Jednokrotne logowanie (SSO) umożliwia użytkownikom bezpieczne logowanie się do usługi Webex poprzez uwierzytelnianie u wspólnego dostawcy tożsamości Twojej organizacji. Dostawca tożsamości (IdP) bezpiecznie przechowuje i zarządza cyfrowymi tożsamościami użytkowników i udostępnia usługę uwierzytelniania użytkowników dla użytkowników Webex.

Dlaczego może być potrzebne wiele IdPs

Wiele dużych firm przechodzi fuzje i przejęcia, a te firmy rzadko mają tych samych dostawców infrastruktury informatycznej i tożsamości. Instytucje rządowe mają pod sobą różne organizacje i agencje. Często organizacje te mają jeden adres e-mail dla własnych działów IT i infrastruktury, odpowiednio. Główne instytucje edukacyjne mają centralny dział zakupów, ale różne uniwersytety i uczelnie z różnych organizacji i działów IT.

Powszechnie obserwuje się, że dostawcy tożsamości i dostawcy usług (SPs) łączą się ze sobą. IdP jest odpowiedzialny za uwierzytelnianie poświadczeń użytkowników, a SP ufa uwierzytelnianiu dokonywanemu przez IdP. Umożliwia to użytkownikom dostęp do różnych aplikacji i usług SaaS przy użyciu tej samej tożsamości cyfrowej. Jeśli jednak z jakiegoś powodu Twoja organizacja nie może się federować między IdPs, Webex zapewnia obejście, aby obsługiwać wiele IdPs. Z tych powodów dajemy Ci możliwość skonfigurowania logowania SSO dla wielu dostawców tożsamości w usłudze Webex i uproszczenia procesu uwierzytelniania użytkowników.

Ograniczenia

  • Ta funkcja jest dostępna tylko wtedy, gdy zakupiłeś Webex Extended Security Pack.
  • Obecnie obsługujemy tylko SAML, OpenID Connect i Webex Identity jako dostawców tożsamości.

Poza zakresem

  • Skonfiguruj przypisania grup.

Ta sekcja opisuje, w jaki sposób można zintegrować dostawców tożsamości (IdP) z organizacją Webex. Możesz wybrać dostawcy tożsamości, które najlepiej pasują do wymagań Twojej organizacji.

Jeśli szukasz integracji SSO witryny Webex Meetings (zarządzanej w Administracji witryny), zapoznaj się z Konfigurowaniem jednokrotnego logowania dla administracji Webex.

Wymagania wstępne

Przed rozpoczęciem

Upewnić się, że spełnione są następujące warunki:

  • Aby skonfigurować logowanie SSO z wieloma dostawcami tożsamości w Control Hub, musisz mieć rozszerzony pakiet zabezpieczeń Webex.
  • W Control Hub musisz mieć Pełną rolę administratora.
  • Plik metadanych z dostawcy tożsamości do przekazania Webex i plik metadanych z programu Webex do przekazania dostawcy tożsamości. Aby uzyskać więcej informacji, zapoznaj się z integracją jednokrotnego logowania w Control Hub. Ma to zastosowanie tylko do konfiguracji SAML.
  • Przed skonfigurowaniem wielu dostawców tożsamości należy zaplanować zachowanie reguł trasowania.

 
Po skonfigurowaniu wstępnego dostawcy tożsamości zostanie zastosowana domyślna reguła trasowania. Ale można ustawić inny IdP jako domyślny. W zakładce Zasady trasowania w tym artykule na stronie Dodaj lub edytuj regułę trasowania.

Konfigurowanie SAML

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij opcję Zarządzaj SSO i IdPs, aby uruchomić kreatora konfiguracji.

3

Wybierz SAML jako dostawcę tożsamości i kliknij Dalej.

4

Wybierz typ certyfikatu:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale trzeba będzie często aktualizować metadane (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

 
Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
5

Kliknij kolejno opcje Pobierz metadaneDalej.

Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml.

6

Prześlij plik metadanych dostawcy tożsamości lub wypełnij formularz konfiguracyjny.

Podczas przesyłania pliku metadanych istnieją dwa sposoby walidacji metadanych z dostawcy tożsamości klienta:

  • Dostawca tożsamości klienta dołącza do metadanych podpis pochodzący od głównego publicznego urzędu certyfikacji.
  • Dostawca tożsamości klienta dołącza prywatny urząd certyfikacji z podpisem własnym lub nie dołącza podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.
W przeciwnym razie w formularzu konfiguracyjnym wprowadź informacje dostawcy tożsamości.

