Jednokrotne logowanie (SSO) umożliwia użytkownikom bezpieczne logowanie się do usługi Webex poprzez uwierzytelnienie się przy użyciu wspólnego dostawcy tożsamości organizacji. Dostawca tożsamości (IdP) bezpiecznie przechowuje tożsamości cyfrowe Twoich użytkowników i zarządza nimi oraz udostępnia usługę uwierzytelniania użytkowników Webex.

Dlaczego możesz potrzebować wielu dostawców tożsamości

Wiele dużych firm przechodzi fuzje i przejęcia, które rzadko mają tych samych dostawców infrastruktury IT i tożsamości. Instytucje rządowe mają pod sobą różne organizacje i agencje. Często organizacje te mają jeden adres e-mail odpowiednio dla własnych działów IT i infrastruktury. Główne instytucje edukacyjne mają centralny dział zakupów, ale różne uniwersytety i kolegia z różnymi organizacjami i wydziałami IT.

Często zdarza się, że dostawcy tożsamości i dostawcy usług się federują. Dostawca tożsamości jest odpowiedzialny za uwierzytelnienie poświadczeń użytkowników, a dostawca usług ufa uwierzytelnianiu dokonywanemu przez dostawcę tożsamości. Dzięki temu użytkownicy mają dostęp do różnych aplikacji i usług SaaS przy użyciu tej samej tożsamości cyfrowej. Ale jeśli z jakiegoś powodu organizacja nie może przeprowadzić federacji między dostawcami tożsamości, usługa Webex zapewnia obejście do obsługi wielu dostawców tożsamości. Z tych powodów dajemy Ci możliwość skonfigurowania logowania SSO dla wielu dostawców tożsamości w Webex i uproszczenia procesu uwierzytelniania użytkowników.

Ograniczenia

  • Ta funkcja jest dostępna tylko wtedy, gdy zakupiono rozszerzony pakiet bezpieczeństwa Webex.
  • Obecnie jako dostawcy tożsamości obsługujemy tylko protokoły SAML, OpenID Connect i Webex Identity.

Poza zakresem

  • Skonfiguruj przypisania grupowe.

W tej sekcji opisano, w jaki sposób można zintegrować dostawców tożsamości (IdP) z organizacją Webex. Możesz wybrać dostawców tożsamości, którzy najlepiej odpowiadają wymaganiom Twojej organizacji.

Jeśli chcesz zintegrować logowanie SSO w witrynie Webex Meetings (zarządzanej za pomocą portalu Administrowanie witryną), zapoznaj się z tematem Konfigurowanie jednokrotnego logowania w administracji Webex.

Wymagania wstępne

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki:

  • Aby skonfigurować logowanie SSO z wieloma dostawcami tożsamości w Control Hub, musisz mieć rozszerzony pakiet bezpieczeństwa Webex.
  • Musisz mieć rolę administratora z pełnymi uprawnieniami w Control Hub.
  • Plik metadanych od dostawcy tożsamości, który należy przekazać usłudze Webex, oraz plik metadanych z usługi Webex, który należy przekazać dostawcy tożsamości. Aby uzyskać więcej informacji, zobacz Integracja jednokrotnego logowania w Control Hub. Dotyczy to tylko konfiguracji SAML.
  • Przed skonfigurowaniem wielu dostawców tożsamości należy zaplanować działanie reguł trasowania.
Domyślna reguła trasowania jest stosowana po skonfigurowaniu początkowego dostawcy tożsamości. Jako domyślny możesz jednak ustawić innego dostawcę tożsamości. Zapoznaj się z tematem Dodawanie lub edytowanie reguły trasowania na karcie Reguły trasowania w tym artykule.
Konfiguruj SAML
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem jednokrotnym i dostawcami tożsamości, aby uruchomić kreatora konfiguracji.

3

Wybierz SAML jako dostawcę tożsamości i kliknij przycisk Dalej.

4

Wybierz typ certyfikatu:

  • Podpis własny Cisco — zalecamy tę opcję. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisany przez publiczny urząd certyfikacji — bezpieczniejszy, ale będzie wymagane częste aktualizowanie metadanych (chyba że dostawca tożsamości obsługuje kotwice zaufania).
Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
5

Kliknij kolejno opcje Pobierz metadaneDalej.

Nazwa pliku metadanych aplikacji Webex to idb-meta--SP.xml.

6

Prześlij plik metadanych dostawców tożsamości lub wypełnij formularz konfiguracji.

