indirizzo e-mail rispettivamente per i reparti e l'infrastruttura IT. I principali istituti di istruzione hanno un reparto centrale acquisti, ma diverse università e college con diverse organizzazioni e reparti IT.
È comune vedere IdP e provider di servizi (SP) federati tra loro. L'IdP è responsabile dell'autenticazione delle credenziali degli utenti e l'SP considera attendibile l'autenticazione effettuata dall'IdP. Ciò consente agli utenti di accedere a varie applicazioni e servizi SaaS utilizzando la stessa identità digitale. Tuttavia, se per qualche motivo l'organizzazione non è in grado di eseguire la federazione tra gli IdP, Webex fornisce una soluzione alternativa per supportare più IdP. Per questi motivi, ti offriamo la possibilità di configurare SSO per più IdP in Webex e semplificare il processo di autenticazione degli utenti.
Limiti
- Questa funzione è disponibile solo se è stato acquistato Webex Extended Security Pack.
- È necessario eseguire il provisioning di tutti gli utenti con Connettore directory se utilizzi il Connettore directory nella tua organizzazione. Fare riferimento a Guida alla distribuzione del connettore di rubrica per ulteriori informazioni.
- Attualmente sono supportati solo SAML, OpenID Connect e Webex Identity come provider di identità.
Fuori dall'ambito
- Configurare le assegnazioni di gruppo.
- Verifica dominio. Fare riferimento a Gestisci i tuoi domini per ulteriori informazioni.
- Provisioning utente. Fare riferimento a Modi per aggiungere utenti all'organizzazione Control Hub per ulteriori informazioni.
Questa sezione descrive come integrare i provider di identità (IdP) con l'organizzazione Webex . È possibile scegliere gli IdP più adatti ai requisiti della propria organizzazione.
Se si sta cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), fare riferimento a Configurare il Single Sign-On per Webex Administration .
Operazioni preliminari
Assicurarsi che siano soddisfatte le seguenti condizioni:
- È necessario disporre di Webex Extended Security Pack per configurare SSO con più IdP in Control Hub.
- È necessario disporre di un ruolo di amministratore completo in Control Hub.
- Un file di metadati dall'IdP per fornire a Webex e un file di metadati da Webex, per fornire all'IdP. Per ulteriori informazioni, fare riferimento a Integrazione Single Sign-On in Control Hub . Ciò è applicabile solo alla configurazione SAML .
- È necessario pianificare il funzionamento delle regole di instradamento prima di impostare più IdP.
La regola di instradamento predefinita viene applicata dopo aver configurato l'IdP iniziale. Tuttavia, è possibile impostare un altro IdP come predefinito. Fare riferimento a Aggiungere o modificare la regola di inoltro nella scheda Regole di indirizzamento in questo articolo. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Attiva SSO per avviare la procedura di installazione guidata di configurazione. | ||||
2 | Selezionare SAML come IdP e fare clic Avanti . | ||||
3 | Scegli il tipo di certificato:
| ||||
4 | Fai clic su Scarica metadati e fai clic su Avanti. Il nome del file di metadati Webex è idb-meta- -SP.xml .<org-ID> | ||||
5 | Caricare il file di metadati IdPs o compilare il modulo di configurazione. Quando si carica il file di metadati, esistono due modi per convalidare i metadati dall'IdP cliente:
Fai clic su Avanti. | ||||
6 | (Opzionale) Configurare le impostazioni Just In Time (JIT) e la risposta di mappatura SAML . Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
| ||||
7 | Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.
| ||||
8 | Torna alla scheda del browser Control Hub.
|
Operazioni successive
È possibile impostare una regola di inoltro. Fare riferimento a Aggiungere o modificare la regola di inoltro nella scheda Regole di indirizzamento in questo articolo.