Kliknij przycisk Dalej.

7

(Opcjonalnie) Możesz zmienić nazwę atrybutu SAML dla nazwy użytkownika Webex lub podstawowego adresu e-mail z uid na coś uzgodnionego z menedżerem IdP, takie jak email, upn, itd.

8

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML.

W tym artykule Skonfiguruj mapowanie Just In Time (JIT) i SAML na karcie Zarządzaj swoimi dostawcami tożsamości.
9

Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

10

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i IdP i kliknij przycisk Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy.

 
Konfiguracja logowania jednokrotnego nie wchodzi w życie w Twojej organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Co zrobić dalej

Można skonfigurować regułę trasowania. W zakładce Zasady trasowania w tym artykule na stronie Dodaj lub edytuj regułę trasowania.

Aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji, można postępować zgodnie z procedurą Suppress Automated Emails (Zatrzymywanie automatycznych wiadomości e-mail). Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfigurowanie OpenID Connect

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij opcję Zarządzaj SSO i IdPs, aby uruchomić kreatora konfiguracji.

3

Wybierz OpenID Connect jako dostawcę tożsamości i kliknij Dalej.

4

Wprowadź informacje o dostawcy tożsamości.

  • Nazwa— nazwa służąca do identyfikacji dostawcy tożsamości.
  • Identyfikator klienta— unikatowy identyfikator służący do identyfikacji Ciebie i Twojego dostawcy tożsamości.
  • Tajemnica klienta— hasło, które Ty i Twój dostawca tożsamości znacie.
  • Zakresy— zakresy, które mają być powiązane z Twoim dostawcy tożsamości.
5

Wybierz, jak dodać punkty końcowe. Można to zrobić automatycznie lub ręcznie.

  • Użyj adresu URL wykrywania— wprowadź adres URL konfiguracji dostawcy tożsamości.
  • Ręcznie dodaj informacje o punktach końcowych — wprowadź następujące szczegóły.

    • Wydawca
    • Punkt końcowy autoryzacji
    • Punkt końcowy tokenu
    • Punkt końcowy JWKS
    • Punkt końcowy informacji o użytkowniku
    Więcej informacji można znaleźć w przewodniku konfiguracji OpenID Connect.
6

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT).

W tym artykule Skonfiguruj mapowanie Just In Time (JIT) i SAML na karcie Zarządzaj swoimi dostawcami tożsamości.
7

Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

8

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i IdP i kliknij przycisk Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy.

 
Konfiguracja logowania jednokrotnego nie wchodzi w życie w Twojej organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Co zrobić dalej

Można skonfigurować regułę trasowania. W zakładce Zasady trasowania w tym artykule na stronie Dodaj lub edytuj regułę trasowania.

Aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji, można postępować zgodnie z procedurą Suppress Automated Emails (Zatrzymywanie automatycznych wiadomości e-mail). Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfigurowanie tożsamości Webex

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij opcję Zarządzaj SSO i IdPs, aby uruchomić kreatora konfiguracji.

3

Wybierz Webex jako dostawcę tożsamości i kliknij przycisk Dalej.

4

Sprawdź, czy przeczytałem i zrozumiałem sposób działania usługi Webex IdP i kliknij przycisk Dalej.

5

Skonfiguruj regułę trasowania.

W zakładce Zasady trasowania w tym artykule na stronie Dodaj lub edytuj regułę trasowania.

Po dodaniu reguły trasowania usługa IdP zostanie dodana i wyświetlona na karcie Dostawca tożsamości.

Co zrobić dalej

Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Reguły trasowania mają zastosowanie podczas konfigurowania więcej niż jednego dostawcy tożsamości. Reguły trasowania umożliwiają Webex identyfikację dostawcy tożsamości, do którego mają być wysyłani użytkownicy po skonfigurowaniu wielu dostawców tożsamości.

Podczas konfigurowania więcej niż jednego dostawcy tożsamości można zdefiniować reguły trasowania w kreatorze konfiguracji SSO. Jeśli pominiesz krok reguły trasowania, Control Hub doda dostawcę tożsamości, ale nie aktywuje dostawcy tożsamości. Aby aktywować dostawcę tożsamości, należy dodać regułę trasowania.

Dodaj lub edytuj reguły trasowania

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Zasady trasowania .


