Jednokrotne logowanie (SSO) umożliwia użytkownikom bezpieczne logowanie się do usługi Webex przez uwierzytelnianie u wspólnego dostawcy tożsamości w organizacji. Dostawca tożsamości (IdP) bezpiecznie przechowuje i zarządza tożsamościami cyfrowymi użytkowników oraz zapewnia usługę uwierzytelniania użytkowników dla użytkowników aplikacji Webex .

Dlaczego możesz potrzebować wielu dostawców tożsamości

Wiele dużych firm przechodzi fuzje i przejęcia, a firmy te rzadko mają tych samych dostawców infrastruktury IT i tożsamości. Instytucje rządowe mają pod sobą różne organizacje i agencje. Często te organizacje mają jeden adres e-mail odpowiednio dla własnych działów IT i infrastruktury. Główne instytucje edukacyjne mają centralny dział zakupów, ale różne uniwersytety i uczelnie z różnymi organizacjami i działami IT.

Często zdarza się, że dostawcy tożsamości i dostawcy usług (SP) są ze sobą w federacji. Dostawca tożsamości jest odpowiedzialny za uwierzytelnianie poświadczeń użytkowników, a dostawca usług tożsamości ufa uwierzytelnianiu dokonanemu przez dostawcę tożsamości. Dzięki temu użytkownicy mogą uzyskiwać dostęp do różnych aplikacji i usług SaaS przy użyciu tej samej tożsamości cyfrowej. Jeśli jednak z jakiegoś powodu Twoja organizacja nie może przeprowadzić federacji między dostawcami tożsamości, Webex udostępnia obejście umożliwiające obsługę wielu dostawców tożsamości. Z tych powodów dajemy Ci możliwość skonfigurowania SSO dla wielu dostawców tożsamości w Webex i uproszczenia procesu uwierzytelniania użytkowników.

Ograniczenia

  • Ta funkcja jest dostępna tylko po zakupie pakietu Webex Extended Security Pack.
  • Obecnie jako dostawców tożsamości obsługujemy tylko SAML, OpenID Connect i Webex Identity.

Poza zakresem

  • Skonfiguruj przypisania grupowe.

W tej sekcji opisano, jak zintegrować dostawców tożsamości (IdP) z organizacją Webex . Możesz wybrać dostawców tożsamości, którzy najlepiej odpowiadają wymaganiom Twojej organizacji.

Jeśli chcesz zintegrować SSO w witrynie Webex Meetings (zarządzanej w aplikacji Site Administration), zapoznaj się z Konfigurowanie jednokrotnego logowania na potrzeby administracji Webex .

Wymagania wstępne

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki:

  • Musisz mieć Webex Extended Security Pack, aby skonfigurować SSO z wieloma dostawcami tożsamości w Control Hub.
  • Musisz mieć rolę pełnego administratora w Control Hub.
  • Plik metadanych od dostawcy tożsamości do przekazania firmie Webex i plik metadanych z usługi Webex do przekazania dostawcy tożsamości. Aby uzyskać więcej informacji, zobacz Integracja jednokrotnego logowania w Control Hub . Dotyczy to tylko konfiguracji SAML .
  • Zachowanie reguł routingu należy zaplanować przed skonfigurowaniem wielu dostawców tożsamości.

 
Domyślna reguła routingu jest stosowana po skonfigurowaniu początkowego dostawcy tożsamości. Możesz jednak ustawić innego dostawcę tożsamości jako domyślnego. Patrz Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Skonfiguruj SAML

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Aktywuj SSO aby uruchomić kreatora konfiguracji.

2

Wybierz SAML jako IdP i kliknij Dalej .

3

Wybierz typ certyfikatu:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

 
Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
4

Kliknij kolejno opcje Pobierz metadaneDalej.

Nazwa pliku metadanych Webex to idb-meta- -SP.xml .<org-ID>

5

Prześlij plik metadanych dostawcy tożsamości lub wypełnij formularz konfiguracji.

Podczas przesyłania pliku metadanych istnieją dwa sposoby sprawdzania poprawności metadanych pochodzących od dostawcy tożsamości klienta:

  • Dostawca tożsamości klienta dołącza do metadanych podpis pochodzący od głównego publicznego urzędu certyfikacji.
  • Dostawca tożsamości klienta dołącza prywatny urząd certyfikacji z podpisem własnym lub nie dołącza podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.
W przeciwnym razie w formularzu konfiguracji wprowadź informacje o dostawcy tożsamości.

Kliknij przycisk Dalej.

6

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML .

