Een single sign-on en Control Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het Security Assertion Markup Language (SAML 2.0) Federation Protocol wordt gebruikt om SSO verificatie mogelijk te maken tussen de Webex-cloud en uw identiteitsprovider (IdP).

Profielen

De Webex-app ondersteunt alleen het profiel SSO webbrowser. In het browservenster SSO ondersteunt de Webex-app de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling naam-ID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. De Webex-app ondersteunt de volgende NameID-indelingen.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u vanuit uw IdP laadt, wordt de eerste vermelding geconfigureerd voor gebruik in Webex.

Eenmalige afmelding

De Webex-app ondersteunt het profiel voor een enkele aanmelding. In de Webex-app kan een gebruiker zich afloggen bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalig aanmelden om de sessie te beëindigen en bevestigen dat de gebruiker zich heeft af te melden met uw IdP. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.

Control Hub integreren met PingFederate for Single Sign-On


De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Webex-organisatie (inclusief Webex-app, Webex Meetings en andere services diein Control Hub worden beheerd). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en deze niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie doen om toegang SSO uw Webex Meetings . (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

Voordat u begint

Voor SSO control hubmoeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manieren worden geconfigureerd:

Download de Webex-metagegevens naar uw lokale systeem

1

Ga vanuit de klantweergave in naar Beheer https://admin.webex.com>-organisatie-instellingen, scrol vervolgens naar Verificatie en schakel vervolgens in op de instelling Voor eenmalig aanmelden om de installatiewizard te starten.

2

Kies het certificaattype voor uw organisatie:

  • Zelf-ondertekend doorCisco: we raden deze keuze aan. Laat ons het certificaat ondertekenen zodat u het slechts eens per vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie: veiliger, maar u moet de metagegevens vaak bijwerken (tenzij uwIdP-leverancier vertrouwensankers ondersteunt).

 

Vertrouwensankers zijn openbare sleutels die als autoriteit kunnen fungeren om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

3

Download het bestand met metagegevens.

De bestandsnaam met metagegevens van Webex is idb-meta-<org-ID>-SP.xml.

Een nieuwe serviceproviderverbinding configureren

1

Ga naar uw PingFederate-beheerportal ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Selecteer onderSP-verbindingen de optie Nieuwe maken .

3

Selecteer De sjabloon Niet gebruiken voor deze verbinding keuzerondje selecteer vervolgens Volgende.

4

Selecteer Browser SSO profielen en klik vervolgens op Volgende.

5

Selecteer het tabblad Metagegevens importeren.

6

Klik op Bestand kiezen om naar het bestand met metagegevens te bladeren en importeren dat u hebt gedownload van Control Hub en klik vervolgens op Volgende.

7

Controleer de gegevens op het tabblad Algemene informatie en klik op Klaar.

Een single-sign-on voor de browser configureren

1

Selecteer in de PingFederate-beheerportal Browser configureren SSO.

2

Vink het selectievakje SP-gestart SSO aan en klik op Volgende .

3

Selecteer Bevestiging maken configureren.

  1. Wijzig de Naam-id-indeling in Tijdelijk en vink het selectievakje Kenmerken opnemen aan naast het selectievakje Tijdelijke id.

  2. Verleng de contractkenmerken door e-mail- en uid-kenmerken toe te voegen aan de indeling urn:oasis:names:tc:SAML:2.0:attrname-format-basicen klik vervolgens op Volgende .

  3. Selecteer Een nieuwe adapter-instantie mapen om een verificatiemechanisme te kiezen. Selecteer in de vervolgkeuzepagina ADAPTER-INSTANTIE een van de eerder geconfigureerde verificatiemechanismen en klik vervolgens op Volgende.

  4. Selecteer Extra kenmerken ophalen uit meerdere gegevensopslag met behulp van één toewijzingsgegevens keuzerondje klik vervolgens op Volgende.

  5. Selecteer Kenmerkbron toevoegen om de domeincontroller Active Directory het domein toe te voegen en klik vervolgens op Volgende.

  6. Geef de basis-DN op en selecteer de hoofdobjectklasse <Show All="" Attributes="">. Voer in het tekstvak Filter het LDAP-filter in en klik op Volgende.

