Można skonfigurować integrację logowania jednokrotnego (SSO) między centrum sterowania a wdrożeniem, które używa SimpleSAML jako dostawcy tożsamości (IdP).
Logowanie jednokrotne i Control Hub
Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.
Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Webex a dostawcą tożsamości (IdP).
Profile
Aplikacja Webex app obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:
Skojarzonie POST -> POST inicjowane przez SP
Skojarzonie REDIRECT -> POST zainicjowane przez SP
Format NameID
Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Aplikacja Webex app obsługuje następujące formaty NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Webex.
SingleLogout
Aplikacja Webex obsługuje pojedynczy profil wylogowania. W aplikacji Webexapp użytkownik może wylogować się z aplikacji, która używa protokołu pojedynczego wylogowania SAML do zakończenia sesji i potwierdzenia wylogowania przy użyciu dostawcy tożsamości. Upewnij się, że dostawca tożsamości jest skonfigurowany do obsługi SingleLogout.
Integracja Control Hub z SimpleSAML
Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla formatu nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified lub urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale wykraczają poza zakres naszej dokumentacji. |
Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym WebexApp, Webex Meetingsi innych usług administrowanych w ControlHub). Jeśli witryna Webex jest zintegrowana z ControlHub, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest on zarządzany w Control Hub, musisz wykonać oddzielną integrację, aby włączyć logowanie jednokrotne dla spotkańWebex. (Zobacz Konfigurowanie logowania jednokrotnego dla usługi Webex, aby uzyskać więcej informacji na temat integracji logowania jednokrotnego w administracji witryną.)
Przed rozpoczęciem
W przypadku logowania jednokrotnego i centrumsterowania dostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawcy tożsamości muszą być skonfigurowani w następujący sposób:
Pobierz metadane Webex do systemu lokalnego
1 | Z widoku klienta w programie https://admin.webex.com, przejdź do pozycji Uwierzytelnianie, a następnie włącz ustawienie Logowanie jednokrotne, aby uruchomić kreatora instalacji. |
||
2 | Wybierz typ certyfikatu dla swojej organizacji:
|
||
3 | Pobierz plik metadanych. Nazwa pliku metadanych Webex to idb-meta-<org-ID>-SP.xml. |
Konwertowanie metadanych
1 | Otwórz wyeksportowany plik metadanych Webex w edytorze tekstu. |
2 | W przeglądarce otwórz stronę główną simpleSAML i zaloguj się przy użyciu poświadczeń administratora. Lokalizacja strony głównej jest różna, ale zazwyczaj jest podobna do tego przykładowego adresu URL: https://yourcompany.yourdomain.com/simplesaml. |
3 | Na stronie głównej kliknij opcję Federacja. |
4 | W obszarze narzędzia wykonaj konwersję XML na prosty SAML XML. |
5 | Skopiuj metadane Webex z edytora tekstu, a następnie wklej je do pola konwersji XML. |
6 | Kliknij przycisk Analizuj. Zostaną wyświetlone przekonwertowane metadane. Dane te zostaną dodane do zdalnego pliku tekstowego SP. |
Tworzenie pliku metadanych zdalnego usługodawcy
Te kroki mają być przykładem. Katalog metadanych i host dostawcy tożsamości różnią się w zależności od konfiguracji klienta.
Przed rozpoczęciem
Należy pamiętać o atrybutach, które należy odpowiednio przekazać i spakować, edytując plik metadanych saml20-idp-hosted.php. (Na przykład uid, poczta, e-mail itd.). Zobacz przykładowe metadane:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | W konfiguracji SimpleSAML na hoście przejdź do katalogu metadanych. |
2 | Za pomocą edytora tekstu wklej przeanalizowane dane na końcu saml20-sp-remote.php i zapisz plik. |
3 | Wróć do strony głównej SimpleSAML, kliknij pozycję Federacja, a następnie pokaż metadane dostawcy tożsamości. |
4 | Wklej dane do nowego pliku tekstowego. |
5 | Zapisz zaktualizowany plik na pulpicie pod zrozumiałą nazwą, taką jak simplesaml-metadata.xml. |
Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście
Po wyeksportowaniu metadanych Webex, skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Webex z centrumsterowania.
Przed rozpoczęciem
Nie testuj integracji logowania jednokrotnego z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy inicjowane przez dostawcę usług (inicjowane przez dostawcę usług), więc do tej integracji należy użyć testu logowania jednokrotnego usługi Control Hub.
1 | Wybierz jedną z nich:
|
||||
2 | Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przekazać plik metadanych. Kliknij przycisk Dalej. Jeśli możesz, powinieneś użyć opcji Bardziej bezpieczne. Jest to możliwe tylko wtedy, gdy dostawca tożsamości użył publicznego urzędu certyfikacji do podpisania swoich metadanych. We wszystkich innych przypadkach należy użyć opcji Mniej bezpieczne. Dotyczy to również sytuacji, gdy metadane nie są podpisane, podpisane samodzielnie lub podpisane przez prywatny urząd certyfikacji. |
||||
3 | Wybierz pozycję Testuj konfigurację logowaniajednokrotnego, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.
|
||||
4 | Wróć do karty przeglądarki Control Hub.
|
Co dalej?
Możesz wykonać procedurę opisaną w temacie Pomijanie automatycznych wiadomości e-mail, aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex App w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.