Een single sign-on en Control Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het Security Assertion Markup Language (SAML 2.0)-federatieprotocol wordt gebruikt voor SSO-verificatie tussen de Webex-cloud en uw identiteitsprovider (IdP).

Profielen

De Webex-app ondersteunt alleen de webbrowser SSO profiel. In het profiel van de SSO webbrowser ondersteunt de Webex-app de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling naam-ID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. De Webex-app ondersteunt de volgende NameID-indelingen.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u vanuit uw IdP laadt, wordt de eerste invoer geconfigureerd voor gebruik in Webex.

Control Hub integreren met Okta

De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen zoals urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress werken voor SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Webex-organisatie ( inclusief Webex-app , Webex Meetingsen andere services die in Control Hub worden beheerd). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en deze niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie doen om toegang SSO voor gebruikers Webex Meetings. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

Voordat u begint

  • Voor SSO en Control Hub moeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manier worden geconfigureerd:

  • Webex ondersteunt alleen door de serviceprovider (SP) geïnitieerde stromen. Dit betekent dat gebruikers hun sessies moeten starten vanaf de Webex-site. Dit zorgt ervoor dat de verificatie correct via het Webex-platform wordt gerouteerd.

Download de Webex-metagegevens naar uw lokale systeem

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > -organisatie-instellingen , scrol vervolgens naar Verificatie en schakel in met de instelling Voor eenmalig aanmelden om de installatiewizard te starten.

2

Kies het certificaattype voor uw organisatie:

  • Zelfondertekend door Cisco: we raden deze keuze aan. Laat ons het certificaat ondertekenen zodat u het slechts eens per vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie: dit is veiliger, maar u moet de metagegevens vaak bijwerken (tenzij uw IdP-leverancier vertrouwensankers ondersteunt).

Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

3

Download het bestand met metagegevens.

De bestandsnaam van de Webex-metagegevens is idb-meta-<org-ID>-SP.xml.

Okta configureren voor Webex-services

Wanneer u de Cisco Webex -toepassing instelt in de Okta-beheerportal, configureert u het standaardtoepassingspictogram zo dat het verborgen blijft. Ga hiervoor naar App-instellingen > Toepassingszichtbaarheid en schakel het selectievakje Toepassingspictogram niet weergeven voor gebruikers en Toepassingspictogram niet weergeven in de mobiele Okta-app in.

1

Meld u als beheerder aan bij de Okta-tenant (example.okta.com, waar example is de naam van uw bedrijf of organisatie), ga naar Toepassingen en klik vervolgens op Toepassing toevoegen.

2

Zoek naar Cisco Webex en voeg de toepassing toe aan uw tenant.

3

Klik op Volgende en vervolgens op SAML 2.0.

4

Open in uw browser het metagegevensbestand dat u hebt gedownload van Control Hub. Kopieer de URL's voor de entityID (aan de bovenkant van het bestand) en de locatie van de assertionConsumerService (onder aan het bestand).

Voorbeeld van gemarkeerde entiteit in metagegevensbestand voor Control hub

Voorbeeld van een gemarkeerde assertionConsumerService locatie in het metagegevensbestand voor Control hub

5

Blader op het tabblad Cisco WebEx in Okta naar Geavanceerde instellingenen plak vervolgens de entiteits-id en Assertieverbruiksservice waarden die u hebt gekopieerd uit het metagegevensbestand van de Control hub en sla de wijzigingen vervolgens op.

6

Klik op Aanmelden en download het metagegevensbestand van Okta. U importeert dit bestand weer in uw Control Hub-exemplaar.

Als u gebruikers toegang wilt geven tot hun specifieke Webex-site, kunt u een aangepaste toepassing maken in Okta. Stel een webkoppeling in die gebruikers omleidt naar de URL van hun unieke Webex-site. Zorg ervoor dat u de instellingen voor toepassingszichtbaarheid in Okta aanpast zodat dit aangepaste toepassingspictogram zichtbaar is voor gebruikers.
7

Klik op toewijzingen, kies alle gebruikers en relevante groepen die u wilt koppelen aan apps en services die worden beheerd in Control hub, op toewijzen en vervolgens op gereed.

U kunt een gebruiker of een groep toewijzen. Sla deze stap niet over. anders werken uw Control hub en Okta-integratie niet meer.

Importeer de IdP-metagegevens en schakel eenmalige aanmelding na een test in

Nadat u de Webex-metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens naar uw lokale systeem hebt gedownload, bent u klaar om deze vanuit Control Hub in uw Webex-organisatie te importeren.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door serviceprovider geïnitieerde overdrachts stromen, dus u moet de Control hub gebruiken SSO test voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Control Hub - certificaatselectie in uw browser en klik op Volgende.
  • Als Control Hub niet meer op het browsertabblad is geopend, gaat u vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, bladert u naar Verificatie en kiest u Acties > Metagegevens importeren.
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Gebruik de optie Veiliger , als dat mogelijk is. Dit is alleen mogelijk als uw IdP een openbare ca heeft gebruikt om de metagegevens te ondertekenen.

In alle andere gevallen moet u de optie Minder veilig gebruiken. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfonder ondertekend of zijn ondertekend door een privé-CA.

Okta ondertekent de metagegevens niet. Daarom moet u Minder veilig kiezen voor een Okta SSO integratie.

3

Selecteer SSO-instelling testen en als er een nieuw browsertabblad wordt geopend, verifieert u zich met de identiteitsprovider door u aan te melden.

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider.

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Deze stap stopt met false positives vanwege een toegangs token die mogelijk in een bestaande sessie is van uw aangemelde.

4

Keer terug naar het Control Hub-browsertabblad.

  • Als de test is geslaagd, selecteert u Succesvolle test. Schakel de SSO en klik op Volgende.
  • Selecteer Mislukte test als de test is mislukt. Schakel de SSO en klik op Volgende.

De SSO configuratie wordt niet van kracht in uw organisatie, tenzij u eerst keuzerondje activeren en activeren SSO.

De volgende stap

Gebruik de procedures in Okta-gebruikers synchroniseren Cisco Webex Control Hub als u gebruikers provisioning uit Okta in de Webex-cloud wilt uitvoeren.

Gebruik de procedures in Azure Active Directory synchroniseren in Cisco Webex Control Hub als u gebruikers provisioning uit Azure AD wilt uitvoeren in de Webex-cloud.

U kunt de procedure volgen in Geautomatiseerde e-mails onderdrukken om e-mails uit te schakelen die naar nieuwe gebruikers van de Webex-app in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.