Logowanie jednokrotne i Control Hub

Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Webex app obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:

  • Skojarzonie POST -> POST inicjowane przez SP

  • Skojarzonie REDIRECT -> POST zainicjowane przez SP

Format NameID

Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Aplikacja Webex app obsługuje następujące formaty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Webex.

Integrowanie usługi Control Hub z platformą Microsoft Azure

Webex obsługuje tylko jednego dostawcę tożsamości (IdP) dla każdego żądania uwierzytelnienia. Przebieg uwierzytelniania wygląda następująco: Użytkownik > Uwierzytelnianie Webex > Dostawca tożsamości 1 > Uwierzytelnianie Webex > Użytkownik. Oznacza to, że chociaż różni użytkownicy mogą uwierzytelniać się za pomocą różnych dostawców tożsamości, użytkownik nie może przełączać się między wieloma dostawcami tożsamości w trakcie jednego procesu uwierzytelniania. Wszelkie dodatkowe kroki, takie jak uwierzytelnianie wieloskładnikowe (MFA), muszą zostać zintegrowane z pojedynczym dostawcą tożsamości używanym w przypadku danego żądania.

Przewodniki konfiguracyjne przedstawiają konkretny przykład integracji logowania SSO, ale nie zawierają wyczerpującej konfiguracji obejmującej wszystkie możliwości. Na przykład udokumentowano kroki integracji dla nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, będą działać w przypadku integracji SSO, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym Webex App, Webex Meetingsi innych usług administrowanych w Control Hub). Jeśli witryna webex jest zintegrowana z centrum sterowania, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest on zarządzany w Control Hub, musisz wykonać oddzielną integrację, aby włączyć logowanie jednokrotne dla SpotkańWebex.

Przed rozpoczęciem

W przypadku logowania SSO i korzystania z Control Hub dostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawców tożsamości należy skonfigurować w następujący sposób:

  • W Azure Active Directory aprowizacja jest obsługiwana tylko w trybie ręcznym. Ten dokument obejmuje tylko integrację jednokrotnego logowania (SSO).
  • Obecni klienci Webex, którzy korzystali już z poprzednich konfiguracji federacji, mogą napotkać problemy ze standardowym szablonem Entra ID Webex ze względu na zmiany w atrybutach SAML. Aby rozwiązać ten problem, zalecamy skonfigurowanie niestandardowej federacji identyfikatorów Entra, korzystając z poprzednich ustawień SAML. Przeprowadź test logowania SSO w Control Hub, aby zapewnić zgodność i wyeliminować wszelkie rozbieżności.

Pobierz metadane Webex do systemu lokalnego

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości i kliknij Aktywuj SSO.

4

Wybierz dostawcę tożsamości.

5

Wybierz typ certyfikatu dla swojej organizacji:

  • Podpisane przez Cisco—Polecamy ten wybór. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale będziesz musiał często aktualizować metadane (chyba że Twój dostawca IdP obsługuje zaufane punkty zaczepienia).

Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

6

Pobierz plik metadanych.

Nazwa pliku metadanych Webex to idb-meta-<org-ID>-SP.xml.

Skonfiguruj ustawienia aplikacji SSO na platformie Azure

Przed rozpoczęciem

  • Zobacz Co to jest Azure Active Directory, aby poznać możliwości dostawcy tożsamości w Azure Active Directory.

  • Skonfiguruj Azure Active Directory.

  • Twórz użytkowników lokalnych lub synchronizuj z lokalnym systemem Active Directory.

  • Otwórz plik metadanych Webex pobrany z centrum sterowania.

  • W witrynie dokumentacji firmy Microsoft znajduje się powiązany samouczek.

1

Zaloguj się do witryny Azure Portal pod adresem przy użyciu https://portal.azure.com poświadczeń administratora.

2

Jeśli nie widzisz ikony Azure Active Directory, kliknij opcję Więcej usług.

3

Przejdź do Azure Active Directory w swojej organizacji.

4

Przejdź do sekcji Aplikacje dla przedsiębiorstw, a następnie kliknij Dodaj.

5

Kliknij opcję Dodaj aplikację z galerii.

6

W polu wyszukiwania wpisz Cisco Webex.

7

W okienku wyników wybierz Cisco Webex, a następnie kliknij Utwórz, aby dodać aplikację.

8

Aby upewnić się, że aplikacja Webex dodana do logowania jednokrotnego nie pojawia się w portalu użytkownika, otwórz nową aplikację. W sekcji Zarządzaj kliknij Właściwości i ustaw Widoczne dla użytkowników? na Nie.

