SSO met meerdere IdP's in Webex
Met eenmalige aanmelding (SSO) kunnen gebruikers zich veilig aanmelden bij Webex door zich te verifiëren bij de algemene identiteitsprovider van uw organisatie. Een identiteitsprovider (IdP) slaat de digitale identiteiten van uw gebruikers veilig op en beheert deze. Ook verzorgt de IdP de gebruikersverificatieservice voor uw Webex-gebruikers.
Waarom u mogelijk meerdere IdP's nodig hebt
Veel grote bedrijven ondergaan fusies en overnames en deze bedrijven beschikken zelden over dezelfde IT-infrastructuur en identiteitsproviders. Overheidsinstellingen hebben verschillende organisaties en agentschappen onder zich. Vaak hebben deze organisaties één e-mailadres voor respectievelijk hun eigen IT-afdeling en infrastructuur. Grote onderwijsinstellingen hebben een centrale inkoopafdeling, maar verschillende universiteiten en hogescholen hebben verschillende IT-organisaties en -afdelingen.
Het komt vaak voor dat IdP's en service providers (SP's) met elkaar samenwerken. De IdP is verantwoordelijk voor het verifiëren van de referenties van uw gebruikers en de SP vertrouwt op de authenticatie door de IdP. Hierdoor kunnen uw gebruikers met dezelfde digitale identiteit toegang krijgen tot verschillende SaaS-applicaties en -services. Als uw organisatie om welke reden dan ook geen verbinding kan maken tussen de IdP's, biedt Webex een tijdelijke oplossing om meerdere IdP's te ondersteunen. Om deze redenen bieden we u de mogelijkheid om SSO te configureren voor meerdere IdP's in Webex en zo het verificatieproces van uw gebruikers te vereenvoudigen.
Beperkingen
- Als u Directory Connector in uw organisatie gebruikt, moeten alle gebruikers zijn voorzien van Directory Connector. Raadpleeg de Directory Connector-implementatiehandleiding voor meer informatie.
- Momenteel ondersteunen we alleen SAML, OpenID Connect en Webex Identity als identiteitsproviders.
Buiten bereik
- Groepstoewijzingen configureren.
- Domeinverificatie. Raadpleeg Beheer uw domeinen voor meer informatie.
- Gebruikersinrichting. Raadpleeg Manieren om gebruikers toe te voegen aan uw Control Hub-organisatie voor meer informatie.
In dit gedeelte wordt beschreven hoe u uw identiteitsproviders (IdP) kunt integreren met uw Webex-organisatie. U kunt de IdP's kiezen die het beste passen bij de vereisten van uw organisatie.
Als u op zoek bent naar SSO-integratie van een Webex Meetings-site (beheerd in Sitebeheer), raadpleeg dan Single Sign-On configureren voor Webex-beheer.
Voordat u begint
Zorg ervoor dat aan de volgende voorwaarden is voldaan:
- U moet de rol Volledige beheerder hebben in Control Hub.
- Een metagegevensbestand van de IdP om aan Webex te geven en een metagegevensbestand van Webex om aan de IdP te geven. Raadpleeg Single Sign-On-integratie in Control Hubvoor meer informatie. Dit is alleen van toepassing op de SAML-configuratie.
- U moet het gedrag van uw routeringsregels plannen voordat u meerdere IdP's instelt.
De standaardrouteringsregel wordt toegepast zodra u uw eerste IdP configureert. U kunt echter een andere IdP als standaard instellen. Raadpleeg Routeringsregel toevoegen of bewerken op het tabblad Routeringsregels in dit artikel.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider en klik op SSO activeren. |
4 |
Selecteer SAML als uw IdP en klik op Volgende. |
5 |
Kies het certificaattype:
Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie. |
6 |
Klik op Metagegevens downloaden en klik op Volgende. De naam van het metagegevensbestand van de Webex-app is idb-meta-<org-ID>-SP.xml. |
7 |
Upload uw IdP-metagegevensbestand of vul het configuratieformulier in. Bij het uploaden van het metagegevensbestand zijn er twee manieren om de metagegevens van de klant-IdP te valideren:
Klik op Volgende. |
8 |
(Optioneel) U kunt de naam van het SAML-kenmerk voor Webex-gebruikersnaam of Primair e-mailadres wijzigen van |
9 |
(Optioneel) Configureer de Just In Time (JIT)-instellingen en SAML-toewijzingsrespons. Raadpleeg Just In Time (JIT) en SAML-toewijzing configureren in het tabblad Uw IdP's beheren in dit artikel.
|
10 |
Klik op Test SSO-configuratieen wanneer een nieuw browsertabblad wordt geopend, meldt u zich aan bij de IdP door u aan te melden. Test de SSO voordat u deze inschakelen. Deze stap werkt als een dry run en is niet van invloed op de instellingen van uw organisatie totdat u de SSO in de volgende stap inschakelen. Als er een authenticatiefout optreedt, is er mogelijk een probleem met de inloggegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw. Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider. Om de SSO-aanmeldervaring te bekijken, raden we u aan om op URL naar klembord kopiëren in dit scherm te klikken en deze in een privébrowservenster te plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie. |
11 |
Keer terug naar het Control Hub-browsertabblad.
