Jednokrotne logowanie

Webex SSO używa jednego unikalnego identyfikatora, aby zapewnić osobom w Twojej organizacji dostęp do wszystkich aplikacji korporacyjnych. Administratorzy mogą używać narzędzia Webex Administration do konfigurowania logowania jednokrotnego dla aplikacji Webex.

Logowanie jednokrotne to opcjonalna funkcja, którą należy udostępnić w witrynie. Aby uzyskać więcej informacji, skontaktuj się ze wsparciem Cisco.

Konfiguruj SSO

Użyj poniższej procedury, aby skonfigurować logowanie jednokrotne i SAML 2.0.

Przed rozpoczęciem

Uzyskaj i skonfiguruj następujące wymagania.

  • Standardowy dostawca tożsamości (IdP) zgodny z SAML 2.0 lub WS Federate 1.0, taki jak CA SiteMinder, ADFS i Ping Identity.

    SAML 1.1 i WS Federate 1.0 są przestarzałe i nie są już obsługiwane przez Cisco Webex.

  • Korporacyjny certyfikat klucza publicznego X.509 z zaufanego urzędu certyfikacji, takiego jak VeriSign i Thawte.

  • Dostawca tożsamości skonfigurowany do dostarczania potwierdzeń SAML z informacjami o koncie użytkownika i identyfikatorami systemu SAML.

  • Plik XML dostawcy tożsamości.

  • Adres URL firmowej usługi uprawnień.

1

Zaloguj się do administracji Webex i przejdź do Konfiguracja > Typowe ustawienia witryny > Konfiguracja logowania jednokrotnego.

2

Z listy rozwijanej Protokół federacji wybierz opcję SAML 2.0.

Jeśli istnieje konfiguracja, niektóre pola mogą być już wypełnione.

3

Wybierz link Menedżer certyfikatów witryny.

4

W oknie Menedżer certyfikatów witryny wybierz opcję Przeglądaj, a następnie przejdź do lokalizacji pliku CER dla Twojego certyfikatu X.509.

5

Wybierz plik CER, a następnie wybierz OK.

6

Wybierz Zamknij.

7

Wprowadź wymagane informacje na stronie Konfiguracja logowania jednokrotnego i wybierz opcje, które chcesz włączyć.

8

Wybierz Aktualizuj.

Strona konfiguracji logowania jednokrotnego

W poniższej tabeli wymieniono i opisano pola oraz opcje na stronie Konfiguracja logowania jednokrotnego.

Informacje używane podczas konfiguracji muszą być dokładne. Jeśli potrzebujesz dalszych wyjaśnień dotyczących informacji wymaganych do skonfigurowania logowania jednokrotnego dla Twojej witryny, skontaktuj się z dostawcą tożsamości.

Tabela 1. Pola i opcje strony konfiguracji logowania jednokrotnego

Pole lub opcja

Opis

AuthnContextRef klasy

Instrukcja SAML opisująca uwierzytelnianie u dostawcy tożsamości. To musi być zgodne z konfiguracją uprawnień. Przykłady ADFS: urn:federation:uwierzytelnianie:windows lub urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping przykład: urn:oaza:nazwy:tc:SAML:2.0:ac:classes:nieokreślony

Aby użyć więcej niż jednej wartości AuthnContextClassRef, dodaj ";". Na przykład: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Automatyczne tworzenie konta (opcjonalnie)

Wybierz, aby utworzyć konto użytkownika. Pola UID, e-mail oraz imię i nazwisko muszą zawierać potwierdzenie.

Automatyczna aktualizacja konta (opcjonalnie)

Konta Webex mogą być aktualizowane przy użyciu atrybutu updateTimeStamp w t Gdy wprowadzane są modyfikacje w dostawcy tożsamości, nowy znacznik czasu jest wysyłany do witryny Webex, w przypadku konta z dowolnym atrybutem przesłanym w potwierdzeniu SAML.

Adres URL błędu logowania jednokrotnego klienta (opcjonalnie)

Jeśli wystąpi błąd, przekierowuje do tego adresu URL z kodem błędu dołączonym do adresu URL.

Adres URL logowania do usługi logowania jednokrotnego klienta

Adres URL usług jednokrotnego logowania w Twojej firmie. Użytkownicy zazwyczaj logują się przy użyciu tego adresu URL. Znajduje się w pliku XML dostawcy tożsamości (przykład: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

Domyślny adres URL strony docelowej Webex (opcjonalnie)

Po uwierzytelnieniu wyświetla stronę docelową przypisaną tylko do aplikacji internetowej.

Importuj metadane SAML (link)

Kliknij, aby otworzyć okno dialogowe Konfiguracja sfederowanego logowania jednokrotnego w sieci Web — metadane SAML. Importowane pola metadanych obejmują:

  • AuthnRequestPodpisane miejsce docelowe

  • Wystawca SAML (identyfikator dostawcy tożsamości)

  • Adres URL logowania do usługi logowania jednokrotnego klienta

Wystawca SAML (identyfikator dostawcy tożsamości)

Identyfikator URI jednoznacznie identyfikuje dostawcę tożsamości. Konfiguracja musi być zgodna z ustawieniem w Uprawnieniu Klienta. Znajduje się w pliku XML dostawcy tożsamości (przykład: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Format identyfikatora nazwy

Musi być zgodny z konfiguracją dostawcy tożsamości, z obsługiwanymi następującymi formatami:

  • Nieokreślony

  • Adres e-mail

  • Nazwa podmiotu X509

  • Identyfikator podmiotu

  • Trwały identyfikator

Usuń sufiks domeny z identyfikatorem użytkownika z nazwy UPN w usłudze Active Directory

Po wybraniu usuwa domenę Active Directory z głównej nazwy użytkownika (UPN).