Podczas przesyłania pliku metadanych istnieją dwa sposoby sprawdzania poprawności metadanych pochodzących od dostawcy tożsamości klienta:

  • Dostawca tożsamości klienta dołącza do metadanych podpis pochodzący od głównego publicznego urzędu certyfikacji.
  • Dostawca tożsamości klienta dołącza prywatny urząd certyfikacji z podpisem własnym lub nie dołącza podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.
W przeciwnym razie w formularzu konfiguracyjnym wprowadź informacje o dostawcy tożsamości.

Kliknij przycisk Dalej.

7

(Opcjonalnie) Możesz zmienić nazwę atrybutu SAML dla nazwy użytkownika Webex lub głównego adresu e-mail z uid na coś uzgodnionego z menedżerem dostawcy tożsamości, takie jak email, upn itp.

8

(Opcjonalnie) Skonfiguruj ustawienia funkcji Just In Time (JIT) i odpowiedzi mapowania SAML.

Zobacz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzaj dostawcami tożsamości w tym artykule.
9

Kliknij opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

W przypadku otrzymania błędu uwierzytelniania może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć środowisko logowania SSO, zalecamy kliknięcie na tym ekranie opcji Skopiuj adres URL do schowka i wklejenie go w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

10

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj logowanie SSO i dostawcę tożsamości i kliknij opcję Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.
Konfiguracja rejestracji jednokrotnej (SSO) nie wpłynie na organizację, jeśli nie zostanie wybrany pierwszy przycisk radiowy i nie zostanie aktywowane logowanie SSO.

Co zrobić dalej

Można skonfigurować regułę trasowania. Zapoznaj się z tematem Dodawanie lub edytowanie reguły trasowania na karcie Reguły trasowania w tym artykule.

Możesz wykonać procedurę opisaną w części Pomijaj automatyczne wiadomości e-mail , aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfiguruj OpenID Connect
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem jednokrotnym i dostawcami tożsamości, aby uruchomić kreatora konfiguracji.

3

Wybierz OpenID Connect jako dostawcę tożsamości i kliknij Dalej.

4

Wprowadź informacje o dostawcy tożsamości.

  • Nazwa — Nazwa identyfikująca dostawcę tożsamości.
  • Identyfikator klienta — unikatowy identyfikator identyfikujący użytkownika i dostawcę tożsamości.
  • Klucz tajny klienta — hasło, które znasz zarówno ty, jak i Twój dostawca tożsamości.
  • Zakresy — zakresy, które mają być skojarzone z dostawcą tożsamości.

5

Wybierz sposób dodawania punktów końcowych. Można to zrobić automatycznie lub ręcznie.

  • Użyj adresu URL wykrywania — wprowadź adres URL konfiguracji dostawcy tożsamości.
  • Dodaj ręcznie informacje o punktach końcowych — wprowadź następujące dane.

    • Wydawca
    • Punkt końcowy autoryzacji
    • Punkt końcowy tokenu
    • Punkt końcowy JWKS
    • Punkt końcowy informacji o użytkowniku
    Aby uzyskać więcej informacji, zobacz przewodnik konfiguracji OpenID Connect.

6

(Opcjonalnie) Skonfiguruj ustawienia funkcji Just In Time (JIT).

Zobacz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzaj dostawcami tożsamości w tym artykule.
7

Kliknij opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

W przypadku otrzymania błędu uwierzytelniania może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć środowisko logowania SSO, zalecamy kliknięcie na tym ekranie opcji Skopiuj adres URL do schowka i wklejenie go w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

8

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj logowanie SSO i dostawcę tożsamości i kliknij opcję Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.
Konfiguracja rejestracji jednokrotnej (SSO) nie zostanie uwzględniona w Twojej organizacji, chyba że zostanie wybrany pierwszy przycisk radiowy i zostanie aktywowane logowanie jednokrotne.

Co zrobić dalej

Można skonfigurować regułę trasowania. Zapoznaj się z tematem Dodawanie lub edytowanie reguły trasowania na karcie Reguły trasowania w tym artykule.

Możesz wykonać procedurę opisaną w części Pomijaj automatyczne wiadomości e-mail , aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfiguruj tożsamość Webex
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem jednokrotnym i dostawcami tożsamości, aby uruchomić kreatora konfiguracji.

3

Wybierz Webex jako dostawcę tożsamości i kliknij przycisk Dalej.

4

Sprawdź Przeczytałem(-am) i zrozumiałem(-am) zasadę działania dostawcy tożsamości Webex , a następnie kliknij przycisk Dalej.

5

Skonfiguruj regułę trasowania.

