Engangspålogging og Control Hub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

Federation Protocol (SAML 2.0) for Security Assertion Markup Language brukes til å gi SSO-autentisering mellom Webex-skyen og identitetsleverandøren din (IdP).

Profiler

Webex-appen støtter bare SSO-profilen for nettleseren. I SSO-profilen for nettleseren støtter Webex-appen følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP-en din, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex-appen støtter profilen for enkel utlogging. I Webex-appen kan en bruker logge av applikasjonen, som bruker SAML-protokollen for enkel utlogging til å avslutte økten og bekrefte utloggingen med IdP-en. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer Control Hub med PingFederate


 

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integrering, men er utenfor omfanget i dokumentasjonen vår.

Konfigurer denne integreringen for brukere i Webex-organisasjonen din (inkludert Webex-appen, Webex Meetings og andre tjenester som administreres i Control Hub). Hvis Webex-nettsted er integrert i Control Hub, arver Webex-nettsted brukeradministrasjonen. Hvis du ikke har tilgang til Webex Meetings på denne måten og den ikke administreres i Control Hub, må du gjøre en separat integrering for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Før du starter

IdP-er må være i samsvar med SAML 2.0-spesifikasjonen for SSO og Control Hub. IdP-er må også konfigureres på følgende måte:

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , og bla til Autentisering , og slå deretter på Engangspålogging innstilling for å starte installasjonsveiviseren.

2

Velg sertifikattype for organisasjonen din:

  • Egensignert av Cisco –Vi anbefaler dette valget. La oss signere sertifikatet, slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans – Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er offentlige nøkler som fungerer som en autorisasjon for å bekrefte sertifikatet for en digital signatur. Hvis du vil ha mer informasjon, kan du se IdP-dokumentasjonen.

3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID> -SP.xml .

Konfigurer en ny tilkobling for tjenesteleverandør

1

Gå til administrasjonsportalen for PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Velg Opprett ny under SP-TILKOBLINGER.

3

Velg alternativknappen Ikke bruk en mal for denne tilkoblingen, og velg Neste.

4

Velg SSO-profiler for nettleser, og klikk på Neste.

5

Velg fanen Importer metadata.

6

Klikk på Velg Fil for å bla til og importere metadatafilen du lastet ned fra Control Hub, og klikk deretter på Neste .

7

Se gjennom informasjonen i fanen Generell informasjon, og klikk på Ferdig.

Konfigurer engangspålogging for nettleseren

1

Velg Konfigurer SSO for nettleser fra PingFederate-administrasjonsportalen.

2

Merk av i avmerkingsboksen for SP-initiert SSO, og klikk på Neste.

3

Velg Konfigurer deklarasjonsoppretting.

  1. Endre Navn-ID-formatet til Midlertidig og merk av i avmerkingsboksen Inkluder attributter i tillegg til den midlertidige identifikatoren.

  2. Utvid kontraktsattributtene ved å legge til post og uid attributter i formatet urn:oasis:names:tc:SAML:2.0:attrname-format-basic, og klikk deretter Neste .

  3. Velg Tilordne ny adapterforekomst for å velge en autentiseringsmekanisme. Velg en av de tidligere konfigurerte autentiseringsmekanismene fra rullegardinmenyen ADAPTERFOREKOMST, og klikk på Neste.

  4. Velg alternativknappen Hent flere attributter fra flere datalagre via én tilordning, og klikk på Neste.

  5. Velg Legg til attributtkilde for å legge til Active Directory-domenekontrolleren for domenet, og klikk på Neste.

  6. Angi basis-DN og velg rotobjektklassen <Show All="" Attributes="">. Skriv inn LDAP-filteret i Filter-tekstboksen, og klikk på Neste.

    Oppføringen må inneholde attributtet du forventer at brukeren skal oppgi. Den må også inneholde verdien den tilordnes til i LDAP-kildene. Hvis Active Directory for eksempel er satt til å filtrere på Windows-påloggingsattributtet, skriver du inn sAMAccountName=${Username}.

  7. Velg kilden og verdien for å tilordne deklarasjonsattributtene til attributtene fra AD-datalageret. (Ikke angi noe for utstedelseskriterier.)

  8. Kontroller at deklarasjonskonfigurasjonen har Identitetstilordning angitt til Midlertidig, Attributtkontrakt angitt til uid og Adapterforekomster angitt til 1.


     

    Uid-attributtet skal tilordnes brukerens e-postadresse.

4

Velg Konfigurer protokollinnstillinger.

  1. Merk kun av i avmerkingsboksene POST og Omdiriger for Tillatte SAML-bindinger.

  2. Velg Signer alltid SAML-deklarasjonen for signaturpolicy.

    Protokollinnstillingene skal se slik ut.

  3. Velg Konfigurer legitimasjon for å konfigurere sertifikatet for deklarasjonen.

  4. Velg sertifikatet som allerede er opprettet for SAML-deklarasjoner.

5

Angi Tilkoblingsstatus til Aktiv i skjermbildet Aktivering og sammendrag.

Eksporter metadata fra PingFederate

1

Klikk på Administrere all SP på hovedskjermen.

2

Finn tilkoblingen du nettopp opprettet, og klikk på Eksporter metadata.

3

Velg sertifikatet som skal brukes til å signere den eksporterte filen, fra rullegardinlisten.

4

Klikk på Eksporter.

Importer IdP-metadataene og aktiver engangspålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Webex-organisasjonen fra Control Hub.

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Control Hub – sertifikatvalg i nettleseren, og klikk deretter Neste .
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, kan du fra kunden vise ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , bla til Autentisering , og velg deretter Handlinger > Importer metadata .
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke Tryggere alternativ, hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig sertifiseringsinstans til å signere metadataene sine.

I alle andre tilfeller må du bruke Mindre sikker alternativet. Dette inkluderer hvis metadataene ikke er signert, egensignert eller signert av en privat sertifiseringsinstans.


 

Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrering.

3

Velg Test SSO-oppsettet , og når en ny nettleserfane åpnes, godkjenn med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.


 

Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavlen fra dette skjermbildet og lime inn URL-en i et privat nettleservindu. Derfra kan du gjennomgå påloggingen med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.

4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO og klikk Neste .
  • Hvis testen mislyktes, velger du Testen mislyktes. Slå av SSO og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen din med mindre du velger den første alternativknapp og aktiverer SSO.

Hva nå?

Bruk fremgangsmåtene i Synkroniser Okta-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Okta til Webex-skyen.

Bruk fremgangsmåten i Synkronisere Azure Active Directory -brukere til Cisco Webex Control Hub hvis du vil gjøre brukerklargjøring fra Azure AD til Webex-skyen.

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye brukere av Webex-appen i organisasjonen din. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.