De SSO-configuratie wordt pas van kracht in uw organisatie als u het eerste keuzerondje selecteert en SSO activeert. |
De volgende stappen
U kunt een routeringsregel instellen. Raadpleeg Routeringsregel toevoegen of bewerken op het tabblad Routeringsregels in dit artikel.
U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails uit te schakelen die naar nieuwe Webex-app-gebruikers in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider en klik op SSO activeren. |
4 |
Selecteer OpenID Connect als uw IdP en klik op Volgende. |
5 |
Voer uw IdP-gegevens in.
|
6 |
Kies hoe u eindpunten wilt toevoegen. Dit kan automatisch of handmatig worden gedaan.
|
7 |
(Optioneel) Configureer de Just In Time (JIT)-instellingen. Raadpleeg Just In Time (JIT) en SAML-toewijzing configureren in het tabblad Uw IdP's beheren in dit artikel.
|
8 |
Klik op Test SSO-configuratieen wanneer een nieuw browsertabblad wordt geopend, meldt u zich aan bij de IdP. Test de SSO voordat u deze inschakelen. Deze stap werkt als een dry run en is niet van invloed op de instellingen van uw organisatie totdat u de SSO in de volgende stap inschakelen. Als er een authenticatiefout optreedt, is er mogelijk een probleem met de inloggegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw. Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider. Om de SSO-aanmeldervaring te bekijken, raden we u aan om op URL naar klembord kopiëren in dit scherm te klikken en deze in een privébrowservenster te plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie. |
9 |
Keer terug naar het Control Hub-browsertabblad.
De SSO-configuratie wordt pas van kracht in uw organisatie als u het eerste keuzerondje selecteert en SSO activeert. |
De volgende stappen
U kunt een routeringsregel instellen. Raadpleeg Routeringsregel toevoegen of bewerken op het tabblad Routeringsregels in dit artikel.
U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails uit te schakelen die naar nieuwe Webex-app-gebruikers in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider en klik op SSO activeren. |
4 |
Selecteer Webex als uw IdP en klik op Volgende. |
5 |
Vink Ik heb gelezen en begrepen hoe Webex IdP werkt aan en klik op Volgende. |
6 |
Stel een routeringsregel in. Raadpleeg Routeringsregel toevoegen of bewerken op het tabblad Routeringsregels in dit artikel. |
Nadat u een routeringsregel hebt toegevoegd, wordt uw IdP toegevoegd en weergegeven onder het tabblad Identiteitsprovider.
De volgende stap
U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails uit te schakelen die naar nieuwe Webex-appgebruikers in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.
Routingregels zijn van toepassing wanneer u meer dan één IdP instelt. Met routeringsregels kan Webex identificeren naar welke IdP uw gebruikers moeten worden doorgestuurd wanneer u meerdere IdP's hebt geconfigureerd.
Wanneer u meer dan één IdP instelt, kunt u uw routeringsregels definiëren in de SSO-configuratiewizard. Als u de stap met de routingregel overslaat, voegt Control Hub de IdP toe, maar activeert deze niet. U moet een routeringsregel toevoegen om de IdP te activeren.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Routeringsregels. Wanneer u uw eerste IdP configureert, wordt de routeringsregel automatisch toegevoegd en ingesteld als de Standaardregel. U kunt later een andere IdP kiezen om als standaardregel in te stellen. |
4 |
Klik op Nieuwe routeringsregel toevoegen. |
5 |
Voer de details voor een routeringsregel in:
|
6 |
Selecteer de multi-factor authenticatie (MFA) methode:
Voor meer informatie over het configureren van MFA voor uw organisatie, zie Integratie van multi-factor-authenticatie inschakelen in Control Hub. |
7 |
Klik op Toevoegen. |
8 |
Selecteer de nieuwe routeringsregel en klik op Activeren. |
U kunt de prioriteitsvolgorde van de routeringsregel wijzigen als u routeringsregels voor meerdere IdP's hebt.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Routeringsregels. |
4 |
Selecteer de routeringsregel. |
5 |
Kies of u de routeringsregel wilt Deactiveren of Verwijderen. Wij raden u aan een andere actieve routeringsregel voor de IdP te hebben. Anders kunnen er problemen ontstaan met uw SSO-aanmelding. |
De Standaardregel kan niet worden gedeactiveerd of verwijderd, maar u kunt de gerouteerde IdP wel wijzigen.