 

Podczas konfigurowania pierwszego dostawcy tożsamości reguła routingu jest automatycznie dodawana i ustawiana jako reguła domyślna. Możesz wybrać inną opcję dostawcy tożsamości, aby ustawić ją później jako regułę domyślną.

4

Kliknij opcję Dodaj nową regułę trasowania.

5

Wprowadź szczegóły nowej reguły:

  • Nazwa reguły — wprowadź nazwę reguły trasowania.
  • Wybierz typ trasowania — wybierz domenę lub grupę.
  • Jeśli są to Twoje domeny/grupy — wprowadź domeny/grupy w swojej organizacji.
  • Następnie użyj tego dostawcy tożsamości — wybierz dostawcę tożsamości.
6

Kliknij przycisk Dodaj.

7

Wybierz nową regułę trasowania i kliknij przycisk Aktywuj.


 
Kolejność priorytetu reguły trasowania można zmienić, jeśli istnieją reguły trasowania dla wielu dostawców tożsamości.

Dezaktywuj lub usuń reguły trasowania

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Zasady trasowania .

4

Wybierz regułę trasowania.

5

Wybierz, czy chcesz dezaktywować lub usunąć regułę trasowania.

Zaleca się posiadanie innej aktywnej reguły trasowania dla dostawcy tożsamości. W przeciwnym razie mogą wystąpić problemy z logowaniem SSO.


 
Nie można dezaktywować lub usunąć reguły domyślnej, ale można zmodyfikować kierowane IdP.

Zarządzanie certyfikatami dostawcy tożsamości (IdP)

Przed rozpoczęciem


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat dostawcy tożsamości wygaśnie. Ponieważ dostawcy dostawcy dostawcy tożsamości mają własną specjalną dokumentację dotyczącą odnawiania certyfikatów, obsługujemy to, co jest wymagane w Control Hub, wraz z ogólnymi krokami mającymi na celu pobranie zaktualizowanych metadanych dostawcy tożsamości i przesłanie ich do Control Hub w celu odnowienia certyfikatu.

Ma to zastosowanie tylko do konfiguracji SAML.

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości, kliknijuploadi wybierz opcję Prześlij metadane Idp.

Aby pobrać plik metadanych, kliknijDownloadi wybierz opcję Pobierz metadane Idp.
5

Przejdź do interfejsu zarządzania dostawcy tożsamości, aby pobrać nowy plik metadanych.

6

Wróć do Control Hub i przeciągnij i upuść plik metadanych IdP do obszaru przesyłania lub kliknij opcję Wybierz plik, aby przesłać metadane.

7

Wybierz Mniej bezpieczne (własnoręcznie podpisane) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisywania metadanych dostawcy tożsamości i kliknij przycisk Zapisz.

8

Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML.

W tym artykule Skonfiguruj mapowanie Just In Time (JIT) i SAML na karcie Zarządzaj swoimi dostawcami tożsamości.
9

Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

10

Kliknij opcję Zapisz.

Zarządzanie certyfikatami dostawcy usług (SP)

Przed rozpoczęciem


 

Podczas odnawiania certyfikatu SP zaleca się zaktualizowanie wszystkich dostawców tożsamości w organizacji.

Ma to zastosowanie tylko do konfiguracji SAML.

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij.

5

Kliknij opcję Sprawdź certyfikaty i datę ważności.

Spowoduje to przejście do okna certyfikatów dostawcy usług (SP) .
6

Kliknij Odnów certyfikat.

7

Wybierz typ dostawcy tożsamości w swojej organizacji:

  • IdP obsługujący wiele certyfikatów
  • Identyfikator dostawcy tożsamości, który obsługuje jeden certyfikat
8

Wybierz typ certyfikatu odnowienia:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

 
Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
9

Kliknij opcję Pobierz metadane lub Pobierz certyfikat, aby pobrać kopię zaktualizowanego pliku metadanych lub certyfikatu z chmury Webex.

10

Przejdź do interfejsu zarządzania dostawcy tożsamości, aby przesłać nowy plik lub certyfikat metadanych Webex.

Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pomocą określonej obsługi dostawcy chmury, w zależności od konfiguracji dostawcy tożsamości i tego, czy Ty lub inny administrator dostawcy tożsamości są odpowiedzialni za ten krok.