Zapoznaj się z tematem Dodawanie lub edytowanie reguły trasowania na karcie Reguły trasowania w tym artykule.

Po dodaniu reguły trasowania dostawca tożsamości zostanie dodany i będzie wyświetlany na karcie Dostawca tożsamości .

Co dalej?

Możesz wykonać procedurę opisaną w części Pomijaj automatyczne wiadomości e-mail , aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Reguły trasowania mają zastosowanie w przypadku konfigurowania więcej niż jednego dostawcy tożsamości. Reguły trasowania umożliwiają usłudze Webex zidentyfikowanie dostawcy tożsamości, do którego mają być wysyłani użytkownicy, gdy skonfigurowano wielu dostawców tożsamości.

W przypadku konfigurowania więcej niż jednego dostawcy tożsamości można zdefiniować reguły trasowania w kreatorze konfiguracji SSO. Jeśli pominiesz krok dotyczący reguły trasowania, Control Hub dodaje dostawcę tożsamości, ale nie aktywuje dostawcy tożsamości. Aby aktywować dostawcę tożsamości, należy dodać regułę trasowania.

Dodaj lub edytuj reguły przekierowania
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Reguły przekierowania .

Podczas konfigurowania pierwszego dostawcy tożsamości reguła trasowania jest dodawana automatycznie i ustawiana jako reguła domyślna. Możesz później wybrać innego dostawcę tożsamości, który będzie ustawiany jako reguła domyślna.

4

Kliknij Dodaj nową regułę trasowania.

5

Wprowadź szczegóły nowej reguły:

  • Nazwa reguły — wprowadź nazwę reguły trasowania.
  • Wybierz typ trasowania — wybierz domenę lub grupę.
  • Jeśli są to Twoje domeny/grupy — wprowadź domeny/grupy w organizacji.
  • Następnie użyj tego dostawcy tożsamości — wybierz dostawcę tożsamości.

6

Kliknij przycisk Dodaj.

7

Wybierz nową regułę trasowania i kliknij przycisk Aktywuj.

Kolejność priorytetów reguł trasowania można zmienić, jeśli masz reguły trasowania dla wielu dostawców tożsamości.
Dezaktywuj lub usuń reguły trasowania
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Reguły przekierowania .

4

Wybierz regułę trasowania.

5

Wybierz, czy chcesz Dezaktywować , czy Usunąć regułę trasowania.

Zaleca się posiadanie innej aktywnej reguły trasowania dla dostawcy tożsamości. W przeciwnym razie mogą wystąpić problemy z logowaniem SSO.

Nie można dezaktywować ani usunąć reguły domyślnej , ale można zmodyfikować kierowanego dostawcę tożsamości.
Zarządzaj certyfikatami dostawców tożsamości

Przed rozpoczęciem

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.

Dotyczy to tylko konfiguracji SAML.

1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości, kliknij pozycję przesłać i wybierz pozycję Prześlij metadane dostawcy tożsamości.

Aby pobrać plik metadanych, kliknij pozycję Pobierz i wybierz pozycję Pobierz metadane dostawcy tożsamości.
5

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

6

Wróć do usługi Control Hub i przeciągnij i upuść plik metadanych IdP w obszarze przesyłania lub kliknij opcję Wybierz plik , aby przesłać metadane.

7

Wybierz opcję Mniej bezpieczne (samopodpisany) lub Bardziej bezpieczne (podpisany przez publiczny urząd certyfikacji), w zależności od sposobu podpisywania metadanych dostawcy tożsamości i kliknij przycisk Zapisz.

8

Skonfiguruj ustawienia funkcji Just In Time (JIT) i odpowiedź mapowania SAML.

Zobacz Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzaj dostawcami tożsamości w tym artykule.
9

Kliknij opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

W przypadku otrzymania błędu uwierzytelniania może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć środowisko logowania SSO, zalecamy kliknięcie na tym ekranie opcji Skopiuj adres URL do schowka i wklejenie go w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

10

Kliknij opcję Zapisz.

Zarządzaj certyfikatami dostawców usług

Przed rozpoczęciem

Zaleca się, aby podczas odnawiania certyfikatu dostawcy usług zaktualizować wszystkich dostawców tożsamości w organizacji.

Dotyczy to tylko konfiguracji SAML.

1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości i kliknij przycisk .

5

Kliknij Przejrzyj certyfikaty i data wygaśnięcia.

Spowoduje to przejście do okna Certyfikaty dostawców usług .
6

Kliknij opcję Odnów certyfikat.