Patrz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
7

Kliknij Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się za pomocą dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli zostanie wyświetlony błąd uwierzytelniania, mógł wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby wyświetlić środowisko SSO , zalecamy kliknięcie przycisku Skopiuj URL do schowka z tego ekranu i wklej go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

8

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i dostawcę tożsamości i kliknij Aktywuj .
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy .

 
Konfiguracja SSO nie zacznie obowiązywać w organizacji, chyba że wybierzesz pierwszy przycisk opcji i aktywujesz SSO.

Co zrobić dalej

Możesz skonfigurować regułę routingu. Patrz Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Skonfiguruj OpenID Connect

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Aktywuj SSO aby uruchomić kreatora konfiguracji.

2

Wybierz OpenID Connect jako IdP i kliknij Dalej .

3

Wprowadź informacje o dostawcy tożsamości.

  • Nazwa — nazwa identyfikująca Twojego dostawcę tożsamości.
  • Identyfikator klienta — Unikatowy identyfikator identyfikujący Ciebie i Twojego dostawcę tożsamości.
  • Sekret klienta — hasło znane Tobie i Twojemu dostawcy tożsamości.
  • Zakresy — zakresy, które mają być skojarzone z Twoim dostawcą tożsamości.
4

Wybierz sposób dodawania punktów końcowych. Można to zrobić automatycznie lub ręcznie.

  • Użyj odnajdującego URL — wprowadź URL konfiguracji dla swojego dostawcy tożsamości.
  • Ręczne dodawanie informacji o punktach końcowych — wprowadź następujące szczegóły.

    • Wydawca
    • Punkt końcowy autoryzacji
    • Punkt końcowy tokenu
    • Punkt końcowy JWKS
    • Punkt końcowy informacji o użytkowniku
    Aby uzyskać więcej informacji, zobacz Podręcznik konfiguracji OpenID Connect .
5

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT).

Patrz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
6

Kliknij Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się za pomocą dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli zostanie wyświetlony błąd uwierzytelniania, mógł wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby wyświetlić środowisko SSO , zalecamy kliknięcie przycisku Skopiuj URL do schowka z tego ekranu i wklej go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

7

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i dostawcę tożsamości i kliknij Aktywuj .
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy .

 
Konfiguracja SSO nie zacznie obowiązywać w organizacji, chyba że wybierzesz pierwszy przycisk opcji i aktywujesz SSO.

Co zrobić dalej

Możesz skonfigurować regułę routingu. Patrz Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfigurowanie tożsamości Webex

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Aktywuj SSO aby uruchomić kreatora konfiguracji.

2

Wybierz Webex jako IdP i kliknij Dalej .

3

Sprawdź Znam i rozumiem, jak działa Webex IdP i kliknij Dalej .

4

Skonfiguruj regułę routingu.

Patrz Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Po dodaniu reguły routingu Twój dostawca tożsamości zostanie dodany i będzie wyświetlany w obszarze Dostawca tożsamości kartę.

Co zrobić dalej

Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Reguły routingu mają zastosowanie podczas konfigurowania więcej niż jednego dostawcy tożsamości. Reguły routingu umożliwiają Webex określenie, do którego dostawcy tożsamości mają być wysyłani użytkownicy, gdy skonfigurowano wielu dostawców tożsamości.

Podczas konfigurowania więcej niż jednego dostawcy tożsamości można zdefiniować reguły routingu w kreatorze konfiguracji SSO . Jeśli pominiesz krok reguły routingu, Control Hub doda IdP, ale nie aktywuje IdP. Aby aktywować dostawcę tożsamości, należy dodać regułę routingu.

Dodaj lub edytuj reguły routingu

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Reguły routingu kartę.


 

Podczas konfigurowania pierwszego dostawcy tożsamości reguła routingu jest automatycznie dodawana i jest ustawiana jako Reguła domyślna . Możesz wybrać innego dostawcę tożsamości, który zostanie później ustawiony jako reguła domyślna.

3

Kliknij Dodaj nową regułę routingu .

4

Wprowadź szczegóły nowej reguły:

  • Nazwa reguły — wprowadź nazwę reguły routingu.
  • Wybierz typ routingu — Wybierz domenę lub grupę.
  • Jeśli to są Twoje domeny/grupy — wprowadź domeny/grupy w organizacji.
  • Następnie użyj tego dostawcy tożsamości — wybierz dostawcę tożsamości.
5

Kliknij przycisk Dodaj.

6

Wybierz nową regułę routingu i kliknij Aktywuj .


 
Kolejność priorytetów reguł routingu można zmienić, jeśli istnieją reguły routingu dla wielu dostawców tożsamości.