Aby uzyskać więcej informacji, zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. Jeśli korzystasz z usług federacji usług Active Directory (AD FS), możesz zobaczyć, jak zaktualizować metadane Webex w AD FS

11

Wróć do interfejsu Control Hub i kliknij przycisk Dalej.

12

Wybierz opcję Pomyślnie zaktualizowano wszystkie dostawcy tożsamości i kliknij przycisk Dalej.

To przesyła plik metadanych SP lub certyfikat do wszystkich dostawców tożsamości w organizacji.

13

Kliknij przycisk Zakończ odnowienie.

Testuj konfigurację jednokrotnego logowania (SSO)

Przed rozpoczęciem

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij.

5

Wybierz opcję Testuj dostawcę tożsamości.

6

Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.


 

Jeśli pojawi się błąd uwierzytelniania, może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

7

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i IdP i kliknij przycisk Zapisz.
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy.

 
Konfiguracja SSO nie zacznie obowiązywać w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz SSO.

Skonfiguruj mapowanie Just In Time (JIT) i SAML

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • SSO jest już skonfigurowane.

  • Domeny zostały już zweryfikowane.

  • Domeny są zgłaszane i włączane. Ta funkcja zapewnia tworzenie i aktualizowanie użytkowników z domeny za każdym razem, gdy uwierzytelniają się przy użyciu dostawcy tożsamości.

  • Jeśli funkcja DirSync lub Azure AD jest włączona, utworzenie lub aktualizacja SAML JIT nie będzie działać.

  • Włączono opcję „Zablokuj aktualizację profilu użytkownika”. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje zdolność użytkownika do edytowania atrybutów. Kontrolowane przez administratora metody tworzenia i aktualizacji są nadal obsługiwane.


 

Podczas konfigurowania SAML JIT w usłudze Azure AD lub IdP, gdy wiadomość e-mail nie jest stałym identyfikatorem, zalecamy korzystanie z externalId powiązanie atrybutu z mapowaniem z Unikatowym Identyfikatorem. Jeśli okaże się, że adres e-mail nie pasuje do atrybutu łączącego, użytkownik zostanie poproszony o zweryfikowanie jego tożsamości lub utworzenie nowego użytkownika z poprawnym adresem e-mail.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany automatyczny szablon licencji .

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij.

5

Wybierz opcję Edytuj mapowanie SAML.

6

Skonfiguruj ustawienia Just-in-Time (JIT).

  • Utwórz lub włącz użytkownika: jeśli nie znaleziono aktywnego użytkownika, usługa Webex Identity utworzy użytkownika i zaktualizuje jego atrybuty po uwierzytelnieniu przez użytkownika za pomocą dostawcy tożsamości.
  • Aktualizuj atrybuty SAML: jeśli znaleziono użytkownika z adresem e-mail, usługa Webex Identity aktualizuje użytkownika z atrybutami mapowanymi w usłudze SAML.
Potwierdź, że użytkownicy mogą się zalogować z innym, niezidentyfikowanym adresem e-mail.
7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika/główny adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj atrybuty łączące.

Powinno to być unikalne dla użytkownika. Służy do wyszukiwania użytkownika, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, w tym adres e-mail użytkownika.
Tabela 2. Atrybuty łączenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

Zatrudniacz

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w systemie zarządzania zasobami ludzkimi. Pamiętaj, że to nie jest dla externalid, ponieważ można ponownie używać lub recyklingu employeenumber dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Mapuj te atrybuty niestandardowe do atrybutów rozszerzonych w usłudze Active Directory, Azure lub w książce adresowej, aby uzyskać kody monitorowania.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionlattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

Zatrudniacz

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w systemie zarządzania zasobami ludzkimi. Należy pamiętać, że nie jest to "zewnętrzny", ponieważ można ponownie użyć lub recyklingu "Zatrudniacz" dla innych użytkowników.

preferowany język

Przykład: user.preferredlanguage

Preferowany język użytkownika.

ustawienia regionalne

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.timezone

Główna strefa czasowa użytkownika.

displayName

Przykład: user.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: user.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

address.streetAddress

Przykład: user.streetaddress

Adres głównego miejsca pracy.

address.state

Przykład: user.state

Stan ich głównego miejsca pracy.

address.region

Przykład: user.region

Region głównego miejsca pracy.

address.postalCode

Przykład: kod pocztowy użytkownika.

