- Strona główna
- /
- Artykuł
Integrację jednokrotnego logowania (SSO) między Control Hub i wdrożeniem, które używa SimpleSAML jako dostawcy tożsamości (IdP).
Logowanie jednokrotne i Control Hub
Jednokrotne logowanie (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do jednej lub większej liczby aplikacji. Proces uwierzytelnia użytkowników we wszystkich aplikacjach, do których mają uprawnienia. Eliminuje dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.
Protokół federacyjny języka SAML 2.0 (Security Assertion Markup Language) służy do zapewniania uwierzytelniania SSO między chmurą Webex a dostawcą tożsamości (IdP).
Profile
Aplikacja Webex obsługuje tylko profil SSO przeglądarki internetowej. W profilu SSO przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:
SP zainicjował test POST -> wiązanie testu POST
SP zainicjował PRZEKIEROWANIE -> wiązanie POST
Format identyfikatora nazwy
Protokół SAML 2.0 obsługuje kilka formatów NameID do komunikacji z określonym użytkownikiem. Aplikacja Webex obsługuje następujące formaty NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w aplikacji Webex.
SingleLogout
Aplikacja Webex obsługuje profil jednokrotnego wylogowania. W aplikacji Webex użytkownik może wylogować się z aplikacji, która korzysta z pojedynczego protokołu SAML, aby zakończyć sesję i potwierdzić wylogowanie za pomocą dostawcy tożsamości. Upewnij się, że usługa IdP jest skonfigurowana dla funkcji SingleLogout.
Integracja Control Hub z SimpleSAML
Przewodniki konfiguracyjne przedstawiają konkretny przykład integracji logowania SSO, ale nie zawierają wyczerpującej konfiguracji obejmującej wszystkie możliwości. Na przykład etapy integracji dotyczące formatu |
Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym aplikacji Webex , Webex Meetings i innych usług administrowanych w Control Hub). Jeśli witryna Webex jest zintegrowana z Control Hub, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest to zarządzane w Control Hub, musisz przeprowadzić oddzielną integrację, aby włączyć SSO dla Webex Meetings. (Patrz Konfigurowanie jednokrotnego logowania dla Webex Aby uzyskać więcej informacji na temat integracji SSO w administracji witryny).
Przed rozpoczęciem
W przypadku logowania SSO i korzystania z Control Hub dostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawców tożsamości należy skonfigurować w następujący sposób:
Pobierz metadane Webex do systemu lokalnego
1 | Z widoku klienta whttps://admin.webex.com , przejdź do , a następnie przewiń do Uwierzytelnianie , a następnie włącz Jednokrotne logowanie ustawienia, aby uruchomić kreatora konfiguracji. | ||
2 | Wybierz typ certyfikatu dla swojej organizacji:
| ||
3 | Pobierz plik metadanych. Nazwa pliku metadanych Webex to idb-meta-<org-ID> -SP.xml . |
Konwertuj metadane
1 | Otwórz wyeksportowany plik metadanych Webex w edytorze tekstu. |
2 | W przeglądarce otwórz stronę główną simpleSAML i zaloguj się przy użyciu poświadczeń administratora. Lokalizacja strony głównej jest różna, ale zazwyczaj jest podobna do tego przykładowego adresu URL: https://yourcompany.yourdomain.com/simplesaml. |
3 | Na stronie głównej kliknij Federacja. |
4 | W narzędziach wykonaj konwersję XML do Simple SAML XML. |
5 | Skopiuj metadane Webex z edytora tekstu, a następnie wklej je do pola konwersji XML. |
6 | Kliknij przycisk Parsowanie. Pojawi się przerobione metadane. Te dane zostaną dodane do zdalnego pliku tekstowego SP. |
Utwórz plik metadanych dostawcy usług zdalnych
Kroki te mają stanowić przykład. Katalog metadanych i host IdP różnią się w zależności od konfiguracji klienta.
Przed rozpoczęciem
Pamiętaj o atrybutach, które musisz przekazywać i odpowiednio mapować, edytując plik metadanych saml20-idp-hosted.php
. (Na przykład uid, mail, e-mail i tak dalej). Zobacz przykładowe metadane:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | W konfiguracji SimpleSAML na prowadzącym przejdź do katalogu metadanych. |
2 | Za pomocą edytora tekstu wkleić dane parsowane na końcu saml20-sp-remote.php i zapisz plik. |
3 | Wróć do strony głównej SimpleSAML, kliknij opcję Federacja, a następnie pokaż metadane dostawcy tożsamości. |
4 | Wklej dane do nowego pliku tekstowego. |
5 | Zapisywanie zaktualizowanego pliku na pulpicie przy użyciu znaczącej nazwy, takiej jak simplesaml-metadata.xml. |
Zaimportuj metadane dostawcy tożsamości i włącz jednokrotne logowanie po teście
Po wyeksportowaniu metadanych Webex , skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego możesz zaimportować je do swojej organizacji Webex z Control Hub.
Przed rozpoczęciem
Nie należy testować integracji SSO z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy zainicjowane przez dostawcę usług (inicjowane przez dostawcę usług), dlatego w przypadku tej integracji należy użyć testu SSO w usłudze Control Hub.
1 | Wybierz jedną z nich:
| ||||
2 | Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przesłać plik metadanych. Kliknij przycisk Dalej. Należy użyć Bardziej bezpieczne opcję, jeśli możesz. Jest to możliwe tylko wtedy, gdy dostawca tożsamości używał publicznego urzędu certyfikacji do podpisywania metadanych. We wszystkich innych przypadkach należy użyć przycisku Mniej bezpieczne opcja. Dotyczy to również sytuacji, w których metadane nie są podpisane, samopodpisane ani podpisane przez prywatny urząd certyfikacji.
| ||||
3 | Wybierz Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.
| ||||
4 | Wróć do karty przeglądarki Control Hub.
|
Co zrobić dalej
Skorzystaj z procedur opisanych w Synchronizuj użytkowników Okta z Cisco Webex Control Hub jeśli chcesz przeprowadzić obsługę administracyjną użytkowników z Okta do chmury Webex .
Skorzystaj z procedur opisanych w Synchronizowanie użytkowników usługi Azure Active Directory z Cisco Webex Control Hub jeśli chcesz przeprowadzić inicjowanie obsługi administracyjnej użytkowników z usługi Azure AD do chmury Webex .
Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.