Enkel pålogging og kontrollhub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

SAML 2.0 Federation Protocol (Security Assertion Markup Language) brukes til å gi SSO-godkjenning mellom Webex-skyen og identitetsleverandøren (IdP).

Profiler

Webex App støtter bare nettleserens SSO-profil. I nettleserens SSO-profil støtter Webex App følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex App støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex App støtter den enkle avloggingsprofilen. I Webex Appkan en bruker logge av programmet, som bruker SAML-protokollen for enkel avlogging til å avslutte økten og bekrefte at logger av med din IdP. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer Kontrollhub med F5 Big-IP

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex App, Webex Meetingsog andre tjenester som administreres i Kontrollhub). Hvis Webex-området er integrert i Kontrollhub ,arver Webex-området brukerbehandlingen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Kontrollhub , må du gjøre enegen integrasjon for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Før du starter

For SSO og Control Hubmå IDPer være i samsvar med SAML 2.0-spesifikasjonen. IdP-er må også konfigureres på følgende måte:

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen i https://admin.webex.comgår du til Administrasjons- > Organisasjonsinnstillinger, og deretter går du til Godkjenning , og deretter aktiverer du innstillingen Enkel pålogging for å starte installasjonsveiviseren.
2

Velg sertifikattypen for organisasjonen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det en gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er fellesnøkler som fungerer som en instans for å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se idp-dokumentasjonen.
3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID>-SP.xml.

Konfigurere leverandør av eksterne tjenester og identitetsleverandør

1

Fra BIG-IP F5-administrasjonsgrensesnittet går du til Tilgangspolicy > SAML > BIG-IP som IdP.
2

Velg Opprett > Fra metadata under Eksterne SP-tilkoblinger.
3

Skriv inn et beskrivende navn på tjenesteleverandøren, for eksempel <yourorganizationname>.ciscowebex.com.
4

Merk av i følgende avmerkingsbokser under Sikkerhetsinnstillinger:

  • Svaret må signeres
  • Deklarasjonen må signeres
5

Gå tilbake til Tilgangspolicy > SAML > BIG-IP som IdP, og opprett en ny IdP-tjeneste.
6

Skriv inn et beskrivende navn på IdP-tjenesten, for eksempel CI.
7

For enhets-ID-en for IdP bruker du FQDN for Big-IP-serveren med noe foran, for eksempel https://bigip0a.uc8sevtlab13.com/CI.
8

Velg Midlertidig identifikator for Emnetype for deklarasjon under Deklarasjonsinnstillinger.
9

Returner verdien for e-postadressen til brukeren %{session.ad.last.attr.mail} for Emneverdi for deklarasjon.
10

Returner attributtene e-post og uid med verdien %{session.ad.last.attr.mail}.
11

Velg et sertifikat som skal signere deklarasjonen, under Sikkerhetsinnstillinger.
12

Lagre endringene, og bind deretter tjenesteleverandøren og identitetsleverandøren du opprettet.

Last ned F5 Big-IP-metadataene

1

Velg Eksporter IDP-tjeneste.
2

Sørg for at verdien for Signer metadata er satt til Ja.
3

Last ned metadatafilen til skrivebordet eller en plassering som er enkel å finne.

Legge til en tilgangspolicy

1

Gå til Tilgangspolicy > Tilgangsprofiler > SAML, og opprett en SAML-ressurs for IdP-en du opprettet.
2

Gå til tilgangsprofilen din og rediger tilgangspolicyen du bruker for WebEx Messenger CAS.
3

Legg til et nytt element i Logg på-fanen med navnet Påloggingsside, og la standardverdiene stå.
4

Legg til et nytt element i Autentisering-fanen med navnet AD Auth, og angi Active Directory som server.
5

Legg til en AD-spørring fra Autentisering-fanen på en vellykket forgrening
6

Gå til Forgreningsregler, og endre den til AD-spørring er bestått.
7

Legg til Avansert ressurstildeling fra Tildeling-fanen på den vellykkede AD-spørringsforgreningen.
8

Klikk på Legg til / slett, og legg til to SAML-ressurser med alle SAML-ressursene og Webtop du opprettet.
9

Velg Tillat under Velg avslutning.

Tilgangspolicyen skal se slik ut:

Knytte tilgangsprofilen til den virtuelle serveren

Du må knytte tilgangsprofilen til den virtuelle serveren du opprettet.

1

Gå til Lokal trafikk > Virtuelle servere.
2

Åpne Tilgangsprofiler for å bekrefte at ingen virtuelle servere er knyttet til profilen.
3

Velg Avansert ressurstildeling.
4

Velg Legg til / slett for å legge til den nye SAML-ressursen.
5

Lukk utformingsvinduene for tilgangspolicyen, og bruk den nye tilgangspolicyen.

Importere IdP-metadataene og aktivere enkel pålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere den til Webex-organisasjonen fra Control Hub .

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Kontrollhub – sertifikatvalg i webleseren, og klikk deretter Neste.
  • Hvis Kontrollhub ikke lenger er åpen i kategorien Leser , går du til Innstillinger for administrasjon > organisasjon i kundevisning i https://admin.webex.com , går til Godkjenning og velger Handlinger >Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis din IdP brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikker . Dette inkluderer hvis metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.
3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjennes den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex App-feil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.

 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.
4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO, og klikk Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Deaktiver SSO, og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger første alternativknapp og aktiverer SSO.

Hva nå?

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye Webex App-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.