Kod pocztowy głównego miejsca pracy.

address.country

Przykład: user.country

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: fonografia robocza

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.Extension

Przykład: phonenumber telefonów komórkowych

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: user.pronoun

Zaimki użytkownika. Jest to opcjonalny atrybut, a użytkownik lub administrator może go uwidocznić w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: user.pronoun

To jest zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Kierownik użytkownika lub jego kierownik zespołu.

centrum kosztów

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub familyname

email.alternate1

Przykład: user.mailnickname

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate4

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.
10

Skonfiguruj atrybuty numeru wewnętrznego.

Mapuj te atrybuty do atrybutów rozszerzonych w usłudze Active Directory, w usłudze Azure lub w katalogu, aby uzyskać kody monitorowania.
Tabela 4. Atrybuty rozszerzenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkownika lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którzy zostaną przypisani do identyfikatora grupy Webex.
  3. Zaktualizuj konfigurację dostawcy tożsamości tak, aby zawierała roszczenie o tej nazwie atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikator zewnętrzny można również używać do zarządzania zmianami nazw grup lub do przyszłych scenariuszy integracji. Na przykład synchronizacja z usługą Azure AD lub wdrażanie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w systemie SAML Assertion z identyfikatorem grupy. Służy to do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupowego, jeśli używasz grupy z katalogu do wysyłania członków w usłudze SAML.

 

Jeśli użytkownik A jest powiązany z groupID 1234 i użytkownika B z groupID 4567, są one przypisane do oddzielnych grup. Ten scenariusz wskazuje, że jeden atrybut umożliwia użytkownikom powiązanie z wieloma identyfikatorami grup. Choć jest to rzadkość, jest to możliwe i można uznać za zmianę uzupełniającą. Na przykład, jeśli użytkownik Początkowo loguje się do korzystania groupID 1234, stają się członkiem odpowiedniej grupy. Jeśli użytkownik A później zaloguje się do korzystania groupID 4567, są one również dodane do tej drugiej grupy.

Konfiguracja SAML JIT nie obsługuje usuwania użytkowników z grup ani usuwania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupternalId

Przykład: groupternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów Afirmacji SAML dla Webex Meetings, zobacz https://help.webex.com/article/WBX67566.

Usuń dostawcę tożsamości (IdP)

Przed rozpoczęciem


 
Zaleca się, aby najpierw dezaktywować lub usunąć reguły trasowania dostawcy tożsamości przed usunięciem dostawcy tożsamości.
1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij.

5

Wybierz pozycję Usuń.

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Kliknij opcję Dezaktywuj logowanie SSO.

Potwierdź dezaktywację logowania jednokrotnego.

Po potwierdzeniu SSO jest dezaktywowane dla wszystkich dostawców tożsamości w organizacji.

Przed wygaśnięciem certyfikatów otrzymasz alerty w Control Hub, ale możesz również aktywnie skonfigurować reguły alertów. Te zasady informują z wyprzedzeniem, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty e-mail, obszaru w aplikacji Webex lub obu.


 

Niezależnie od skonfigurowanego kanału dostawy wszystkie alerty zawsze pojawiają się w Control Hub. Aby uzyskać więcej informacji, zobacz Centrum alertów w Control Hub.

1

Zaloguj się do Centrum sterowania .

2

Przejdź do centrum alertów.

3

Wybierz Zarządzaj , a następnie Wszystkie reguły.

4

Z listy reguł wybierz dowolną regułę logowania jednokrotnego, którą chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP SSO
  • Wygaśnięcie certyfikatu SSO SP
5

W sekcji Kanał dostawy zaznacz pole wyboru E-mail, obszar Webex lub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, który powinien otrzymać powiadomienie.


 

Jeśli wybierzesz opcję obszaru Webex, zostaniesz automatycznie dodany do obszaru wewnątrz aplikacji Webex i tam dostarczymy powiadomienia.

6

Zapisz zmiany.

Co zrobić dalej

Wysyłamy alerty o wygaśnięciu certyfikatu raz na 15 dni, począwszy od 60 dni przed wygaśnięciem. (Alerty można oczekiwać w 60., 45., 30. i 15. dniu). Alerty kończą się po odnowieniu certyfikatu.

Jeśli napotkasz problemy z logowaniem jednokrotnym, możesz użyć opcji samoodzyskiwania jednokrotnego, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja automatycznego odzyskiwania umożliwia aktualizację lub wyłączanie logowania jednokrotnego w Control Hub.