Eenmalige aanmelding en Webex Control Hub

Eenmalige aanmelding (SSO) is een sessie-of gebruikersverificatie proces waarmee een gebruiker referenties kan opgeven voor toegang tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben. Er worden geen extra waarschuwingen meer gegeven wanneer gebruikers schakelen tussen toepassingen tijdens een bepaalde sessie.

Het Federation-Protocol van de Security Assertion Markup Language (SAML 2,0) wordt gebruikt voor SSO verificatie tussen de Cisco Webex Cloud en uw identiteitsprovider (IdP).

Profielen

Cisco Webex Teams ondersteunt alleen het browser SSO profiel. In de webbrowser SSO profiel ondersteunt Cisco Webex Teams de volgende bindingen:

  • SP gestart na > na de binding

  • SP gestart omleiding-> na binding

Indeling NameID

Het SAML 2,0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. Cisco Webex Teams ondersteunt de volgende NameID-indelingen.

  • urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress

In de metagegevens die u van uw IdP laadt, wordt de eerste vermelding geconfigureerd voor gebruik in Cisco Webex.

SingleLogout

Cisco Webex Teams ondersteunt het enkelvoudige afmeldings profiel. In de Cisco Webex Teams-app kan een gebruiker zich afmelden bij de toepassing, die het SAML single afmeldings protocol gebruikt om de sessie te beëindigen en te bevestigen dat u zich afmeldt bij uw IdP. Zorg ervoor dat uw IdP is geconfigureerd voor SingleLogout.

Cisco Webex Control Hub integreren met PingFederate voor eenmalige aanmelding


De configuratie handleidingen tonen een specifiek voorbeeld voor de integratie van SSO, maar bieden geen uitputtende configuratie voor alle mogelijkheden. Bijvoorbeeld de integratie stappen voor NameID-indeling urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk zijn gedocumenteerd. Andere indelingen zoals urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified of urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress werkt voor SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Cisco Webex-organisatie (inclusief Cisco Webex Teams, Cisco Webex Meetings en andere services die zijn beheerd in Cisco Webex Control Hub). Als uw Webex-site is geïntegreerd in Cisco Webex Control Hub, neemt de Webex site de Gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Cisco Webex Meetings en deze niet wordt beheerd in Cisco Webex Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO voor Cisco Webex Meetings in te schakelen. (Zie Configureer eenmalige aanmelding voor Webex voor meer informatie in Sitebeheer SSO-integratie.)

Voordat u begint

Voor SSO en Cisco Webex Control Hub moet Idp's voldoen aan de SAML 2,0-specificatie. Daarnaast moet Idp's op de volgende manier worden geconfigureerd:
  • Stel het kenmerk NameID-indeling in op urn: Oasis: names: TC: SAML: 2.0: NameID-Format:tijdelijk

  • Configureer een claim op de IdP om de naam van het UID-kenmerk op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikerskenmerk dat overeenkomt met het attribuut dat is gekozen in de Cisco Webex identiteitsservice. (Dit kenmerk kan E-mail-adressen of gebruikers-principal-naam zijn, bijvoorbeeld.) Raadpleeg de informatie over het aangepaste kenmerk in https://www.Cisco.com/go/Hybrid-Services-Directory voor hulp.

  • Een ondersteunde browser gebruiken: We raden de nieuwste versie van Mozilla Firefox of Google Chrome aan.

  • Alle pop-upblokkeringen in uw browser uitschakelen.

De Cisco Webex metadata naar uw lokale systeem downloaden

1

Ga vanuit de klantweergave in naar https://admin.webex.cominstellingenen blader vervolgens naar verificatie.

2

Klik op wijzigen, klik op een externe identiteitsprovider integreren. (Geavanceerd)en klik vervolgens op volgende.

3

Download het bestand met metagegevens.

De Cisco Webex metadata-bestandsnaam is IDB-meta-<org-ID>-sp. XML.

Een nieuwe serviceprovider verbinding configureren

1

Ga naar uw PingFederate beheerportal (https://<FQDN of="" PingFederate="">: 9999/PingFederate/app).

2

Klik onder SP-verbindingen op Nieuw maken.

3

Selecteer de optie geen sjabloon gebruiken voor deze verbinding keuzerondje en selecteer volgende.

4

Selecteer Browser SSO profielenen klik vervolgens op volgende.

5

Selecteer het tabblad metagegevens importeren .

6

Klik op bestand kiezen om naar het metagegevensbestand te bladeren dat u van Cisco Webex Control hub hebt gedownload en klik vervolgens op volgende.

7

Controleer de informatie op het tabblad Algemene informatie en klik vervolgens op gereed.

Eenmalige aanmelding via de browser configureren

1

Selecteer in de PingFederate-beheerportal de optie Browser SSO configureren.

2

Schakel het selectievakje SP-geïnitieerde SSO in en klik op volgende.

3

Selecteer Assertie maken configureren.

  1. Wijzig de NameID-indeling naar de tijdelijke en schakel het selectievakje include attributen naast de tijdelijke id in .

  2. Breid de contract kenmerken uit door mail-en UID-kenmerken toe te voegen in de indeling urn: Oasis: names: TC: SAML: 2.0: attr--Basicen klik vervolgens op volgende.