Nie obsługujemy udostępniania aplikacji Webex dla użytkowników.

9

Skonfiguruj jednokrotne logowanie:

  1. W sekcji Zarządzaj kliknij opcję Single sign-on, a następnie w sekcji Wybierz metodę jednokrotnego logowania wybierz SAML.

  2. Kliknij Prześlij plik metadanych, a następnie wybierz plik metadanych pobrany z Control Hub.

    Importuj plik metadanych na platformie Azure

    Niektóre pola są wypełniane automatycznie.

  3. W sekcji Zarządzaj kliknij Skonfiguruj jednokrotne logowanie przy użyciu SAML, kliknij ikonę Edytuj, aby otworzyć Podstawową konfigurację SAML.

  4. Skopiuj wartość Adres URL odpowiedzi i wklej ją w polu Sign on URL, a następnie zapisz zmiany.

10

Przejdź do Zarządzaj > Użytkownicy i grupy, a następnie wybierz odpowiednich użytkowników i grupy, którym chcesz przyznać dostęp do aplikacji Webex.

11

Na stronie Konfigurowanie jednokrotnego logowania przy użyciu SAML w sekcji Certyfikat podpisywania SAML kliknij Pobierz, aby pobrać Federacja metadanych XML i zapisz go na swoim komputerze.

Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście

Po wyeksportowaniu metadanych Webex , skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Webex z centrum sterowania.

Przed rozpoczęciem

Nie testuj integracji logowania jednokrotnego z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy inicjowane przez dostawcę usług (inicjowane przez dostawcę usług), więc do tej integracji należy użyć testu logowania jednokrotnego usługi Control Hub .

1

Wybierz jedną z nich:

  • Wróć do strony Control Hub – wyboru certyfikatu w przeglądarce i kliknij Dalej.
  • Jeśli Control Hub nie jest już otwarty na karcie przeglądarki, otwórz go ponownie. Z widoku klienta w Control Hub przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie, wybierz dostawcę tożsamości, a następnie wybierz Akcje > Importuj metadane.
2

Na stronie Importuj metadane dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby znaleźć i przesłać plik metadanych. Kliknij przycisk Dalej.

Jeśli możesz, powinieneś użyć opcji Bardziej bezpieczne . Jest to możliwe tylko wtedy, gdy dostawca tożsamości użył publicznego urzędu certyfikacji do podpisania swoich metadanych.

We wszystkich innych przypadkach należy użyć opcji Mniej bezpieczne . Dotyczy to również sytuacji, gdy metadane nie są podpisane, podpisane samodzielnie lub podpisane przez prywatny urząd certyfikacji.

Okta nie podpisuje metadanych, więc musisz wybrać Mniej bezpieczne dla integracji logowania jednokrotnego Okta.

3

Wybierz opcję Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Jeśli zostanie wyświetlony błąd uwierzytelniania, może to oznaczać problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Ten krok zatrzymuje fałszywe alarmy z powodu tokenu dostępu, który może znajdować się w istniejącej sesji po zalogowaniu.

4

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Włącz logowanie jednokrotne i kliknij przycisk Dalej.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wyłącz logowanie jednokrotne i kliknij przycisk Dalej.

Konfiguracja logowania jednokrotnego nie zostanie zastosowana w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Co dalej?

Skorzystaj z procedur opisanych w temacie Synchronize Okta Users into Cisco Webex Control Hub (Synchronizuj użytkowników z usługą Okta z cisco Webex Control Hub ), jeśli chcesz przeprowadzić aprowizację użytkowników z okta do chmury Webex.

Skorzystaj z procedur opisanych w artykule Synchronizacja użytkowników usługi Azure Active Directory z centrum sterowania Cisco Webex, jeśli chcesz przeprowadzić obsługę administracyjną użytkowników z usługi Azure AD w chmurze Webex.

Aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji, wykonaj czynności opisane w sekcji Wyłącz automatyczne wysyłanie wiadomości e-mail . Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Rozwiązywanie problemów z integracją z platformą Azure

Podczas wykonywania testu SAML upewnij się, że korzystasz z przeglądarki Mozilla Firefox i instalujesz narzędzie śledzenia SAML z https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Sprawdź potwierdzenie pochodzące z platformy Azure, aby upewnić się, że ma poprawny format nameid i ma atrybut uid, który pasuje do użytkownika w aplikacjiWebex.