Conectare unică și Control Hub

Autentificarea unică (SSO) este un proces de autentificare a sesiunii sau a utilizatorului care îi permite unui utilizator să furnizeze date de autentificare pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile pentru care li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută între aplicații în timpul unei anumite sesiuni.

Protocolul de federație pentru Security Assertion Markup Language (SAML 2.0) este utilizat pentru a furniza autentificare SSO între cloud-ul Webex și furnizorul dvs. de identitate (IdP).

Profiluri

Aplicația Webex acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, aplicația Webex acceptă următoarele conexiuni:

  • SP a inițiat legarea POST -> POST

  • SP a inițiat legarea REDIRECT -> POST

Format NameID

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Aplicația Webex acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.

SingleLogout

Aplicația Webex acceptă profilul de deconectare unic. În Aplicația Webex, un utilizator se poate deconecta de la aplicație, care utilizează protocolul unic de deconectare SAML pentru a încheia sesiunea și pentru a confirma deconectarea cu IdP-ul dvs. Asigurați-vă că IdP-ul dvs. este configurat pentru SingleLogout.

Integrați Control Hub cu aplicațiile Google


 

Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate precum urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vor funcționa pentru integrarea SSO, dar nu intră în domeniul de aplicare al documentației noastre.

Configurați această integrare pentru utilizatorii din organizația dvs. Webex (inclusiv aplicația Webex , Webex Meetings și alte servicii administrate în Control Hub). Dacă site- Site Webex este integrat în Control Hub, Site Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest mod și nu este gestionat în Control Hub, trebuie să efectuați o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Single Sign-On pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:

Descărcați metadatele Webex în sistemul dvs. local

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , apoi derulați la Autentificare , apoi comutați pe Conectare unică pentru a porni expertul de configurare.

2

Alegeți tipul de certificat pentru organizația dvs.:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

 

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Descărcați fișierul cu metadate.

Numele fișierului cu metadate Webex este idb-meta-<org-ID> -SP.xml .

Configurați o aplicație personalizată în Google Admin

1

Conectați-vă la consola de administratori Google Apps ( https://admin.google.com) utilizând un cont cu permisiuni administrative, apoi faceți clic pe Aplicații > Aplicații web și mobile.

2

Din lista derulantă Adăugare aplicație , faceți clic pe Adăugare aplicație SAML personalizată.

3

Pe pagina Informații Idp Google din secțiunea Opțiune 1 , faceți clic pe DESCĂRCARE METADATA și salvați fișierul într-o locație ușor de găsit pe sistemul dvs. local.

Fișierul de metadate Google este descărcat. Formatul numelui de fișier este GoogleIDPMetadata-<domain name>.xml.

4

Faceți clic pe URMĂTOR.

5

Pe pagina Informații de bază pentru aplicația personalizată, introduceți numele aplicației Webex App și faceți clic pe URMĂTOR.

6

Pentru a completa pagina Detalii Furnizor de servicii , într-un editor de text deschideți fișierul de metadate Webex pe care l-ați descărcat mai devreme.

  1. Căutați fișierul cu metadate Webex pentru AssertionConsumerService și copiați URL-ul care urmează cuvântul cheie locație și inserați-l în câmpul URL ACS de pe pagina Detalii furnizor de servicii.

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp

  2. Căutați fișierul cu metadate Webex pentru entityID și copiați URL-ul care urmează în câmpul Entity ID de pe pagina Detalii furnizor de servicii.

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c

  3. ID-ul de nume trebuie setat la informațiile de bază și e-mailul principal

  4. Formatul ID-ului de nume trebuie setat la NESPECIFICAT

  5. Nu sunt necesare mapări ale atributelor, așa că pe pagina de mapare a atributelor , faceți clic pe FINISH

După crearea aplicației Webex SAML, trebuie să o activați pentru utilizatori.

7

Faceți clic pe punctele verticale din partea dreaptă a aplicației Webex SAML și alegeți una:

  • Pe pentru toată lumea
  • Pornit pentru unele organizații (și apoi alegeți organizațiile)

Importați metadatele IdP și activați conectare singură după un test

După ce exportați metadatele Webex , configurați IdP și descărcați metadatele IdP în sistemul dvs. local, sunteți gata să le importați în organizația Webex din Control Hub.

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm numai fluxurile inițiate de furnizorul de servicii (inițiate de SP), așa că trebuie să utilizați testul SSO Control Hub pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina de selecție a certificatului Control Hub din browserul dvs., apoi faceți clic În continuare .
  • Dacă Control Hub nu mai este deschis în fila browserului, din clientul vizualizați înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Import metadate .
2

Pe pagina Import metadate furnizor de identități , fie glisați și plasați fișierul cu metadate IdP pe pagină, fie utilizați opțiunea browser fișier pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Înainte.

Ar trebui să utilizați Mai sigur opțiune, dacă puteți. Acest lucru este posibil numai dacă IdP a utilizat un CA public pentru a-și semna metadatele.

În toate celelalte cazuri, trebuie să utilizați Mai puțin sigure opțiune. Aceasta include dacă metadatele nu sunt semnate, autosemnate sau semnate de un CA privat.


 

Okta nu semnează metadatele, așa că trebuie să alegeți Mai puțin sigure pentru o integrare Okta SSO .

3

Selectați Testați configurarea SSO , iar când se deschide o nouă filă de browser, autentificați-vă la IdP prin conectare.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu datele de autentificare. Verificați numele de utilizator și parola și încercați din nou.

O eroare în aplicația Webex înseamnă de obicei o problemă cu configurarea SSO . În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurația IdP.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest pas oprește rezultatele fals pozitive din cauza unui token de acces care s-ar putea afla într-o sesiune existentă din momentul în care sunteți conectat.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a reușit, selectați Test reușit. Activați SSO și faceți clic În continuare .
  • Dacă testul nu a reușit, selectați Test nereușit. Dezactivați SSO și faceți clic În continuare .

 

Configurația SSO nu are efect în organizația dvs. decât dacă alegeți primul buton de radio și activați SSO.

Ce este de făcut în continuare

Utilizați procedurile din Sincronizați utilizatorii Okta în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Okta în cloud-ul Webex .

Utilizați procedurile din Sincronizați utilizatorii Azure Active Directory în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Azure AD în Webex .

Puteți urma procedura în Eliminați e-mailurile automate pentru a dezactiva e-mailurile care sunt trimise către noii utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.