- Hjem
- /
- Artikkel
Takk for tilbakemeldingen.
Konfigurer engangspålogging i Control Hub med SimpleSAML
I denne artikkelen
Tilbakemelding?Du kan konfigurere SSO-integrering (engangspålogging) mellom Control Hub og en distribusjon som bruker SimpleSAML som identitetsleverandør (IdP).
Engangspålogging og Control Hub
Single sign-on (SSO) er en økt- eller brukerautentiseringsprosess som gjør det mulig for en bruker å oppgi legitimasjon for å få tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere meldinger når brukere bytter programmer i løpet av en bestemt økt.
SAML 2.0 (Security Assertion Markup Language) Federation Protocol brukes til å gi SSO-autentisering mellom Webex-skyen og identitetsleverandøren din (IdP).
Profiler
Webex-appen støtter bare SSO-profilen til nettleseren. Webex-appen støtter følgende bindinger i nettleserens SSO-profil:
-
SP initiert POST -> POST binding
-
SP initiert OMDIRIGERING -> POST binding
Navn-ID-format
SAML 2.0-protokollen støtter flere navn-ID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende Navn-ID-formater.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:uspesifisert -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
I metadataene du laster inn fra din IdP, konfigureres den første oppføringen for bruk i Webex.
Engangsutlogging
Webex-appen støtter engangsutlogging-profilen. I Webex-appen kan en bruker logge av programmet, som bruker SAML-protokollen for engangsutlogging til å avslutte økten og bekrefte at du logger av med IdP-en din. Sørg for at din IdP er konfigurert for engangsutlogging.
Integrer Control Hub med SimpleSAML
Konfigurasjonsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke fullstendig konfigurasjon for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integrering, men er utenfor omfanget av vår dokumentasjon.
Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex-appen, Webex Meetings og andre tjenester administrert i Control Hub). Hvis Webex-nettstedet ditt er integrert i Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Control Hub, må du utføre en separat integrering for å aktivere SSO for Webex Meetings. (Se Konfigurere engangspålogging for Webex for mer informasjon om SSO-integrering i nettstedsadministrasjon.)
Før du begynner
IdP-er må overholde SAML 2.0-spesifikasjonen for SSO og Control Hub. I tillegg må IdP-er konfigureres på følgende måte:
Last ned Webex-metadataene til ditt lokale system
| 1 |
Fra kundevisningen i https://admin.webex.com går du til , blar deretter til Autentisering, og slår deretter på innstillingen Engangspålogging for å starte installasjonsveiviseren. |
| 2 |
Velg sertifikattype for organisasjonen din:
Klareringsankre er offentlige nøkler som fungerer som en myndighet til å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for IdP. |
| 3 |
Last ned metadatafilen. Filnavnet for Webex-metadata er idb-meta--SP.xml. |
Konverter metadata
| 1 |
Åpne den eksporterte Webex-metadatafilen i et tekstredigeringsprogram. |
| 2 |
Åpne simpleSAML hjemmesiden i nettleseren og logg på med administratorlegitimasjonen. Plasseringen av hjemmesiden varierer, men ligner vanligvis på dette eksempelnettadressen: https://yourcompany.yourdomain.com/simplesaml. |
| 3 |
Klikk på Sammenslutning på hovedsiden. |
| 4 |
Under verktøy konverterer du en XML til Simple SAML XML. |
| 5 |
Kopier Webex-metadataene fra tekstredigeringsprogrammet, og lim dem deretter inn i XML-konverteringsfeltet. |
| 6 |
Klikk på Analyser. De konverterte metadataene vises. Du legger til disse dataene i den eksterne SP-tekstfilen. |
Opprett metadatafil for ekstern tjenesteleverandør
Disse trinnene er ment som et eksempel. Metadatakatalogen og IdP-verten varierer avhengig av klientoppsettet ditt.
Før du begynner
Vær oppmerksom på attributtene du må sende og tilordne i henhold til dette ved å redigere metadatafilen saml20-idp-hosted.php. (For eksempel uid, post, e-post osv.). Se eksemplet med metadata:
'authproc' => array( // Konverter LDAP-navn til oids. 3 => array( 'class' => 'saml:AttributeNameID', 'attribute' => 'mail', 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', ), 50 => array( 'class' => 'core:AttributeMap', 'attribute' => 'mail', 'mail' => array('uid', 'email', 'mail'), 'sn' => 'etternavn', 'givenName' => 'fornavn', ), ),| 1 |
Gå til metadatakatalogen i SimpleSAML-konfigurasjonen på verten. |
| 2 |
Bruk et tekstredigeringsprogram til å lime inn de analyserte dataene på slutten av saml20-sp-remote.php og lagre filen. |
| 3 |
Gå tilbake til SimpleSAML-forsiden, klikk på Sammenslutning, og vis deretter metadata for identitetsleverandøren. |
| 4 |
Lim inn dataene i en ny tekstfil. |
| 5 |
Lagre den oppdaterte filen på skrivebordet med et meningsfullt navn, for eksempel simplesaml-metadata.xml. |
Importer IdP-metadataene og aktiver engangspålogging etter en test
Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Webex-organisasjonen din fra Control Hub.
Før du begynner
Ikke test SSO-integrering fra grensesnittet til identitetsleverandøren (IdP). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.
| 1 |
Velg én:
|
| 2 |
Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filnettleseralternativet til å finne og laste opp metadatafilen. Klikk på Neste. Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig sertifiseringsinstans til å signere metadataene. I alle andre tilfeller må du bruke alternativet Mindre sikkert . Dette inkluderer om metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans. Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrering. |
| 3 |
Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjenn med IdP-en ved å logge på. Hvis du får en autentiseringsfeil, kan det oppstå et problem med legitimasjonen. Kontroller brukernavnet og passordet, og prøv på nytt. En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene igjen, spesielt trinnene der du kopierer og limer inn Control Hub-metadataene i IdP-oppsettet. Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavle fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom å logge på med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra at du er logget på. |
| 4 |
Gå tilbake til nettleserfanen Control Hub.
SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger den første alternativknappen og aktiverer SSO. |
Hva du skal gjøre nå
Bruk fremgangsmåtene i Synkroniser Okta-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Okta til Webex-skyen.
Bruk fremgangsmåtene i Synkronisere Azure Active Directory-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Azure AD til Webex-skyen.
Du kan følge fremgangsmåten i Undertrykk automatiserte e-poster for å deaktivere e-poster som sendes til nye brukere av Webex-appen i organisasjonen. Dokumentet inneholder også beste praksis for å sende ut kommunikasjon til brukere i organisasjonen.
