Een single sign-on enControl Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het SECURITY Assertion Markup Language (SAML 2.0)-federatieprotocol wordt gebruikt om verificatie mogelijk SSO deWebexcloud en uw identiteitsprovider (IdP).

Profielen

Webex-appondersteunt alleen de webbrowser SSO profiel. In het webbrowser SSO profiel,Webex-appondersteunt de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling naam-ID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker.Webex-appondersteunt de volgende indelingen van de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u vanuit uw IdP laadt, wordt de eerste vermelding geconfigureerd voor gebruik inWebex.

IntegrerenControl Hubmet Microsoft Azure


 

De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. Bijvoorbeeld de integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient zijn gedocumenteerd. Andere indelingen, zoals urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress werkt voor SSO maar valt buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uwWebexorganisatie (inclusiefWebex-app,Webex Meetings, en andere services die zijn beheerd inControl Hub). Als uwWebexsite is geïntegreerd inControl HubDeWebexneemt het gebruikersbeheer over. Als u geen toegang hebtWebex Meetingsop deze manier wordt het niet beheerd inControl Hub, u moet een afzonderlijke integratie doen om de integratie voor SSO in te stellen voorWebex Meetings. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

Voordat u begint

Voor SSO- enControl Hub, IdP's moeten voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manieren worden geconfigureerd:


 

In Azure Active Directory wordt provisioning alleen ondersteund in de handmatige modus. Dit document gaat alleen over eenmalige aanmelding (SSO) integratie.

Download deWebexmetagegevens voor uw lokale systeem

1

Ga vanuit de klantweergave in https://admin.webex.comnaar Beheer >-organisatie-instellingen, scrol vervolgens naar Verificatie en schakel in met de instelling Voor eenmalig aanmelden om de installatiewizard te starten.

2

Kies het certificaattype voor uw organisatie:

  • Zelf-ondertekend door Cisco: we raden deze keuze aan. Laat ons het certificaat ondertekenen zodat u het slechts eens per vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie: veiliger, maar u moet de metagegevens vaak bijwerken (tenzij uw IdP-leverancier vertrouwensankers ondersteunt).

 

Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

3

Download het bestand met metagegevens.

Het berichtWebexmetadata bestandsnaam is idb-meta-SP.xml<org-ID>.

Configureer SSO voor toepassingen in Azure

Voordat u begint

  • Zie Wat is Azure Active Directory voor meer inzicht in de IdP-functies in Azure Active Directory.

  • Configureer Azure Active Directory.

  • Maak lokale gebruikers of synchroniseer met een Active Directory-systeem op locatie.

  • Open deWebexmetagegevensbestand dat u hebt gedownload vanControl Hub.

  • Er is een gerelateerde zelfstudie op de Documentatiesite van Microsoft.

1

Meld u aan bij de Azure-portal op https://portal.azure.com met uw beheerdersgegevens.

2

Als het pictogram Azure Active Directory niet wordt weergegeven, klikt u op Meer services.

3

Ga naar Azure Active Directory uw organisatie.

4

Ga naar Enterprise-toepassingen en klik op Toevoegen.

5

Klik op Een toepassing toevoegen vanuit de galerie.

6

Typ het zoekvak in Cisco Webex.

7

Selecteer in het deelvenster Resultaten Cisco Webex en klik vervolgens op Maken om de toepassing toe te voegen.

8

Open de nieuwe toepassing om ervoor te zorgen dat de Webex-toepassing die u hebt toegevoegd eenmalige aanmelding niet wordt geopend in de gebruikersportal. Klik onder Beheren op Eigenschappen en stel Zichtbaar in op Gebruikers? op Nee.

We bieden geen ondersteuning om de Webex-app zichtbaar te maken voor gebruikers.

9

Een eenmalig aanmelden configureren:

  1. Klik bij Beheren op Een aanmelding en kies vervolgens onder Een methode voor eenmalig aanmelden selecteren SAML.

  2. Klik op Bestand met metagegevens uploaden en kies het metadatabestand van wie u het gedownloade bestand hebtControl Hub.