Voordat u begint
Mogelijk ontvangt u af en toe een e-mailmelding of ziet u een waarschuwing in Control Hub dat het IdP-certificaat vervalt. Omdat IdP-leveranciers hun eigen specifieke documentatie voor het vernieuwen van certificaten hebben, behandelen we wat er is vereist in Control Hub, samen met algemene stappen om bijgewerkte IdP-metagegevens op te halen en te uploaden naar Control Hub om het certificaat te vernieuwen.
Dit is alleen van toepassing op de SAML-configuratie.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider. |
4 |
Ga naar de IdP, klik op Om het metagegevensbestand te downloaden, klikt u op
![]() |
5 |
Navigeer naar de beheerinterface van uw IdP om het nieuwe metadatabestand op te halen. |
6 |
Ga terug naar Control Hub en sleep uw IdP-metagegevensbestand naar het uploadgebied of klik op Kies een bestand om de metagegevens te uploaden. |
7 |
Kies Minder veilig (zelfondertekend) of Veiliger (ondertekend door een openbare CA), afhankelijk van hoe uw IdP-metagegevens zijn ondertekend en klik op Opslaan. |
8 |
Configureer de Just In Time (JIT)-instellingen en SAML-toewijzingsrespons. Raadpleeg Just In Time (JIT) en SAML-toewijzing configureren in het tabblad Uw IdP's beheren in dit artikel.
|
9 |
Klik op Test SSO-configuratieen wanneer een nieuw browsertabblad wordt geopend, meldt u zich aan bij de IdP door u aan te melden. Test de SSO voordat u deze inschakelen. Deze stap werkt als een dry run en is niet van invloed op de instellingen van uw organisatie totdat u de SSO in de volgende stap inschakelen. Als er een authenticatiefout optreedt, is er mogelijk een probleem met de inloggegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw. Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider. Om de SSO-aanmeldervaring te bekijken, raden we u aan om op URL naar klembord kopiëren te klikken in dit scherm en deze te plakken in een privébrowservenster. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie. |
10 |
Klik op Opslaan. |
Voordat u begint
Wij raden u aan om alle IdP's in uw organisatie bij te werken wanneer u uw SP-certificaat verlengt.
Dit is alleen van toepassing op de SAML-configuratie.
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider. |
4 |
Ga naar de IdP en klik op |
5 |
Klik op Certificaten en vervaldatum controleren. Hiermee gaat u naar het venster Service Provider (SP)-certificaten.
|
6 |
Klik op Certificaat vernieuwen. |
7 |
Kies het type IdP in uw organisatie:
|
8 |
Kies het certificaattype voor de verlenging:
Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie. |
9 |
Klik op Metagegevens downloaden of Certificaat downloaden om een kopie van het bijgewerkte metagegevensbestand of certificaat te downloaden uit de Webex-cloud. |
10 |
Ga naar uw IdP-beheerinterface om het nieuwe Webex-metagegevensbestand of certificaat te uploaden. Deze stap kan worden uitgevoerd via een browsertabblad, extern-bureaubladprotocol (RDP), of via specifieke ondersteuning van cloudproviders, afhankelijk van uw IdP-instellingen en of u of een afzonderlijke IdP-beheerder verantwoordelijk bent voor deze stap. Voor meer informatie kunt u onze SSO-integratiehandleidingen raadplegen of contact opnemen met uw IdP-beheerder voor ondersteuning. Als u Active Directory Federation Services (AD FS) gebruikt, kunt u zien hoe u Webex-metagegevens in AD FS kunt bijwerken |
11 |
Ga terug naar de Control Hub-interface en klik op Volgende. |
12 |
Selecteer Alle IdP's succesvol bijgewerkt en klik op Volgende. Hiermee wordt het SP-metagegevensbestand of certificaat geüpload naar alle IdP's in uw organisatie. |
13 |
Klik op Voltooi verlenging. |
Voordat u begint
1 | |
2 |
Ga naar . |
3 |
Ga naar het tabblad Identiteitsprovider. |
4 |
Ga naar de IdP en klik op |
5 |
Selecteer Test IdP. |
6 |
Klik op Test SSO-configuratieen wanneer een nieuw browsertabblad wordt geopend, meldt u zich aan bij de IdP door u aan te melden. Als er een authenticatiefout optreedt, is er mogelijk een probleem met de inloggegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw. Een Fout in Webex-app betekent meestal een probleem met de SSO installatie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider. Om de SSO-aanmeldervaring te bekijken, raden we u aan om op URL naar klembord kopiëren in dit scherm te klikken en deze in een privébrowservenster te plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie. |
7 |
Keer terug naar het Control Hub-browsertabblad.
