- Start
- /
- Artikel
Hartelijk dank voor uw feedback
Configureer eenmalige aanmelding in Control Hub met F5 Big-IP
In dit artikel
Feedback?U kunt een integratie eenmalige aanmelding (SSO) configureren tussen Control Hub en een implementatie die F5 Big-IP als identiteitsprovider (IdP) gebruikt.
Een single sign-on en Control Hub
Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.
Het Security Assertion Markup Language (SAML 2.0)-federatieprotocol wordt gebruikt voor SSO-verificatie tussen de Webex-cloud en uw identiteitsprovider (IdP).
Profielen
De Webex-app ondersteunt alleen de webbrowser SSO profiel. In het profiel van de SSO webbrowser ondersteunt de Webex-app de volgende bindingen:
-
SP-gestarte POST -> POST-binding
-
SP-gestarte OMLEIDING -> POST-binding
Indeling naam-ID
Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. De Webex-app ondersteunt de volgende NameID-indelingen.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
In de metagegevens die u vanuit uw IdP laadt, wordt de eerste invoer geconfigureerd voor gebruik in Webex.
Eenmalige afmelding
De Webex-app ondersteunt het profiel van een enkele aanmelding. In de Webex-appkan een gebruiker zich afloggen bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalig aanmelden om de sessie te beëindigen en om het af te melden met uw IdP. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.
Control Hub integreren met F5 Big-IP
De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.
Stel deze integratie in voor gebruikers in uw Webex-organisatie ( inclusief Webex-app , Webex Meetingsen andere services die in Control Hub worden beheerd). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en deze niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie doen om toegang SSO voor gebruikers Webex Meetings. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)
Voordat u begint
Voor SSO en Control Hub moeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manier worden geconfigureerd:
Download de Webex-metagegevens naar uw lokale systeem
| 1 |
Ga vanuit de klantweergave in https://admin.webex.com-organisatie-instellingen , scrol vervolgens naar Verificatie en schakel in met de instelling Voor eenmalig aanmelden om de installatiewizard te starten. |
| 2 |
Kies het certificaattype voor uw organisatie:
Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie. |
| 3 |
Download het bestand met metagegevens. De bestandsnaam van de Webex-metagegevens is idb-meta--SP.xml. |
De externe serviceprovider en identiteitsprovider configureren
| 1 |
Ga vanuit de BIG-IP F5-beheerinterface naar . |
| 2 |
Selecteer in Externe SP-connectors. |
| 3 |
Voer een betekenisvolle naam voor de naam van de serviceprovider in, zoals .ciscowebex.com. |
| 4 |
Vink bijBeveiligingsinstellingen de volgende selectievakjes aan:
|
| 5 |
Ga terug naar en maak vervolgens een nieuwe IdP-service (identiteitsprovider). |
| 6 |
Geef een betekenisvolle naam op voor de IdP-servicenaam, zoals CI. |
| 7 |
Voor de IdP-entiteit-id gebruikt u FQDN van de Big-IP-server met iets voorin, bijvoorbeeld https://bigip0a.uc8sevtlab13.com/CI. |
| 8 |
Selecteer onderAssertyinstellingen de optie Tijdelijke id voor het onderwerptype van de asserty. |
| 9 |
Retourneert bij Waarde assertieonderwerp de waarde van de e-mail van de gebruiker %{session.ad.last.attr.mail}. |
| 10 |
Retourneert de e-mail en uid van de attributen met de waarde %{session.ad.last.attr.mail}. |
| 11 |
Kies onderBeveiligingsinstellingen een certificaat om de bevestiging te ondertekenen. |
| 12 |
Sla uw wijzigingen op en verbind vervolgens de serviceprovider en de identiteitsprovider die u hebt gemaakt. |
De F5 Grote IP-metagegevens downloaden
| 1 |
Selecteer IDP-serviceexporteren. |
| 2 |
Zorg ervoor dat de waarde metagegevens voor aanmelden Ja is. |