Dezaktywuj lub usuń reguły routingu

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Reguły routingu kartę.

3

Wybierz regułę routingu.

4

Wybierz, czy chcesz Dezaktywuj lub Usuń reguły routingu.

Zalecane jest posiadanie innej aktywnej reguły routingu dla dostawcy tożsamości. W przeciwnym razie mogą wystąpić problemy z logowaniem SSO .


 
The Reguła domyślna nie można dezaktywować ani usunąć, ale można modyfikować routowanego dostawcy tożsamości.

Zarządzanie certyfikatami dostawcy tożsamości (IdP)

Przed rozpoczęciem


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat dostawcy tożsamości wygaśnie. Ponieważ dostawcy dostawcy tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatu, omówimy wymagania w Control Hub, wraz z ogólnymi krokami, aby pobrać zaktualizowane metadane dostawcy tożsamości i przesłać je do Control Hub w celu odnowienia certyfikatu.

Dotyczy to tylko konfiguracji SAML .

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości, kliknijprześlij i wybierz Prześlij metadane dostawcy tożsamości .

Aby pobrać plik metadanych, kliknijPobierz i wybierz Pobierz metadane dostawcy tożsamości .
4

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

5

Wróć do Control Hub i przeciągnij i upuść plik metadanych dostawcy tożsamości do obszaru przesyłania lub kliknij Wybierz plik aby przesłać metadane.

6

Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości i kliknij przycisk Zapisz .

7

Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML .

Patrz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
8

Kliknij Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się za pomocą dostawcy tożsamości, logując się.


 

Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

Jeśli zostanie wyświetlony błąd uwierzytelniania, mógł wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby wyświetlić środowisko SSO , zalecamy kliknięcie przycisku Skopiuj URL do schowka z tego ekranu i wklej go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

9

Kliknij opcję Zapisz.

Zarządzanie certyfikatami dostawcy usług (SP)

Przed rozpoczęciem


 

Zaleca się zaktualizowanie wszystkich dostawców tożsamości w organizacji podczas odnawiania certyfikatu SP.

Dotyczy to tylko konfiguracji SAML .

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości i kliknij .

4

Kliknij Przejrzyj certyfikaty i datę wygaśnięcia .

Spowoduje to przejście do Certyfikaty dostawcy usług (SP) okno.
5

Kliknij Odnów certyfikat .

6

Wybierz typ dostawcy tożsamości w organizacji:

  • Dostawca tożsamości obsługujący wiele certyfikatów
  • Dostawca tożsamości obsługujący pojedynczy certyfikat
7

Wybierz typ certyfikatu do odnowienia:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

 
Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
8

Kliknij Pobierz metadane lub Pobierz certyfikat aby pobrać kopię zaktualizowanego pliku metadanych lub certyfikatu z chmury Webex .

9

Przejdź do interfejsu zarządzania IdP, aby przesłać nowy plik metadanych lub certyfikat Webex .

Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pośrednictwem określonej obsługi dostawcy usług w chmurze, w zależności od konfiguracji dostawcy tożsamości i tego, czy za ten krok odpowiadasz Ty, czy inny administrator dostawcy tożsamości.

Aby uzyskać więcej informacji, zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. Jeśli korzystasz z usług federacyjnych Active Directory (AD FS), możesz: zobacz, jak zaktualizować metadane Webex w usługach AD FS

10

Wróć do interfejsu Control Hub i kliknij Dalej .

11

Wybierz Pomyślnie zaktualizowano wszystkich dostawców tożsamości i kliknij Dalej .

Spowoduje to przesłanie pliku metadanych SP lub certyfikatu do wszystkich dostawców tożsamości w Twojej organizacji.

12

Kliknij Zakończ odnawianie .

Testuj konfigurację jednokrotnego logowania (SSO)

Przed rozpoczęciem

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości i kliknij .

4

Wybierz Testuj IdP .

5

Kliknij Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się za pomocą dostawcy tożsamości, logując się.


 

Jeśli zostanie wyświetlony błąd uwierzytelniania, mógł wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby wyświetlić środowisko SSO , zalecamy kliknięcie przycisku Skopiuj URL do schowka z tego ekranu i wklej go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

6

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Aktywuj SSO i dostawcę tożsamości i kliknij Zapisz .
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wróć do poprzednich kroków, aby naprawić błędy .

 
Konfiguracja SSO nie zacznie obowiązywać w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz SSO.

Konfigurowanie mapowania Just In Time (JIT) i SAML

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • SSO jest już skonfigurowane.

  • Domeny zostały już zweryfikowane.