De SSO configuratie wordt niet van kracht in uw organisatie, tenzij u eerst keuzerondje activeren en activeren SSO. |
Voordat u begint
Zorg ervoor dat aan de volgende voorwaarden wordt voldaan:
-
SSO is al geconfigureerd.
-
De domeinen zijn al geverifieerd.
-
De domeinen zijn geclaimd en ingeschakeld. Met deze functie zorgt u ervoor dat gebruikers in uw domein worden aangemaakt en bijgewerkt telkens wanneer ze zich verifiëren bij uw IdP.
-
Als DirSync of Azure AD is ingeschakeld, werkt SAML JIT create of update niet.
-
'Blokkeren gebruikersprofiel update' is ingeschakeld. Toewijzing van SAML-update is toegestaan, omdat deze configuratie bepaalt of de gebruiker de kenmerken kan bewerken. Door beheer beheerde methoden voor maken en bijwerken worden nog steeds ondersteund.
Wanneer u SAML JIT instelt met Azure AD of een IdP waarbij het e-mailadres geen permanente identificatie is, raden we u aan het koppelingskenmerk externalId
te gebruiken om een toewijzing te maken aan een unieke identificatie. Als we vaststellen dat het e-mailadres niet overeenkomt met het koppelingskenmerk, wordt de gebruiker gevraagd zijn of haar identiteit te verifiëren of een nieuwe gebruiker aan te maken met het juiste e-mailadres.
Nieuwe gebruikers krijgen niet automatisch licenties toegewezen, tenzij de organisatie een automatische licentiesjabloon heeft ingesteld.
1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2 |
Ga naar . | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3 |
Ga naar het tabblad Identiteitsprovider. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4 |
Ga naar de IdP en klik op | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5 |
Selecteer SAML-toewijzing bewerken. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6 |
Configureer Just-in-Time (JIT)-instellingen.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7 |
Configureer SAML-toewijzing vereiste kenmerken.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8 |
Configureer de koppelingskenmerken. Dit moet uniek zijn voor de gebruiker. Het wordt gebruikt om een gebruiker op te zoeken, zodat Webex alle profielkenmerken, inclusief het e-mailadres van een gebruiker, kan bijwerken.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9 |
Configureer Profielkenmerken.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10 |
Configureer Extensiekenmerken. Wijs deze kenmerken toe aan uitgebreide kenmerken in Microsoft Active Directory, Azure of uw directory voor traceercodes.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11 |
Configureer Groepskenmerken.
Als gebruiker A is gekoppeld aan SAML JIT-inrichting biedt geen ondersteuning voor het verwijderen van gebruikers uit groepen of het verwijderen van gebruikers.
Zie voor een lijst met kenmerken van SAML-asserty voor Webex Meetings. https://help.webex.com/article/WBX67566 |
U ontvangt meldingen in Control Hub voordat uw certificaten verlopen, maar u kunt ook proactief waarschuwingsregels instellen. Deze regels laten u vooraf weten dat uw SP- of IdP-certificaten zullen vervallen. We kunnen deze naar u verzenden via e-mail, een ruimte in de Webex-appof beide.
Ongeacht het geconfigureerde leveringskanaal, worden alle waarschuwingen altijd weergegeven in Control Hub. Zie Waarschuwingen center in Control Hub voor meer informatie.
1 | |
2 |
Ga naar Waarschuwingencentrum. |
3 |
Kies Beheren en vervolgens Alle regels . |
4 |
Kies in de lijst Regels een van de SSO die u wilt maken:
|
5 |
In het gedeelte Leveringskanaal, selectievakje voor E-mail, Webex-ruimte, of beide. Als u kiest voor E-mail, voert u het e-mailadres in dat de melding moet ontvangen. Als u voor de optie Webex-ruimte kiest, wordt u automatisch toegevoegd aan een ruimte binnen de Webex-app en leveren wij daar meldingen. |
6 |
Sla uw wijzigingen op. |
De volgende stap
We verzenden meldingen voor het verlopen van het certificaat eenmaal per 15 dagen, vanaf 60 dagen vóór de vervaldatum. (U kunt meldingen verwachten op dag 60, 45, 30 en 15.) De meldingen stoppen wanneer u het certificaat verlengt.
Als u problemen ondervindt met uw SSO-aanmelding, kunt u de SSO-zelfhersteloptie gebruiken om toegang te krijgen tot uw Webex-organisatie die wordt beheerd in Control Hub. Met de optie voor zelfherstel kunt u SSO in Control Hub bijwerken of uitschakelen.