| 3 |
Download het metagegevensbestand op uw bureaublad of een locatie waar u eenvoudig het bestand kunt vinden. |
Een toegangsbeleid toevoegen
| 1 |
Ga naar Toegangsbeleid om > toegangsprofielen > SAML en maak een SAML-resource voor de IdP die u hebt gemaakt. |
| 2 |
Ga naar uw Toegangsprofiel en bewerk het toegangsbeleid dat u voor WebEx Messenger CAS gebruikt. |
| 3 |
Voeg een nieuw item toe op het tabblad Logon met de naam aanmeldingspagina en laat de standaardwaarden staan. |
| 4 |
Voeg een nieuw item toe op het tabblad Verificatie met de naam AD-verificatie en geef Active Directory naam op als server. |
| 5 |
Op de succesvolle vestiging voegt u AD-query toe vanaf het tabblad Verificatie |
| 6 |
Ga naar Vestigingsregels en gewijzigd in AD-query isdoorgegeven. |
| 7 |
Op de succesvolle vestiging van AD-query voegt u Toewijzen van Geavanceerde resource toe vanaf het tabblad Toewijzing. |
| 8 |
Klik op Toevoegen/verwijderen en voeg twee resources SAML toe met alle SAML-resources en het Webtop dat u hebt gemaakt. |
| 9 |
Selecteer bij Beëindigen selecteren de optie Toestaan. Het toegangsbeleid moet eruit zien als de volgende schermafbeelding:  |
Koppel het toegangsprofiel aan de virtuele server
U moet het toegangsprofiel koppelen aan de virtuele server die u hebt gemaakt.
| 1 |
Ga naar . |
| 2 |
Open Toegangsprofielen om te bevestigen dat er geen virtuele server is gekoppeld aan het profiel. |
| 3 |
Selecteer Geavanceerde resource toewijzen. |
| 4 |
Selecteer Toevoegen/verwijderen om de nieuwe SAML-resource toe te voegen. |
| 5 |
Sluit de vensters van het toegangsbeleid en pas het nieuwe toegangsbeleid toe. |
Importeer de IdP-metagegevens en schakel eenmalige aanmelding na een test in
Nadat u de Webex-metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens naar uw lokale systeem hebt gedownload, bent u klaar om deze vanuit Control Hub in uw Webex-organisatie te importeren.
Voordat u begint
Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door serviceprovider geïnitieerde overdrachts stromen, dus u moet de Control hub gebruiken SSO test voor deze integratie.
| 1 |
Kies een van de opties:
|
| 2 |
Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende. Gebruik de optie Veiliger , als dat mogelijk is. Dit is alleen mogelijk als uw IdP een openbare ca heeft gebruikt om de metagegevens te ondertekenen. In alle andere gevallen moet u de optie Minder veilig gebruiken. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfonder ondertekend of zijn ondertekend door een privé-CA. Okta ondertekent de metagegevens niet. Daarom moet u Minder veilig kiezen voor een Okta SSO integratie. |
| 3 |
Selecteer SSO-instelling testen en als er een nieuw browsertabblad wordt geopend, verifieert u zich met de identiteitsprovider door u aan te melden. Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw. Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider. Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Deze stap stopt met false positives vanwege een toegangs token die mogelijk in een bestaande sessie is van uw aangemelde. |
| 4 |
Keer terug naar het Control Hub-browsertabblad.
De SSO configuratie wordt niet van kracht in uw organisatie, tenzij u eerst keuzerondje activeren en activeren SSO. |
De volgende stap
Gebruik de procedures in Okta-gebruikers synchroniseren Cisco Webex Control Hub als u gebruikers provisioning uit Okta in de Webex-cloud wilt uitvoeren.
Gebruik de procedures in Azure Active Directory synchroniseren in Cisco Webex Control Hub als u gebruikers provisioning uit Azure AD wilt uitvoeren in de Webex-cloud.
U kunt de procedure volgen in Geautomatiseerde e-mails onderdrukken om e-mails uit te schakelen die naar nieuwe gebruikers van de Webex-app in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.