  3. Selecteer Nieuw adapter exemplaar toewijzen om een verificatiemechanisme te kiezen. Selecteer in de vervolgkeuzelijst ADAPTER exemplaar een van de eerder geconfigureerde verificatiemechanismen en klik vervolgens op volgende.

  4. Selecteer de optie aanvullende kenmerken ophalen uit meerdere gegevensarchieven met één toewijzings keuzerondje en klik vervolgens op volgende.

  5. Selecteer kenmerk bron toevoegen om de Active Directory domein controller voor het domein toe te voegen en klik vervolgens op volgende.

  6. Geef de basis-DN op en selecteer de hoofdobject klasse <Show All="" Attributes="">. Voer in het tekstvak Filter het LDAP-filter in en klik vervolgens op volgende.

    De invoer moet het kenmerk bevatten dat u voor de gebruiker verwacht. Ook moet de waarde worden opgenomen waaraan deze is toegewezen in de LDAP-bronnen. Als uw Active Directory bijvoorbeeld is ingesteld op filteren op het Windows-aanmeld kenmerk, geeft u sAMAccountName = $ {username} op.

  7. Selecteer de bron en de waarde om de kenmerken van de Assertie toe te wijzen aan de kenmerken van het AD-gegevensarchief. (Voer niets in voor uitgifte criteria.)

  8. Controleer of de bevestigings configuratie de identiteitstoewijzing heeft ingesteld op tijdelijk, kenmerk contract ingesteld op UIDen adapter instanties ingesteld op 1.


     

    Het kenmerk UID moet worden toegewezen aan het e-mailadres van de gebruiker.

4

Selecteer Protocol instellingen configureren.

  1. Voor toegestane SAML-bindingen schakelt u alleen de selectievakjes boeken en omleidingen in .

  2. Selecteer voor Handtekeningbeleid altijd de SAML-Assertie.

    De protocolinstellingen moeten er als volgt uitzien.

  3. Selecteer referenties configureren om het certificaat voor de Assertie te configureren.

  4. Selecteer het certificaat dat al is gemaakt voor SAML-bevestigingen.

5

Op het scherm activering en samenvatting stelt u de verbindings status in op actief.

PingFederate-metagegevens exporteren

1

Klik in het hoofdscherm op alle SP beheren.

2

Zoek de verbinding die u zojuist hebt gemaakt en klik op metagegevens exporteren.

3

Kies het certificaat dat u wilt gebruiken voor het ondertekenen van het geëxporteerde bestand vanuit de vervolgkeuzelijst.

4

Klik op Exporteren.

De IdP-metagegevens importeren en eenmalige aanmelding inschakelen na een test

Nadat u de Cisco Webex metagegevens hebt geëxporteerd, configureert u uw IdP en downloadt u de IdP-metagegevens naar uw lokale systeem, kunt u deze importeren in uw Cisco Webex-organisatie vanuit Control hub.

Voordat u begint

Test SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door serviceprovider geïnitieerde overdrachts stromen, dus u moet de Control hub gebruiken SSO test voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Cisco Webex Control Hub-sitemap exporteren in uw browser en klik vervolgens op volgende.
  • Als Control hub niet meer is geopend op het tabblad browser, gaat u naar instellingen in de klantweergave https://admin.webex.com, selecteert u naar verificatie,kiest ueen externe identiteitsprovider (Geavanceerd) integrerenen klikt u op volgende op de pagina met vertrouwde metagegevensbestand (omdat u deze al eerder hebt gebruikt).
2

Sleep op de pagina metadata van IdP importeren de Bestand met metagegevens van identiteitsprovider naar de pagina of gebruik de optie bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Als de metadata niet is ondertekend, is ondertekend met een zelfondertekend certificaat of is ondertekend met een privé-ondernemingscertificeringsinstantie (CA), raden we u aan gebruik te maken van certificaat dat is ondertekend door een certificeringsinstantie in metagegevens (veiliger). Als het certificaat zelf is ondertekend, moet u de optie minder veilig kiezen .

3

Test SSO verbinding selecterenen wanneer een nieuw browsertabblad wordt geopend, verifieert u met de IdP door u aan te melden.


 

Als er een verificatiefout wordt weergegeven, kan er een probleem zijn met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Webex Teams fout betekent meestal een probleem met de SSO-instellingen. In dat geval kunt u de stappen opnieuw doorlopen, vooral de stappen waarbij u de metadata van de Control hub kopieert en plakt in de IdP-instellingen.

4

Keer terug naar het tabblad browser voor Control hub.

  • Als de test is geslaagd, selecteert u deze test. Schakel de optie eenmalige aanmelding in en klik op volgende.
  • Als de test niet is geslaagd, selecteert u deze test is mislukt. Schakel de optie eenmalige aanmelding uit en klik op volgende.

Volgende stappen

U kunt de procedure in Automatische e-mailberichten volgen om e-mailberichten die naar nieuwe Webex teams-gebruikers in uw organisatie worden verzonden, uit te schakelen. Het document bevat ook optimale werkwijzen voor het verzenden van berichten naar gebruikers in uw organisatie.