È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Attiva SSO per avviare la procedura di installazione guidata di configurazione. | ||||
2 | Selezionare OpenID Connect come IdP e fare clic Avanti . | ||||
3 | Inserire le informazioni IdP.
| ||||
4 | Scegliere come aggiungere gli endpoint. Questa operazione può essere eseguita automaticamente o manualmente.
| ||||
5 | (Opzionale) Configurare le impostazioni Just In Time (JIT). Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
| ||||
6 | Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.
| ||||
7 | Torna alla scheda del browser Control Hub.
|
Operazioni successive
È possibile impostare una regola di inoltro. Fare riferimento a Aggiungere o modificare la regola di inoltro nella scheda Regole di indirizzamento in questo articolo.
È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Attiva SSO per avviare la procedura di installazione guidata di configurazione. |
2 | Selezionare Webex come IdP e fare clic Avanti . |
3 | Controllare Ho letto e compreso come funziona Webex IdP e fare clic Avanti . |
4 | Impostare una regola di inoltro. Fare riferimento a Aggiungere o modificare la regola di inoltro nella scheda Regole di indirizzamento in questo articolo. |
Una volta aggiunta una regola di instradamento, il tuo IdP viene aggiunto e visualizzato sotto il file Provider di identità scheda.
Operazioni successive
È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.
Le regole di indirizzamento sono applicabili quando si impostano più di un IdP. Le regole di indirizzamento consentono a Webex di identificare il IdP a cui inviare gli utenti quando sono stati configurati più IdP.
Quando si configurano più di un IdP, è possibile definire le regole di instradamento nella configurazione guidata SSO . Se si ignora il passaggio della regola di instradamento, Control Hub aggiunge l'IdP ma non attiva l'IdP. È necessario aggiungere una regola di instradamento per attivare l'IdP.
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . | ||
2 | Andare a Regole di indirizzamento scheda.
| ||
3 | Fare clic su Aggiungere una nuova regola di inoltro . | ||
4 | Inserire i dettagli per una nuova regola:
| ||
5 | Fare clic su Aggiungi. | ||
6 | Selezionare la nuova regola di inoltro e fare clic Attiva . |
Se si dispone di regole di instradamento per più IdP, è possibile modificare l'ordine di priorità della regola di instradamento. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Regole di indirizzamento scheda. |
3 | Selezionare la regola di inoltro. |
4 | Scegli se desideri Disattiva o Elimina la regola di inoltro. È consigliabile disporre di un'altra regola di instradamento attiva per l'IdP. In caso contrario, si potrebbero riscontrare problemi con l'accesso SSO . |
Il Regola predefinita non può essere disattivato o eliminato, ma è possibile modificare l'IdP indirizzato. |
Operazioni preliminari
Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP sta per scadere. Poiché i fornitori IdP dispongono della documentazione specifica per il rinnovo del certificato, viene descritto ciò che è richiesto in Control Hub, insieme a passaggi generici per recuperare i metadati IdP aggiornati e caricarli in Control Hub per rinnovare il certificato. Ciò è applicabile solo alla configurazione SAML . |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . | ||||
2 | Andare a Provider di identità scheda. | ||||
3 | Andare a IdP, fare clic Per scaricare il file di metadati, fare clic su
![]() | ||||
4 | Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati. | ||||
5 | Torna a Control Hub e trascina e rilascia il file di metadati IdP nell'area di caricamento o fai clic su Scegliere un file per caricare i metadati. | ||||
6 | Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda di come i metadati IdP sono firmati e fanno clic Salva . | ||||
7 | Configurare le impostazioni Just In Time (JIT) e la risposta di mappatura SAML . Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
| ||||
8 | Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.
| ||||
9 | Fai clic su Salva. |
Operazioni preliminari
Si consiglia di aggiornare tutti gli IdP nell'organizzazione quando si rinnova il certificato SP. Ciò è applicabile solo alla configurazione SAML . |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . | ||
2 | Andare a Provider di identità scheda. | ||
3 | Andare a IdP e fare clic | ||
4 | Fare clic su Rivedere i certificati e la data di scadenza . Viene visualizzato il file Certificati di provider di servizi (SP). finestra.