7

Wybierz typ dostawcy tożsamości w swojej organizacji:

  • IdP obsługujący wiele certyfikatów
  • IdP obsługujący pojedynczy certyfikat
8

Wybierz typ certyfikatu do odnowienia:

  • Podpis własny Cisco — zalecamy tę opcję. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisany przez publiczny urząd certyfikacji — bezpieczniejszy, ale będzie wymagane częste aktualizowanie metadanych (chyba że dostawca tożsamości obsługuje kotwice zaufania).
Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.
9

Kliknij opcję Pobierz metadane lub Pobierz certyfikat , aby pobrać kopię zaktualizowanego pliku metadanych lub certyfikatu z chmury Webex.

10

Przejdź do interfejsu zarządzania dostawcami tożsamości, aby przesłać nowy plik lub certyfikat metadanych Webex.

Ten krok można wykonać za pomocą karty przeglądarki, protokołu RDP (Remote Desktop Protocol) lub obsługi określonego dostawcy usług w chmurze, w zależności od konfiguracji dostawcy tożsamości i tego, czy za ten krok odpowiadasz Ty, czy oddzielny administrator dostawcy tożsamości.

Aby uzyskać więcej informacji, zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. Jeśli korzystasz z usług federacji Active Directory (AD FS), możesz sprawdzić, jak zaktualizować metadane Webex w AD FS.

11

Wróć do interfejsu Control Hub i kliknij przycisk Dalej.

12

Wybierz opcję Pomyślnie zaktualizowano wszystkich dostawców tożsamości i kliknij przycisk Dalej.

Spowoduje to przesłanie pliku metadanych dostawcy usług lub certyfikatu do wszystkich dostawców tożsamości w organizacji.

13

Kliknij Zakończ odnawianie.

Testuj konfigurację jednokrotnego logowania (SSO)

Przed rozpoczęciem

1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości i kliknij przycisk Menu Więcej .

5

Wybierz opcję Testuj dostawcę tożsamości.

6

Kliknij opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

W przypadku otrzymania błędu uwierzytelniania może wystąpić problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć środowisko logowania SSO, zalecamy kliknięcie na tym ekranie opcji Skopiuj adres URL do schowka i wklejenie go w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

7

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj logowanie SSO i dostawcę tożsamości i kliknij opcję Zapisz.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.
Konfiguracja logowania jednokrotnego nie zostanie zastosowana w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Konfiguracja mapowania Just In Time (JIT) i SAML

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • Logowanie jednokrotne jest już skonfigurowane.

  • Domeny zostały już zweryfikowane.

  • Domeny są przejęte i włączone. Ta funkcja zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani raz za każdym razem, gdy uwierzytelniają się przy użyciu IdP.

  • Jeśli DirSync lub usługa Azure AD są włączone, tworzenie lub aktualizacja SAML JIT nie będzie działać.

  • "Blokuj aktualizację profilu użytkownika" jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Kontrolowane przez administratora metody tworzenia i aktualizowania są nadal obsługiwane.

Podczas konfigurowania SAML JIT w usłudze Azure AD lub dostawcy tożsamości, w przypadku gdy adres e-mail nie jest trwałym identyfikatorem, zalecamy użycie atrybutu łączenia externalId w celu zmapowania na unikatowy identyfikator. Jeśli stwierdzimy, że adres e-mail nie pasuje do atrybutu łączenia, użytkownik zostanie poproszony o zweryfikowanie swojej tożsamości lub utworzenie nowego użytkownika przy użyciu poprawnego adresu e-mail.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany szablon licencji automatycznej .

1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości i kliknij przycisk Menu Więcej .

5

Wybierz pozycję Edytuj mapowanie SAML.

6

Skonfiguruj ustawienia funkcji Just In Time (JIT).

  • Utwórz lub włącz użytkownika: Jeśli nie znaleziono aktywnego użytkownika, usługa Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika przez dostawcę tożsamości.
  • Zaktualizuj użytkownika za pomocą atrybutów SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, Webex Identity zaktualizuje go o atrybuty zamapowane w potwierdzeniu SAML.
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niezidentyfikowanego adresu e-mail.

7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Podstawowy adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj atrybuty łączenia.

