Logowanie jednokrotne i Control Hub

Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Webex app obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:

  • Skojarzonie POST -> POST inicjowane przez SP

  • Skojarzonie REDIRECT -> POST zainicjowane przez SP

Format NameID

Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Aplikacja Webex app obsługuje następujące formaty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Webex.

Integracja Control Hub z Okta

Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład udokumentowane są kroki integracji dla produktu nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania SSO, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym Webex App, Webex Meetingsi innych usług administrowanych w Control Hub). Jeśli witryna webex jest zintegrowana z centrum sterowania, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest on zarządzany w Control Hub, musisz wykonać oddzielną integrację, aby włączyć logowanie jednokrotne dla SpotkańWebex. (Zobacz Konfigurowanie logowania jednokrotnego dla usługi Webex, aby uzyskać więcej informacji na temat integracji logowania jednokrotnego w administracji witryną.)

Przed rozpoczęciem

  • W przypadku logowania SSO i korzystania z Control Hub dostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawców tożsamości należy skonfigurować w następujący sposób:

  • Webex obsługuje tylko przepływy inicjowane przez dostawcę usług. Oznacza to, że użytkownicy muszą rozpocząć swoje sesje z witryny Webex. Gwarantuje to, że uwierzytelnianie jest prawidłowo kierowane przez platformę Webex.

Pobierz metadane Webex do systemu lokalnego

1

Z widoku klienta w https://admin.webex.commenu Przejdź do pozycji Zarządzanie > Ustawieniaorganizacji, a następnie przewiń do pozycji Uwierzytelnianie, a następnie włącz ustawienie logowania jednokrotnego , aby uruchomić kreatora instalacji.

2

Wybierz typ certyfikatu dla swojej organizacji:

  • Podpis własny Cisco — zalecamy tę opcję. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisany przez publiczny urząd certyfikacji — bezpieczniejszy, ale będzie wymagane częste aktualizowanie metadanych (chyba że dostawca tożsamości obsługuje kotwice zaufania).

Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

3

Pobierz plik metadanych.

Nazwa pliku metadanych Webex to idb-meta-<org-ID>-SP.xml.

Konfigurowanie usługi Okta dla usług Webex

Po skonfigurowaniu aplikacji Cisco Webex w portalu administracyjnym Okta należy skonfigurować domyślną ikonę aplikacji tak, aby pozostawała ukryta. W tym celu wybierz kolejno opcje Ustawienia aplikacji > Widoczność aplikacji i zaznacz opcję Nie wyświetlaj ikony aplikacji użytkownikom oraz Nie wyświetlaj ikony aplikacji w aplikacji mobilnej Okta.

1

Zaloguj się do dzierżawcy usługi Okta (example.okta.com, gdzie example jest nazwa Twojej firmy lub organizacji) jako administrator, przejdź do sekcji Aplikacje, a następnie kliknij opcję Dodajaplikację.

2

Wyszukaj Cisco Webex i dodaj aplikację do dzierżawy.

3

Kliknij przycisk Dalej , a następnie kliknij przycisk SAML 2.0.

4

W przeglądarce otwórz plik metadanych pobrany z centrum Sterowania. Skopiuj adresy URL identyfikatora jednostki (u góry pliku) i lokalizacji assertionConsumerService (u dołu pliku).

Przykład wyróżnionego identyfikatora encji w pliku metadanych centrum sterowania

Przykład wyróżnionego assertionLokacje usługi konsumencja w pliku metadanych centrum sterowania

5

Na karcie Cisco Webex w okta przewiń do pozycji Ustawienia zaawansowane, a następnie wklej wartości Entity ID i Assertion Consumer Service skopiowane z pliku metadanych Centrum sterowania, a następnie zapisz zmiany.

6

Kliknij opcję Zaloguj się , a następnie pobierz plik metadanych Okta. Zaimportujesz ten plik z powrotem do swojego wystąpienia usługi Control Hub.

Aby przyznać użytkownikom dostęp do określonej witryny Webex, możesz utworzyć niestandardową aplikację w usłudze Okta. Skonfiguruj łącze internetowe, które przekieruje użytkowników do ich unikatowego adresu URL witryny Webex. Upewnij się, że ustawienia widoczności aplikacji w usłudze Okta są dostosowane tak, aby ta niestandardowa ikona aplikacji była widoczna dla użytkowników.
7

Kliknij pozycję Przypisania, wybierz wszystkich użytkowników i odpowiednie grupy, które chcesz skojarzyć z aplikacjami i usługami zarządzanymi w centrum Sterowania, kliknij pozycję Przypisz, a następnie kliknij pozycję Gotowe.

Możesz przypisać użytkownika lub grupę. Nie pomijaj tego kroku; w przeciwnym razie integracja Control Hub i Okta nie będzie działać.

Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście

Po wyeksportowaniu metadanych Webex , skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Webex z centrum sterowania.

Przed rozpoczęciem

Nie testuj integracji logowania jednokrotnego z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy inicjowane przez dostawcę usług (inicjowane przez dostawcę usług), więc do tej integracji należy użyć testu logowania jednokrotnego usługi Control Hub .

1

Wybierz jedną z nich:

  • Wróć do strony wyboru certyfikatu Control Hub w przeglądarce, a następnie kliknij przycisk Dalej.
  • Jeśli na karcie przeglądarki nie jest już otwarty program Control Hub, w widoku klienta na stronie https://admin.webex.com wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do pozycji Uwierzytelnianie, a następnie wybierz kolejno opcje Działania > Importuj metadane.
2

Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przekazać plik metadanych. Kliknij przycisk Dalej.

Jeśli możesz, powinieneś użyć opcji Bardziej bezpieczne . Jest to możliwe tylko wtedy, gdy dostawca tożsamości użył publicznego urzędu certyfikacji do podpisania swoich metadanych.

We wszystkich innych przypadkach należy użyć opcji Mniej bezpieczne . Dotyczy to również sytuacji, gdy metadane nie są podpisane, podpisane samodzielnie lub podpisane przez prywatny urząd certyfikacji.

Okta nie podpisuje metadanych, więc musisz wybrać Mniej bezpieczne dla integracji logowania jednokrotnego Okta.

3

Wybierz opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Jeśli zostanie wyświetlony błąd uwierzytelniania, może to oznaczać problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Ten krok zatrzymuje fałszywe alarmy z powodu tokenu dostępu, który może znajdować się w istniejącej sesji po zalogowaniu.

4

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Włącz logowanie jednokrotne i kliknij przycisk Dalej.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wyłącz logowanie jednokrotne i kliknij przycisk Dalej.

Konfiguracja logowania jednokrotnego nie zostanie zastosowana w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Co dalej?

Skorzystaj z procedur opisanych w temacie Synchronize Okta Users into Cisco Webex Control Hub (Synchronizuj użytkowników z usługą Okta z cisco Webex Control Hub ), jeśli chcesz przeprowadzić aprowizację użytkowników z okta do chmury Webex.

Skorzystaj z procedur opisanych w artykule Synchronizacja użytkowników usługi Azure Active Directory z centrum sterowania Cisco Webex, jeśli chcesz przeprowadzić obsługę administracyjną użytkowników z usługi Azure AD w chmurze Webex.

Możesz wykonać procedurę opisaną w części Pomijaj automatyczne wiadomości e-mail , aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.