  • Domeny zostały zgłoszone i włączone. Ta funkcja zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani po każdym uwierzytelnieniu za pomocą Twojego dostawcy tożsamości.

  • Jeśli DirSync lub AzureAD są włączone, tworzenie lub aktualizacja JIT SAML nie będzie działać.

  • Opcja „Blokuj aktualizację profilu użytkownika” jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Metody tworzenia i aktualizacji kontrolowane przez administratora są nadal obsługiwane.


 

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma: automatyczny szablon licencji skonfigurować.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości i kliknij .

4

Wybierz Edytuj mapowanie SAML .

5

Konfiguruj Ustawienia just-in-time (JIT) .

  1. Utwórz lub aktywuj użytkownika: jeśli nie zostanie znaleziony żaden aktywny użytkownik, Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika przy użyciu dostawcy tożsamości.

  2. Aktualizuj atrybuty SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, aplikacja Webex Identity zaktualizuje go przy użyciu atrybutów odwzorowanych w potwierdzeniu SAML .

  3. Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niemożliwego do zidentyfikowania adresu e-mail.

6

Konfiguruj Mapowanie SAML .

  1. Ustaw wymagane atrybuty.

    Tabela 1. Wymagane atrybuty

    Nazwa atrybutu tożsamości Webex

    Nazwa atrybutu SAML

    Opis atrybutu

    Nazwa użytkownika / Główny adres e-mail

    Przykład: uid

    Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

  2. Ustaw atrybuty łączenia. Powinna być unikalna dla użytkownika. Służy do wyszukiwania użytkowników, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, w tym adres e-mail użytkownika.

    Tabela 2. Atrybuty łączenia

    Nazwa atrybutu tożsamości Webex

    Nazwa atrybutu SAML

    Opis atrybutu

    externalId

    Przykład: user.objectid

    Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

    numerpracownika

    Przykład: user.employeeid

    Numer pracownika użytkownika lub numer identyfikacyjny w systemie HR. Pamiętaj, że to nie jest dla externalid, ponieważ można je ponownie wykorzystać lub poddać recyklingowi employeenumber dla innych użytkowników.

    Atrybut rozszerzenia 1

    Przykład: user.extensionattribute1

    Zamapuj te atrybuty niestandardowe na atrybuty rozszerzone w Active Directory, platformie Azure lub w katalogu, aby uzyskać kody śledzenia.

    Atrybut rozszerzenia 2

    Przykład: user.extensionattribute2

    Atrybut rozszerzenia 3

    Przykład: user.extensionattribute3

    Atrybut rozszerzenia 4

    Przykład: user.extensionlattribute4

    Atrybut rozszerzenia 5

    Przykład: user.extensionattribute5

  3. Ustaw atrybuty profilu.

    Tabela 3. Atrybuty profilu

    Nazwa atrybutu tożsamości Webex

    Nazwa atrybutu SAML

    Opis atrybutu

    externalId

    Przykład: user.objectid

    Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

    numerpracownika

    Przykład: user.employeeid

    Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Należy pamiętać, że nie dotyczy to identyfikatora „externalid”, ponieważ można ponownie używać lub przetwarzać „numer_pracownika” dla innych użytkowników.

    preferowany język

    Przykład: user.preferredlanguage

    Preferowany język użytkownika.

    ustawienia regionalne

    Przykład: user.locale

    Główne miejsce pracy użytkownika.

    strefa czasowa

    Przykład: user.timezone

    Główna strefa czasowa użytkownika.

    displayName

    Przykład: user.displayname

    Nazwa wyświetlana użytkownika w usłudze Webex.

    nazwa.givenName

    Przykład: nazwa_użytkownika

    Imię użytkownika.

    nazwa.nazwa_rodziny

    Przykład: użytkownik.nazwisko

    Nazwisko użytkownika.

    adresy.adres.ulicy

    Przykład: adres_użytkownika

    Adres głównego miejsca pracy.

    adresy.stan

    Przykład: user.state

    Stan głównej lokalizacji pracy.

    adresy.region

    Przykład: użytkownik.region

    Region głównego miejsca pracy.

    adresy.KodPocztowy

    Przykład: użytkownik.kod pocztowy

    Kod pocztowy głównego miejsca pracy.

    adresy.kraj

    Przykład: user.country

    Kraj głównego miejsca pracy.

    phoneNumbers.work

    Przykład: służbowy numer telefonu

    Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

    phoneNumbers.extension

    Przykład: numer telefonu komórkowego

    Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

    zaimek

    Przykład: user.zaimek

    Zaimki użytkownika. Jest to atrybut opcjonalny, który użytkownik lub administrator może ustawić jako widoczny w swoim profilu.