Powinno to być unikalne dla użytkownika. Służy do wyszukiwania użytkownika, aby usługa Webex mogła zaktualizować wszystkie atrybuty profilu, w tym adres e-mail danego użytkownika.
Tabela 2. Atrybuty łączenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w systemie HR użytkownika. Pamiętaj, że nie jest to dla usług zewnętrznych, ponieważ możesz użyć ponownie lub ponownie pracowników dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Mapuj te atrybuty niestandardowe do atrybutów rozszerzonych w usłudze Active Directory, na platformie Azure lub w Twoim katalogu w celu uzyskania kodów monitorowania.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionlattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Pamiętaj, że nie jest to "externalid", ponieważ możesz ponownie użyć lub odtworzyć "employeenumber" dla innych użytkowników.

preferredLanguage

Przykład: user.preferredlanguage

Preferowany język użytkownika.

Ustawień regionalnych

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.strefa czasowa

Główna strefa czasowa użytkownika.

displayName

Przykład: nazwa_użytkownika.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.ulicaAdres

Przykład: user.streetadres

Adres głównego miejsca pracy.

adres.stan

Przykład: stan użytkownika

Stan ich podstawowej lokalizacji pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.postalCode

Przykład: user.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: użytkownik.kraj

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: numer telefonu służbowego

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu komórkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: zaimek użytkownika.

Zaimki użytkownika. Jest to atrybut opcjonalny, a użytkownik lub administrator może uczynić go widocznym w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: zaimek użytkownika.

Jest to zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Menedżer użytkownika lub kierownik zespołu.

costcenter

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub nazwisko

email.alternate1

Przykład: nazwa użytkownika.mailnickname

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternatywny4

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.
10

Skonfiguruj atrybuty numeru wewnętrznego.

Zamapuj te atrybuty na atrybuty rozszerzone w usłudze Active Directory, na platformie Azure lub w katalogu na potrzeby kodów śledzenia.
Tabela 4. Atrybuty rozszerzeń

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkowników lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którzy zostaną przypisani do identyfikatora grupy Webex.
  3. Zaktualizuj konfigurację dostawcy tożsamości, aby uwzględnić oświadczenie, które zawiera tę nazwę atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikator zewnętrzny można również używać do zarządzania zmianami w nazwach grup lub do przyszłych scenariuszy integracji. Na przykład synchronizowanie z usługą Azure AD lub wdrażanie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który będzie wysyłany w potwierdzeniu SAML z identyfikatorem grupy. Służy do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupy, jeśli używasz grupy z katalogu do wysyłania członków w potwierdzeniu SAML.

Jeśli użytkownik A jest powiązany z groupID 1234, a użytkownik B z groupID 4567, jest on przypisany do oddzielnych grup. Ten scenariusz wskazuje, że jeden atrybut umożliwia użytkownikom powiązanie z wieloma identyfikatorami grup. Choć jest to rzadkie, jest to możliwe i można je uznać za dodatkową zmianę. Na przykład jeśli użytkownik A początkowo loguje się przy użyciu groupID 1234, staje się członkiem odpowiedniej grupy. Jeśli użytkownik A zaloguje się później przy użyciu identyfikatora groupID 4567, zostanie również dodany do tej drugiej grupy.

Konfiguracja SAML JIT nie obsługuje usuwania użytkowników z grup ani żadnego usuwania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

identyfikator grupexternalId

Przykład: identyfikator grupexternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla spotkań Webex, zobacz https://help.webex.com/article/WBX67566.

Usuń dostawcę tożsamości (IdP)

Przed rozpoczęciem

Zaleca się najpierw dezaktywowanie lub usunięcie reguł trasowania dostawcy tożsamości.
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości i kliknij przycisk Menu Więcej.

5

Wybierz pozycję Usuń.

1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Kliknij opcję Dezaktywuj logowanie SSO.

Potwierdź dezaktywację logowania SSO.

Po potwierdzeniu logowanie SSO zostanie dezaktywowane dla wszystkich dostawców tożsamości w Twojej organizacji.

Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.

Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Centrum alertów.

3

Wybierz Zarządzaj, a następnie Wszystkie reguły.

4

Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP logowania jednokrotnego
  • Wygaśnięcie certyfikatu SSO SP
5

W sekcji Kanał dostarczania zaznacz pole wyboru E-mail, przestrzeń Webexlub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie.

Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia.

6

Zapisz zmiany.

Co dalej?

Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Alerty można oczekiwać w dniach 60., 45., 30. i 15.) Alerty zatrzymują się po odnowieniu certyfikatu.

Jeśli wystąpią problemy z logowaniem SSO, możesz użyć opcji automatycznego odzyskiwania SSO , aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja samoodzyskiwania umożliwia aktualizację lub wyłączenie jednokrotnego logowania (SSO) w Control Hub.