Enkel pålogging og kontrollhub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

SAML 2.0 Federation Protocol (Security Assertion Markup Language) brukes til å gi SSO-godkjenning mellom Webex-skyen og identitetsleverandøren (IdP).

Profiler

Webex App støtter bare nettleserens SSO-profil. I nettleserens SSO-profil støtter Webex App følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex App støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex App støtter den enkle avloggingsprofilen. I Webex Appkan en bruker logge av programmet, som bruker SAML-protokollen for enkel avlogging til å avslutte økten og bekrefte at logger av med din IdP. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer kontrollhub med PingFederate

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex App, Webex Meetingsog andre tjenester som administreres i Kontrollhub). Hvis Webex-området er integrert i Kontrollhub ,arver Webex-området brukerbehandlingen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Kontrollhub , må du gjøre enegen integrasjon for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Før du starter

For SSO og Control Hubmå IDPer være i samsvar med SAML 2.0-spesifikasjonen. IdP-er må også konfigureres på følgende måte:

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen i https://admin.webex.comgår du til Administrasjons- > Organisasjonsinnstillinger, og deretter går du til Godkjenning , og deretter aktiverer du innstillingen Enkel pålogging for å starte installasjonsveiviseren.
2

Velg sertifikattypen for organisasjonen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det en gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er fellesnøkler som fungerer som en instans for å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se idp-dokumentasjonen.
3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID>-SP.xml.

Konfigurere en ny tjenesteleverandørtilkobling

1

Gå til portalen for PingFederate-administrasjon ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Velg Opprett ny under SP-TILKOBLINGER.
3

Velg alternativknappen Ikke bruk en mal for denne tilkoblingen, og velg Neste.
4

Velg SSO-profiler for nettleser, og klikk på Neste.
5

Velg fanen Importer metadata.
6

Klikk Velg fil for å bla til og importere metadatafilen du lastet ned fra Kontrollhub , og klikk deretter Neste.
7

Se gjennom informasjonen i fanen Generell informasjon, og klikk på Ferdig.

Konfigurere enkel pålogging i nettleseren

1

Velg Konfigurer SSO for nettleser fra PingFederate-administrasjonsportalen.
2

Merk av i avmerkingsboksen for SP-initiert SSO, og klikk på Neste.
3

Velg Konfigurer deklarasjonsoppretting.

  1. Endre Navn-ID-formatet til Midlertidig og merk av i avmerkingsboksen Inkluder attributter i tillegg til den midlertidige identifikatoren.

  2. Utvid kontraktattributtene ved å legge til e-post- og uid-attributter i formatet urn:oasis:names:tc:SAML:2.0:attrname-format-basic, og klikk på Neste.

  3. Velg Tilordne ny adapterforekomst for å velge en autentiseringsmekanisme. Velg en av de tidligere konfigurerte autentiseringsmekanismene fra rullegardinmenyen ADAPTERFOREKOMST, og klikk på Neste.

  4. Velg alternativknappen Hent flere attributter fra flere datalagre via én tilordning, og klikk på Neste.

  5. Velg Legg til attributtkilde for å legge til Active Directory-domenekontrolleren for domenet, og klikk på Neste.

  6. Angi basis-DN og velg rotobjektklassen <Show All Attributes>. Skriv inn LDAP-filteret i Filter-tekstboksen, og klikk på Neste.

    Oppføringen må inneholde attributtet du forventer at brukeren skal oppgi. Den må også inneholde verdien den tilordnes til i LDAP-kildene. Hvis Active Directory for eksempel er satt til å filtrere på Windows-påloggingsattributtet, skriver du inn sAMAccountName=${Username}.

  7. Velg kilden og verdien for å tilordne deklarasjonsattributtene til attributtene fra AD-datalageret. (Ikke angi noe for utstedelseskriterier.)

  8. Kontroller at deklarasjonskonfigurasjonen har Identitetstilordning angitt til Midlertidig, Attributtkontrakt angitt til uid og Adapterforekomster angitt til 1.


     

    Uid-attributtet skal tilordnes brukerens e-postadresse.
4

Velg Konfigurer protokollinnstillinger.

  1. Merk kun av i avmerkingsboksene POST og Omdiriger for Tillatte SAML-bindinger.

  2. Velg Signer alltid SAML-deklarasjonen for signaturpolicy.

    Protokollinnstillingene skal se slik ut.

  3. Velg Konfigurer legitimasjon for å konfigurere sertifikatet for deklarasjonen.

  4. Velg sertifikatet som allerede er opprettet for SAML-deklarasjoner.
5

Angi Tilkoblingsstatus til Aktiv i skjermbildet Aktivering og sammendrag.

Eksporter metadata fra PingFederate

1

Klikk på Administrere all SP på hovedskjermen.
2

Finn tilkoblingen du nettopp opprettet, og klikk på Eksporter metadata.
3

Velg sertifikatet som skal brukes til å signere den eksporterte filen, fra rullegardinlisten.
4

Klikk på Eksporter.

Importere IdP-metadataene og aktivere enkel pålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere den til Webex-organisasjonen fra Control Hub .

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Kontrollhub – sertifikatvalg i webleseren, og klikk deretter Neste.
  • Hvis Kontrollhub ikke lenger er åpen i kategorien Leser , går du til Innstillinger for administrasjon > organisasjon i kundevisning i https://admin.webex.com , går til Godkjenning og velger Handlinger >Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis din IdP brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikker . Dette inkluderer hvis metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.
3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjennes den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex App-feil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.

 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.
4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO, og klikk Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Deaktiver SSO, og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger første alternativknapp og aktiverer SSO.

Hva nå?

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye Webex App-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.