Engangspålogging og Control Hub

Single sign-on (SSO) er en økt- eller brukerautentiseringsprosess som gjør det mulig for en bruker å oppgi legitimasjon for å få tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere meldinger når brukere bytter programmer i løpet av en bestemt økt.

SAML 2.0 (Security Assertion Markup Language) Federation Protocol brukes til å gi SSO-autentisering mellom Webex-skyen og identitetsleverandøren din (IdP).

Profiler

Webex-appen støtter bare SSO-profilen til nettleseren. Webex-appen støtter følgende bindinger i nettleserens SSO-profil:

  • SP initiert POST -> POST binding

  • SP initiert OMDIRIGERING -> POST binding

Navn-ID-format

SAML 2.0-protokollen støtter flere navn-ID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende Navn-ID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:uspesifisert

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra din IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex-appen støtter engangsutlogging-profilen. I Webex-appen kan en bruker logge av programmet, som bruker SAML-protokollen for engangsutlogging til å avslutte økten og bekrefte at du logger av med IdP-en din. Sørg for at din IdP er konfigurert for engangsutlogging.

Integrer Control Hub med PingFederate

Konfigurasjonsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke fullstendig konfigurasjon for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integrering, men er utenfor omfanget av vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex-appen, Webex Meetings og andre tjenester administrert i Control Hub). Hvis Webex-nettstedet ditt er integrert i Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Control Hub, må du utføre en separat integrering for å aktivere SSO for Webex Meetings. (Se Konfigurere engangspålogging for Webex for mer informasjon om SSO-integrering i nettstedsadministrasjon.)

Før du begynner

IdP-er må overholde SAML 2.0-spesifikasjonen for SSO og Control Hub. I tillegg må IdP-er konfigureres på følgende måte:

Last ned Webex-metadataene til ditt lokale system

1

Fra kundevisningen i https://admin.webex.com går du til Administrasjon > Organisasjonsinnstillinger, blar deretter til Autentisering, og slår deretter på innstillingen Engangspålogging for å starte installasjonsveiviseren.

2

Velg sertifikattype for organisasjonen din:

  • Selvsignert av Cisco – Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren din støtter klareringsankre).

Klareringsankre er offentlige nøkler som fungerer som en myndighet til å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for IdP.

3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta--SP.xml.

Konfigurere en ny tjenesteleverandørtilkobling

1

Gå til administrasjonsportalen for PingFederate (https://:9999/pingfederate/app).

2

Velg Opprett ny under SP-TILKOBLINGER.

3

Velg alternativknappen Ikke bruk en mal for denne tilkoblingen , og velg deretter Neste.

4

Velg SSO-profiler for nettleser, og klikk deretter på Neste.

5

Velg fanen Importer metadata .

6

Klikk på Velg fil for å bla til og importere metadatafilen du lastet ned fra Control Hub, og klikk deretter på Neste.

7

Se gjennom informasjonen i fanen Generell informasjon, og klikk deretter på Ferdig.

Konfigurer engangspålogging for nettleser

1

Velg Konfigurer SSO for nettleser fra portalen for PingFederate-administrasjon.

2

Merk av for SP-initiert SSO , og klikk deretter på Neste.

3

Velg Konfigurer opprettelse av påstand.

  1. Endre Navn-ID-formatet til Midlertidig og merk av i avkrysningsboksen Inkluder attributter i tillegg til den midlertidige identifikatoren .

  2. Utvid kontraktattributtene ved å legge til e-post - og uid -attributter i formatet urn:oasis:names:tc:SAML:2.0:attrname-format-basic, og klikk deretter på Neste.

  3. Velg Tilordne ny adapterforekomst for å velge en autentiseringsmekanisme. Fra rullegardinlisten ADAPTERFOREKOMST velger du en av de tidligere konfigurerte autentiseringsmekanismene, og klikker deretter på Neste.

  4. Velg alternativknappen Hent flere attributter fra flere datalager ved hjelp av én tilordning , og klikk deretter på Neste.

  5. Velg Legg til attributtkilde for å legge til Active Directory-domenekontrolleren for domenet, og klikk deretter på Neste.

  6. Angi base-DN og velg rotobjekttypen . Skriv inn LDAP-filteret i tekstboksen Filter, og klikk deretter på Neste.

    Oppføringen må inneholde attributtet du forventer at brukeren skal oppgi. Den må også inneholde verdien den tilordner til i LDAP-kildene. Hvis Active Directory for eksempel er satt til å filtrere på Windows-påloggingsattributtet, skriver du inn sAMAccountName=${Username}.

  7. Velg kilden og verdien for å tilordne deklarasjonsattributtene med attributtene fra AD-datalageret. (Ikke angi noe for utstedelseskriterier.)

  8. Kontroller at deklarasjonskonfigurasjonen har Identitetstilordning satt til Midlertidig, Attributtkontrakt satt til uid og Adapterforekomster satt til 1.

    UID-attributtet skal tilordnes brukerens e-postadresse.

4

Velg Konfigurer protokollinnstillinger.

  1. For Tillatte SAML-bindinger merker du bare av i avmerkingsboksene POST og Omdiriger .

  2. For signaturpolicy velger du Signer alltid SAML-deklarasjonen.

    Protokollinnstillingene skal se slik ut.

  3. Velg Konfigurer legitimasjon for å konfigurere sertifikatet for påstanden.

  4. Velg sertifikatet som allerede er opprettet for SAML-påstander.

5

Sett Tilkoblingsstatus til Aktiv på skjermen Aktivering og oppsummering.

Eksporter metadata fra PingFederate

1

Klikk på Administrer alle SP på hovedskjermbildet.

2

Finn tilkoblingen du nettopp opprettet, og klikk på Eksporter metadata.

3

Velg sertifikatet som skal brukes til å signere den eksporterte filen, fra rullegardinlisten.

4

Klikk på Eksporter.

Importer IdP-metadataene og aktiver engangspålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Webex-organisasjonen din fra Control Hub.

Før du begynner

Ikke test SSO-integrering fra grensesnittet til identitetsleverandøren (IdP). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden for Control Hub – sertifikatvalg i nettleseren, og klikk deretter på Neste.
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, går du til https://admin.webex.comAdministrasjon > Organisasjonsinnstillinger i kundevisningen, blar til Autentisering og velger Handlinger > Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filnettleseralternativet til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikkert . Dette inkluderer om metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.

Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrering.

3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjenn med IdP-en ved å logge på.

Hvis du får en autentiseringsfeil, kan det oppstå et problem med legitimasjonen. Kontroller brukernavnet og passordet, og prøv på nytt.

En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene igjen, spesielt trinnene der du kopierer og limer inn Control Hub-metadataene i IdP-oppsettet.

Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavle fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom å logge på med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra at du er logget på.

4

Gå tilbake til nettleserfanen Control Hub.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO og klikk på Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Slå av SSO og klikk på Neste.

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger den første alternativknappen og aktiverer SSO.

Hva du skal gjøre nå

Bruk fremgangsmåtene i Synkroniser Okta-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Okta til Webex-skyen.

Bruk fremgangsmåtene i Synkronisere Azure Active Directory-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Azure AD til Webex-skyen.

Du kan følge fremgangsmåten i Undertrykk automatiserte e-poster for å deaktivere e-poster som sendes til nye brukere av Webex-appen i organisasjonen. Dokumentet inneholder også beste praksis for å sende ut kommunikasjon til brukere i organisasjonen.