    Bestand met metagegevens importeren in Azure

    Sommige velden worden automatisch voor u gevuld.

  3. Klik onder Beheren op Eenmalig aanmelden instellen met SAML en klik op het pictogram Bewerken om basis-SAML-configuratie te openen.

  4. Kopieer de waarde voor URL beantwoorden, plak deze in Aanmeldings-URL en sla uw wijzigingen op.

10

Ga naar Beheer > gebruikers en groepen en kies de juiste gebruikers en groepen waar u toegang toe wilt verlenenWebex-app.

11

Klik op de pagina Eenmalig aanmelden met SAML instellen in het gedeelte SAML-ondertekeningscertificaat op Downloaden om de XML met federatie-metagegevens te downloaden en op uw computer op te slaan.

De IdP-metagegevens importeren en eenmalige aanmelding na een test inschakelen

Nadat u deWebexmetagegevens, configureer uw IdP en download de IdP-metagegevens naar uw lokale systeem. U bent klaar om deze te importeren in uwWebexorganisatie uitControl Hub.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen serviceprovider door SP geïnitieerde stromen, dus u moet deControl HubSSO test voor deze integratie.

1

Kies een van de opties:

  • Terugkeren naar deControl Hub– pagina voor certificaatselectie in uw browser en klik vervolgens op Volgende.
  • AlsControl Hubis niet meer geopend op het browsertabblad, ga vanuit de klantweergave in https://admin.webex.comnaar Beheer > Organisatie-instellingen, blader naar Verificatie en kies Vervolgens Acties > Metagegevens importeren.
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Gebruik de optie Veiliger , als dat mogelijk is. Dit is alleen mogelijk als uw IdP een openbare ca heeft gebruikt om de metagegevens te ondertekenen.

In alle andere gevallen moet u de optie Minder veilig gebruiken. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfonder ondertekend of zijn ondertekend door een privé-CA.


 

Okta ondertekent de metagegevens niet. Daarom moet u Minder veilig kiezen voor een Okta SSO integratie.

3

Selecteer Test SSO configuratie en verifieer de IdP wanneer een nieuw browsertabblad wordt geopend door u aan te melden.


 

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

AWebex-appfout betekent meestal een probleem met de SSO installatie. In dit geval gaat u opnieuw door de stappen, met name de stappen waarin u deControl Hubmetagegevens in de IdP-installatie.


 

Als u de SSO aanmeldingservaring wilt zien, kunt u ook vanaf dit scherm op URL naar klembord kopiëren klikken en in een privébrowservenster plakken. Vanuit hier kunt u het aanmelden met een SSO. Deze stap stopt met false positives vanwege een toegangs token die mogelijk in een bestaande sessie is van uw aangemelde.

4

Terugkeren naar deControl Hubbrowsertabblad.

  • Als de test is geslaagd, selecteert u Succesvolle test. Schakel de SSO en klik op Volgende.
  • Selecteer Mislukte test als de test is mislukt. Schakel de SSO en klik op Volgende.

 

De SSO worden niet van kracht in uw organisatie, tenzij u voor het eerst keuzerondje activeren en SSO.

De volgende stap

Gebruik de procedures in Okta-gebruikers synchroniseren Cisco Webex Control Hub als u gebruikers provisioning uit Okta in de Webex-cloud wilt uitvoeren.

Gebruik de procedures in Azure Active Directory synchroniseren in Cisco Webex Control Hub als u gebruikers provisioning uit Azure AD wilt uitvoeren in de Webex-cloud.

U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails die naar nieuwe worden verzonden, uit te schakelenWebex-appgebruikers in uw organisatie. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.

Problemen met Azure-integratie oplossen

Zorg er bij het uitvoeren van de SAML-test voor dat u Mozilla Firefox gebruikt en dat u de SAML-tracer installeert vanaf https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Controleer de bevestiging die van Azure afkomstig is om ervoor te zorgen dat deze de juiste nameid-indeling heeft en een kenmerk-uid heeft die overeenkomt met een gebruiker inWebex-app.