Enkel pålogging og kontrollhub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

SAML 2.0 Federation Protocol (Security Assertion Markup Language) brukes til å gi SSO-godkjenning mellom Webex-skyen og identitetsleverandøren (IdP).

Profiler

Webex App støtter bare nettleserens SSO-profil. I nettleserens SSO-profil støtter Webex App følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex App støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex App støtter den enkle avloggingsprofilen. I Webex Appkan en bruker logge av programmet, som bruker SAML-protokollen for enkel avlogging til å avslutte økten og bekrefte at logger av med din IdP. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer kontrollhub med SimpleSAML


Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex App, Webex Meetingsog andre tjenester som administreres i Kontrollhub). Hvis Webex-området er integrert i Kontrollhub ,arver Webex-området brukerbehandlingen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Kontrollhub , må du gjøre enegen integrasjon for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Før du starter

For SSO og Control Hubmå IDPer være i samsvar med SAML 2.0-spesifikasjonen. IdP-er må også konfigureres på følgende måte:

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen i https://admin.webex.comgår du til Administrasjons- > Organisasjonsinnstillinger, og deretter går du til Godkjenning , og deretter aktiverer du innstillingen Enkel pålogging for å starte installasjonsveiviseren.

2

Velg sertifikattypen for organisasjonen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det en gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er fellesnøkler som fungerer som en instans for å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se idp-dokumentasjonen.

3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID>-SP.xml.

Konvertere metadata

1

Åpne den eksporterte Webex-metadatafilen i et tekstredigeringsprogram.

2

Åpne simpleSAML-hjemmesiden i nettleseren, og logg på med administratorlegitimasjonen.

Plasseringen av hjemmesiden varierer, men den ligner vanligvis på denne URL-adressen: https://yourcompany.yourdomain.com/simplesaml.

3

Klikk på Sammenslutning fra hovedsiden.

4

Konverter en XML til en Simple SAML XML under Verktøy.

5

Kopier Webex-metadataene fra tekstredigeringsprogrammet, og lim dem deretter inn i XML-konverteringsfeltet.

6

Klikk på Analyser.

De konverterte metadataene vises. Du skal legge til disse dataene i den eksterne SP-tekstfilen.

Opprett metadatafil for ekstern tjenesteleverandør

Disse trinnene er ment som et eksempel. Metadatakatalogen og IdP-verten varierer avhengig av klientoppsettet.

Før du starter

Vær oppmerksom på attributtene du må sende og bruke tilsvarende ved å redigere metadatafilen saml20-idp-hosted.php. (For eksempel uid, e-post, e-post og så videre). Se eksempelmetadataene:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),

1

Gå til metadatakatalogen i SimpleSAML-konfigurasjonen for verten.

2

Bruk et tekstredigeringsprogram til å lime inn de analyserte dataene på slutten av saml20-sp-remote.php og lagre filen.

3

Gå tilbake til SimpleSAML-forsiden, klikk på Sammenslutning, og vis deretter metadata for identitetsleverandøren.

4

Lim inn dataene i en ny tekstfil.

5

Lagre den oppdaterte filen på skrivebordet med et beskrivende navn, for eksempel simplesaml-metadata.xml.

Importere IdP-metadataene og aktivere enkel pålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere den til Webex-organisasjonen fra Control Hub .

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Kontrollhub – sertifikatvalg i webleseren, og klikk deretter Neste.
  • Hvis Kontrollhub ikke lenger er åpen i kategorien Leser , går du til Innstillinger for administrasjon > organisasjon i kundevisning i https://admin.webex.com , går til Godkjenning og velger Handlinger >Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis din IdP brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikker . Dette inkluderer hvis metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.

3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjennes den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex App-feil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.


 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.

4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO, og klikk Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Deaktiver SSO, og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger første alternativknapp og aktiverer SSO.

Hva nå?

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye Webex App-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.