Profil SSO

Określ, w jaki sposób użytkownicy uzyskują dostęp do witryny Webex. Wybierz opcję Zainicjowano SP, jeśli użytkownicy rozpoczynają w witrynie spotkania Webex i są przekierowywani do korporacyjnego systemu dostawcy tożsamości w celu uwierzytelnienia. Wybierz opcję IdP Initiated, jeśli użytkownicy uzyskują dostęp do witryny Webex za pośrednictwem firmowego systemu uprawnień.

Uwierzytelnianie uczestników przy użyciu SSO

Ta funkcja zapewnia dodatkowe poziomy odpowiedzialności za uwierzytelnianie użytkownika asercji SAML dla uczestników wewnętrznych korzystających z Webex Meetings, Webex Training i Webex Events. Po włączeniu ta funkcja zastępuje funkcję Webex Meetings „Wyświetlaj tag użytkownika wewnętrznego na liście uczestników”.

Algorithm podpisu dla AuthnRequest

W celu zwiększenia bezpieczeństwa można teraz generować certyfikaty podpisane SHA-1, SHA-256 lub SHA-512.

Pojedyncze wylogowanie (opcjonalnie)

Zaznacz, aby wymagać wylogowania i ustaw adres URL wylogowania.

Pojedyncze wylogowanie zainicjowane przez dostawcę tożsamości nie jest obsługiwane.

Wydawca Webex SAML (identyfikator SP)

Identyfikator URI identyfikuje usługę Webex Messenger jako SP. Konfiguracja musi być zgodna z ustawieniami w systemie zarządzania dostępem do tożsamości klienta. Zalecane konwencje nazewnictwa: W przypadku Webex Meetings wprowadź adres URL witryny Webex Meetings. W przypadku usługi Webex Messenger użyj formatu „nazwa-domeny-klienta” (przykład: IM-Client-ADFS-WebexEagle-Com).

Możesz wyeksportować plik konfiguracyjny Webex metadanych SAML

Możesz wyeksportować niektóre metadane, które następnie można zaimportować w przyszłości. Wyeksportowane pola metadanych obejmują:

  • AuthnRequestPodpisane miejsce docelowe

  • Wystawca SAML (identyfikator dostawcy tożsamości)

  • Adres URL logowania do usługi klienta SO

Odnów wygasające certyfikaty

Przed rozpoczęciem

Ta funkcja jest przeznaczona tylko dla administratorów, którzy mają skonfigurowane logowanie jednokrotne w administracji Webex i którzy nie zarządzają jeszcze swoimi witrynami w Control Hub.

Zalecamy aktualizację certyfikatu do dostawcy tożsamości (IdP) przed listopadem 2022 r. Jeśli certyfikat wygaśnie, użytkownicy mogą nie być w stanie pomyślnie się zalogować.

1

Zaloguj się do administracji Webex i przejdź do Konfiguracja > Typowe ustawienia witryny > Konfiguracja logowania jednokrotnego.

2

Przewiń w dół do pozycji Menedżer certyfikatów usługodawcy witryny.

Wyświetlane są szczegóły wygaśnięcia i nowego certyfikatu (numer seryjny, data wygaśnięcia, szczegóły klucza, stan i czynność). Aktualnie używany certyfikat jest oznaczony jako Aktywny.

3

Przejdź do nowego certyfikatu i kliknij opcję Eksportuj certyfikaty.

Możesz także kliknąć Eksportuj metadane u dołu ekranu, aby pobrać metadane z nowym certyfikatem.

Nowy plik certyfikatu wygaśnie za rok. Administratorzy będą musieli zwracać uwagę na powiadomienia o alertach.

4

Prześlij nowy plik certyfikatu do dostawcy tożsamości (IdP).

5

Wybierz przycisk radiowy Aktywny dla nowego certyfikatu.

6

Kliknij opcję Aktualizuj.

Nowy certyfikat jest teraz aktywny.

7

Przetestuj nowy certyfikat.

Często zadawane pytania podczas aktualizacji certyfikatów

P. Czy ta funkcja ma wpływ na wszystkich administratorów?

A. Nie, dotyczy to tylko administratorów, którzy skonfigurowali logowanie jednokrotne w administracji Webex.

P. Co się stanie, jeśli administrator nie zaktualizuje certyfikatu przed upływem terminu?

A. Certyfikat wygaśnie, a użytkownicy mogą nie być w stanie pomyślnie zalogować się do Webex. Zalecamy aktualizację certyfikatu przed październikiem 2023 r.

Jeśli certyfikat wygaśnie, nadal możesz zalogować się w portalu Administrowanie witryną, aby zaktualizować i aktywować nowy certyfikat dla odpowiedniego dostawcy tożsamości. Jeśli napotkasz jakiś problem podczas aktualizacji certyfikatu, skontaktuj się z zespołem pomocy technicznej Webex.

P. Jak długo ważny jest nowy certyfikat?

A. Nowy certyfikat jest ważny przez około rok. Zespół operacyjny Webex generuje nowy certyfikat na dwa miesiące przed wygaśnięciem istniejącego certyfikatu. Daje to czas na zaplanowanie i aktualizację certyfikatu przed terminem.