    De invoer moet het kenmerk bevatten dat u van de gebruiker verwacht. Deze moet ook de waarde bevatten die wordt maps aan in de LDAP-bronnen. Als uw active directory bijvoorbeeld is ingesteld op filter op het Aanmeldingskenmerk van Windows, voert u sAMAccountName=${Username}in.

  7. Selecteer de bron en waarde om de assertiviteitskenmerken toe temapen aan de kenmerken die door de AD-gegevensstore zijn verstrekt. (Voer niets in voor Criteria voor voorwaarden.)

  8. Verifieer of voor de Assertieconfiguratie identiteitstoewijzing is ingesteld op Tijdelijk , Kenmerkcontract ingesteld op uiden Adapter-instanties ingesteld op 1.


     

    Het uid-kenmerk moet worden toe te schrijven aan het e-mailadres van de gebruiker.

4

Selecteer Protocolinstellingen configureren.

  1. Voor toegestane SAML-bindingen, vink alleen de selectievakjes POST en Omleiding aan.

  2. Selecteer voor Handtekeningbeleid altijd de SAML-verklaring ondertekenen.

    De protocolinstellingen moeten er als volgt uit zien.

  3. Selecteer Aanmeldgegevens configureren om het certificaat voor de asserty te configureren.

  4. Selecteer het certificaat dat al voor SAML-bevestigingen is gemaakt.

5

Stel op het scherm Activering en Overzicht de verbindingsstatus in op Actief.

Metagegevens exporteren uit PingFederate

1

Klik in het hoofdscherm op Alle SP beheren.

2

Zoek de verbinding die u zojuist hebt gemaakt en klik op Metagegevens exporteren.

3

Kies het certificaat dat u wilt gebruiken voor het ondertekenen van het geëxporteerde bestand in de vervolgkeuzesessie.

4

Klik op Exporteren.

De IdP-metagegevens importeren en eenmalige aanmelding na een test inschakelen

Nadat u de Webex-metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens naar uw lokale systeem hebt gedownload, bent u klaar om deze vanuit Control Hub in uw Webex-organisatie te importeren.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door de serviceprovider gestarte (SP-gestarte) stromen, dus u moet de SSO-test van Control Hub gebruiken voor deze integratie.

1

Kies een van de opties:

  • Ga terug naar control hub: de pagina voor certificaatselectie in uw browser en klik vervolgens op Volgende.
  • Als Control Hub niet meer is geopend op het browsertabblad, gaat u vanuit de klantweergave in naar Beheer >-organisatie-instellingen, schuift u naar Verificatie en kiest u Acties > https://admin.webex.comMetagegevensimporteren .
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Gebruik de optie Veiliger, als dat mogelijk is. Dit is alleen mogelijk als uw IdP een openbare ca heeft gebruikt om de metagegevens te ondertekenen.

In alle andere gevallen moet u de optie Minder veilig gebruiken. Dit geldt ook voor als de metagegevens niet zijn ondertekend, zelfonder ondertekend of zijn ondertekend door een privé-CA.

3

Selecteer Test SSO configuratie en verifieer de IdP wanneer een nieuw browsertabblad wordt geopend door u aan te melden.


 

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider.


 

Als u de SSO aanmeldingservaring wilt zien, kunt u ook vanaf dit scherm op URL naar klembord kopiëren klikken en in een privébrowservenster plakken. Vanuit hier kunt u het aanmelden met een SSO. Deze stap stopt met false positives vanwege een toegangs token die mogelijk in een bestaande sessie is van uw aangemelde.

4

Keer terug naar het Control Hub-browsertabblad.

  • Als de test is geslaagd, selecteert u Test geslaagd. Schakel de SSO en klik op Volgende.
  • Selecteer Mislukte test als de test is mislukt. Schakel de SSO en klik op Volgende.

 

De SSO worden niet van kracht in uw organisatie, tenzij u eerst keuzerondje en activeren SSO.

De volgende stap

U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails die worden verzonden naar nieuwe Webex-app-gebruikers in uw organisatie uit te schakelen. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.