    tytuł

    Przykład: user.jobtitle

    Stanowisko użytkownika.

    department

    Przykład: user.department

    Dział lub zespół użytkownika.

    zaimek

    Przykład: user.zaimek

    To jest zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

    manager

    Przykład: manager

    Menedżer użytkownika lub kierownik zespołu.

    centrum kosztów

    Przykład: centrum kosztów

    Jest to nazwisko użytkownika, znane również jako nazwisko lub nazwisko

    email.alternate1

    Przykład: user.mailnickname

    Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

    email.alternate2

    Przykład: user.primaryauthoritativemail

    		Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

    email.alternate3

    Przykład: user.alternativeauthoritativemail

    Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

    email.alternate4

    Przykład: user.othermail

    		Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

    email.alternate5

    Przykład: user.othermail

    		Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

  4. Ustaw atrybuty rozszerzenia. Zamapuj te atrybuty na atrybuty rozszerzone w Active Directory, platformie Azure lub w katalogu, aby uzyskać kody śledzenia.

    Tabela 4. Atrybuty rozszerzenia

    Nazwa atrybutu tożsamości Webex

    Nazwa atrybutu SAML

    Atrybut rozszerzenia 1

    Przykład: user.extensionattribute1

    Atrybut rozszerzenia 2

    Przykład: user.extensionattribute2

    Atrybut rozszerzenia 3

    Przykład: user.extensionattribute3

    Atrybut rozszerzenia 4

    Przykład: user.extensionattribute4

    Atrybut rozszerzenia 5

    Przykład: user.extensionattribute5

    Atrybut rozszerzenia 6

    Przykład: user.extensionattribute6

    Atrybut rozszerzenia 7

    Przykład: user.extensionattribute7

    Atrybut rozszerzenia 8

    Przykład: user.extensionattribute8

    Atrybut rozszerzenia 9

    Przykład: user.extensionattribute9

    Atrybut rozszerzenia 10

    Przykład: user.extensionattribute10

    Aby uzyskać listę atrybutów asercji SAML dla Webex Meetings, zobaczhttps://help.webex.com/article/WBX67566 .

Usuń dostawcę tożsamości (IdP)

Przed rozpoczęciem


 
Zaleca się, aby najpierw dezaktywować lub usunąć reguły routingu dostawcy tożsamości przed usunięciem dostawcy tożsamości.
1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości i kliknij .

4

Wybierz pozycję Usuń.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Kliknij Dezaktywuj SSO .

Potwierdź dezaktywację SSO .

Po potwierdzeniu SSO jest dezaktywowane dla wszystkich dostawców tożsamości w Twojej organizacji.

Będziesz otrzymywać alerty w Control Hub przed wygaśnięciem certyfikatów, ale możesz również proaktywnie skonfigurować reguły alertów. Te reguły informują z wyprzedzeniem o wygaśnięciu certyfikatów dostawcy usług lub dostawcy tożsamości. Możemy wysłać je do Ciebie za pośrednictwem poczty e-mail, obszaru w aplikacji Webex lub obu.


 

Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty będą zawsze wyświetlane w Control Hub. Zobacz Centrum alertów w Control Hub aby uzyskać więcej informacji.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Centrum alertów .

2

Wybierz Zarządzaj wtedy Wszystkie reguły .

3

Z listy Reguły wybierz dowolne reguły SSO , które chcesz utworzyć:

  • Wygaśnięcie certyfikatu SSO IDP
  • Wygaśnięcie certyfikatu SP SSO
4

W sekcji Kanał dostarczania zaznacz pole wyboru e-mail , Webex lub oba.

Jeśli wybierzesz opcję e-mail, wprowadź adres e-mail, na który powinno zostać wysłane powiadomienie.


 

Jeśli wybierzesz opcję obszaru Webex , zostaniesz automatycznie dodany do obszaru w aplikacji Webex , a my dostarczymy tam powiadomienia.

5

Zapisz zmiany.

Co zrobić dalej

Alerty o wygaśnięciu certyfikatu są wysyłane co 15 dni, począwszy od 60 dni przed wygaśnięciem certyfikatu. (Alertów można spodziewać się w 60, 45, 30 i 15 dniu). Alerty są wyłączane po odnowieniu certyfikatu.

W przypadku problemów z logowaniem SSO możesz użyć przycisku Opcja samodzielnego odzyskiwania SSO aby uzyskać dostęp do organizacji Webex zarządzanej w Control Hub. Opcja samodzielnego odzyskiwania umożliwia aktualizowanie lub wyłączanie SSO w Control Hub.