| ||
5 | Fare clic su Rinnova certificato . | ||
6 | Scegli il tipo di IdP nella tua organizzazione:
| ||
7 | Scegli il tipo di certificato per il rinnovo:
| ||
8 | Fare clic su Scarica metadati o Scarica certificato per scaricare una copia del file di metadati o del certificato aggiornato dal cloud Webex . | ||
9 | Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati o certificato Webex . Questo passaggio può essere eseguito tramite una scheda del browser, un protocollo desktop remoto (RDP) o un supporto di provider cloud specifico, a seconda dell'impostazione IdP e se l'utente o un amministratore IdP separato è responsabile di questo passaggio. Per ulteriori informazioni, vedi le nostre guide all'integrazione SSO o contatta l'amministratore IdP per supporto. Se utilizzi Active Directory Federation Services (AD FS), puoi vedere come aggiornare i metadati Webex in AD FS | ||
10 | Tornare all'interfaccia di Control Hub e fare clic Avanti . | ||
11 | Selezionare Tutti gli IdP aggiornati correttamente e fare clic Avanti . Il file di metadati SP o il certificato vengono caricati su tutti gli IdP dell'organizzazione. | ||
12 | Fare clic su Terminare il rinnovo . |
Operazioni preliminari
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . | ||||
2 | Andare a Provider di identità scheda. | ||||
3 | Andare a IdP e fare clic | ||||
4 | Selezionare IdP di prova . | ||||
5 | Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.
| ||||
6 | Torna alla scheda del browser Control Hub.
|
Operazioni preliminari
Assicurarsi che siano soddisfatte le seguenti condizioni preliminari:
SSO già configurato.
I domini sono già stati verificati.
I domini vengono richiesti e attivati. Questa funzione garantisce che gli utenti del dominio vengano creati e aggiornati una volta ogni volta che eseguono l'autenticazione con l'IDP.
Se sono abilitati DirSync o AzureAD, la creazione o l'aggiornamento di SAML JIT non funzionerà.
"Blocca aggiornamento profilo utente" è abilitato. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità dell'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati dall'amministratore sono ancora supportati.
Gli utenti creati non riceveranno automaticamente le licenze a meno che l'organizzazione non disponga di un account modello di licenza automatica impostare. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Andare a IdP e fare clic |
4 | Selezionare Modifica mappatura SAML . |
5 | Configura Impostazioni just-in-time (JIT). . |
6 | Configura Mappatura SAML . |
Operazioni preliminari
È consigliabile disattivare o eliminare le regole di instradamento dell'IdP prima di eliminare l'IdP. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Andare a IdP e fare clic |
4 | Selezionare Elimina. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Fare clic su Disattiva SSO . Confermare la disattivazione SSO . |
Una volta confermato, SSO viene disattivato per tutti gli IdP nell'organizzazione.
Si riceverà un avviso in Control Hub prima dell'impostazione della scadenza dei certificati, ma è anche possibile impostare proattivamente regole di avviso. Queste regole consentono di sapere in anticipo che i certificati SP o IdP stanno per scadere. Possiamo inviarti questi dati tramite e-mail, uno spazio nell'app Webex o entrambi.
Indipendentemente dal canale di recapito configurato, tutti gli avvisi verranno sempre visualizzati in Control Hub. Vedere Centro avvisi in Control Hub per ulteriori informazioni. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a Centro avvisi . | ||
2 | Scegliere Gestisci quindi Tutte le regole . | ||
3 | Dall'elenco Regole, scegliere una delle regole SSO che si desidera creare:
| ||
4 | Nella sezione Canale di recapito, selezionare la casella per e-mail , Spazio Webex , o entrambi. Se scegli e-mail, inserisci l' indirizzo e-mail che deve ricevere la notifica.
| ||
5 | Salva le modifiche. |
Operazioni successive
Inviamo avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (È possibile ricevere avvisi i giorni 60, 45, 30 e 15). Gli avvisi si interrompono quando si rinnova il certificato.
In caso di problemi con l'accesso SSO , è possibile utilizzare il file Opzione di ripristino automatico SSO per ottenere accesso all'organizzazione Webex gestita in Control Hub. L'opzione di ripristino automatico consente di aggiornare o disabilitare SSO in Control Hub.