U kunt een integratie eenmalige aanmelding (SSO) configureren tussen Control Hub en een implementatie die SimpleSAML gebruikt als identiteitsprovider (IdP).
Een single sign-on en Control Hub
Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.
Het Security Assertion Markup Language (SAML 2.0)-federatieprotocol wordt gebruikt om SSO verificatie mogelijk te maken tussen de Webex-cloud en uw identiteitsprovider (IdP).
Profielen
De Webex-app ondersteunt alleen het profiel SSO webbrowser. In het profiel SSO webbrowser ondersteunt de Webex-app de volgende bindingen:
SP-gestarte POST -> POST-binding
SP-gestarte OMLEIDING -> POST-binding
Indeling naam-ID
Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. De Webex-app ondersteunt de volgende NameID-indelingen.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
In de metagegevens die u vanuit uw IdP laadt, wordt de eerste invoer geconfigureerd voor gebruik in Webex.
Eenmalige afmelding
De Webex-app ondersteunt het profiel van een enkele aanmelding. In de Webex-app kan een gebruiker zich afloggen bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalig aanmelden om de sessie te beëindigen en zich af te melden met uw IdP. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.
Control Hub integreren met SimpleSAML
De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie. |
Stel deze integratie in voor gebruikers in uw Webex-organisatie (inclusief Webex-app, Webex Meetings en andere services diein Control Hub worden beheerd). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en deze niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie doen om de SSO in te Webex Meetings. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)
Voordat u begint
Voor SSO control hubmoeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manieren worden geconfigureerd:
Download de Webex-metagegevens naar uw lokale systeem
1 | Ga vanuit de klantweergave in naar Beheer https://admin.webex.comorganisatie-instellingen, scrol vervolgens naar Verificatie en schakel vervolgens in met de instelling Voor eenmalig aanmelden om de installatiewizard te starten. |
||
2 | Kies het certificaattype voor uw organisatie:
|
||
3 | Download het bestand met metagegevens. De bestandsnaam met metagegevens van Webex is idb-meta-<org-ID>-SP.xml. |
Metagegevens converteren
1 | Open het geëxporteerde Webex-metagegevensbestand in een teksteditor. |
2 | Open in uw browser de eenvoudigeSAML-startpagina en meld u aan met uw beheerdersgegevens. De locatie van de startpagina varieert, maar is doorgaans vergelijkbaar met deze voorbeeld-URL: https://yourcompany.yourdomain.com/simplesaml. |
3 | Klik op de hoofdpagina op Federatie. |
4 | Onder tools, doe een XML naar Eenvoudige SAML XML converteren. |
5 | Kopieer de Webex-metagegevens uit uw teksteditor en plak deze in het XML-conversieveld. |
6 | Klik op Parseren. De geconverteerde metagegevens worden weergegeven. U voegt deze gegevens toe aan het externe SP-tekstbestand. |
Metagegevensbestand voor externe serviceprovider maken
Deze stappen zijn bedoeld als een voorbeeld. De metadatadirectory en IdP-host verschillen afhankelijk van de instellingen van uw client.
Voordat u begint
Let op de kenmerken die u moet doorgeven en gebruiken door het metadatabestand saml20-idp-hosted.php tebewerken. (Bijvoorbeeld uid, e-mail, e-mail, etc.). Zie het voorbeeld van metagegevens:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | In de SimpleSAML-configuratie op de host gaat u naar de metadatamap. |
2 | Plak de geparseerde gegevens met behulp van een teksteditor aan het einde van saml20-sp-remote.php en sla het bestand op. |
3 | Keer terug naar de voorpagina van SimpleSAML, klik op Federatie en toon vervolgensmetagegevens voor de identiteitsprovider. |
4 | Plak de gegevens in een nieuw tekstbestand. |
5 | Sla het bijgewerkte bestand op uw bureaublad op met een betekenisvolle naam, zoals simplesaml-metadata.xml. |
Importeer de IdP-metagegevens en schakel eenmalige aanmelding na een test in
Nadat u de Webex-metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens naar uw lokale systeem hebt gedownload, bent u klaar om deze vanuit Control Hub in uw Webex-organisatie te importeren.
Voordat u begint
Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door de serviceprovider gestarte (SP-gestarte) stromen, dus u moet de SSO-test van Control Hub gebruiken voor deze integratie.
1 | Kies een van de opties:
|
||||
2 | Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende. Gebruik de optie Veiliger, als dat mogelijk is. Dit is alleen mogelijk als uw IdP een openbare ca heeft gebruikt om de metagegevens te ondertekenen. In alle andere gevallen moet u de optie Minder veilig gebruiken. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfonder ondertekend of zijn ondertekend door een privé-CA. |
||||
3 | Selecteer Test SSO configuratieen verifieer de IdP wanneer er een nieuw browsertabblad wordt geopend door u aan te melden.
|
||||
4 | Keer terug naar het Control Hub-browsertabblad.
|
De volgende stap
U kunt de procedure in Geautomatiseerde e-mails onderdrukken volgen om e-mails die worden verzonden naar nieuwe Webex-app-gebruikers in uw organisatie uit te schakelen. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.