Conectare unică și Control Hub

Autentificarea unică (SSO) este un proces de autentificare a sesiunii sau a utilizatorului care îi permite unui utilizator să furnizeze date de autentificare pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile pentru care li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută între aplicații în timpul unei anumite sesiuni.

Protocolul de federație pentru Security Assertion Markup Language (SAML 2.0) este utilizat pentru a furniza autentificare SSO între cloud-ul Webex și furnizorul dvs. de identitate (IdP).

Profiluri

Aplicația Webex acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, aplicația Webex acceptă următoarele conexiuni:

  • SP a inițiat legarea POST -> POST

  • SP a inițiat legarea REDIRECT -> POST

Format NameID

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Aplicația Webex acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.

SingleLogout

Aplicația Webex acceptă profilul de deconectare unic. În Aplicația Webex, un utilizator se poate deconecta de la aplicație, care utilizează protocolul unic de deconectare SAML pentru a încheia sesiunea și pentru a confirma deconectarea cu IdP-ul dvs. Asigurați-vă că IdP-ul dvs. este configurat pentru SingleLogout.

Integrați Control Hub cu F5 Big-IP


 

Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate precum urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vor funcționa pentru integrarea SSO, dar nu intră în domeniul de aplicare al documentației noastre.

Configurați această integrare pentru utilizatorii din organizația dvs. Webex (inclusiv aplicația Webex , Webex Meetings și alte servicii administrate în Control Hub). Dacă site- Site Webex este integrat în Control Hub, Site Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest mod și nu este gestionat în Control Hub, trebuie să efectuați o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Single Sign-On pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:

Descărcați metadatele Webex în sistemul dvs. local

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , apoi derulați la Autentificare , apoi comutați pe Conectare unică pentru a porni expertul de configurare.

2

Alegeți tipul de certificat pentru organizația dvs.:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

 

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Descărcați fișierul cu metadate.

Numele fișierului cu metadate Webex este idb-meta-<org-ID> -SP.xml .

Configurați furnizorul extern de servicii și furnizorul de identitate

1

Din interfața de administrare BIG-IP F5, accesați Politica de acces > SAML > BIG-IP ca IdP.

2

Din conectorii SP externi, selectați Creare > Din metadate.

3

Introduceți un nume semnificativ pentru numele furnizorului de servicii, cum ar fi <yourorganizationname>.ciscowebex.com.

4

În secțiunea Setări de securitate, bifați următoarele casete de selectare:

  • Răspunsul trebuie semnat
  • Afirmația trebuie semnată
5

Reveniți la Politica de acces > SAML > BIG-IP ca IdPși apoi creați un nou serviciu furnizor de identitate (IdP).

6

Introduceți un nume semnificativ pentru numele serviciului IdP, cum ar fi CI.

7

Pentru ID-ul entității IdP, utilizați FQDN al serverului Big-IP cu ceva în față – de exemplu, https://bigip0a.uc8sevtlab13.com/CI.

8

În Setările de afirmaţie, selectaţi Identificatorul tranzitoriu pentru tipul de subiect de afirmaţie.

9

Pentru valoarea subiectului de afirmaţie, returnaţi valoarea e-mailului utilizatorului %{session.ad.last.attr.mail}.

10

Returnați atributele prin e-mail și uid cu valoarea %{session.ad.last.attr.mail}.

11

În secțiunea Setări de securitate, alegeți un certificat pentru a semna afirmația.

12

Salvați modificările și apoi conectați furnizorul de servicii și furnizorul de identitate pe care l-ați creat.

Descărcați metadatele F5 Big-IP

1

Selectați Exportul serviciului IDP.

2

Asigurați-vă că valoarea metadatelor de conectare este Da.

3

Descărcați fișierul cu metadate pe desktop sau într-o locație ușor de găsit.

Adăugați o politică de acces

1

Accesați Politica de acces > Profile de acces > SAML și creați o resursă SAML pentru IdP-ul pe care l-ați creat.

2

Accesați profilul de acces și editați politica de acces pe care o utilizați pentru WebEx Messenger CAS.

3

Adăugați un element nou în fila Conectare cu numele Paginii Conectare și lăsați valorile implicite.

4

Adăugați un element nou în fila Autentificare cu numele AD Auth și specificați Active Directory ca server.

5

Pe sucursala de succes, adăugați AD Query din fila Autentificare

6

Du-te la Regulile filialei și a schimbat-o la AD Query este trecut.

7

Pe sucursala de succes a AD Query, adăugați Advanced Resource Assign din fila Assignment .

8

Faceți clic pe Adăugare/Ștergere și adăugați două resurse SAML cu toate resursele SAML și Webtop pe care le-ați creat.

9

Pentru a selecta Finalizare, selectați Permite.

Politica de acces ar trebui să arate ca această captură de ecran:

Asocierea profilului de acces cu serverul virtual

Trebuie să asociați profilul de acces cu serverul virtual pe care l-ați creat.

1

Accesați Trafic local > Servere virtuale.

2

Deschideți profilurile de acces pentru a confirma că niciun server virtual nu este asociat cu profilul.

3

Selectați Alocarea resurselor avansate.

4

Selectați Adăugare/ștergere pentru a adăuga noua resursă SAML.

5

Închideți ferestrele de proiectare ale Politicii de acces și aplicați noua politică de acces.

Importați metadatele IdP și activați conectare singură după un test

După ce exportați metadatele Webex , configurați IdP și descărcați metadatele IdP în sistemul dvs. local, sunteți gata să le importați în organizația Webex din Control Hub.

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm numai fluxurile inițiate de furnizorul de servicii (inițiate de SP), așa că trebuie să utilizați testul SSO Control Hub pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina de selecție a certificatului Control Hub din browserul dvs., apoi faceți clic În continuare .
  • Dacă Control Hub nu mai este deschis în fila browserului, din clientul vizualizați înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Import metadate .
2

Pe pagina Import metadate furnizor de identități , fie glisați și plasați fișierul cu metadate IdP pe pagină, fie utilizați opțiunea browser fișier pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Înainte.

Ar trebui să utilizați Mai sigur opțiune, dacă puteți. Acest lucru este posibil numai dacă IdP a utilizat un CA public pentru a-și semna metadatele.

În toate celelalte cazuri, trebuie să utilizați Mai puțin sigure opțiune. Aceasta include dacă metadatele nu sunt semnate, autosemnate sau semnate de un CA privat.


 

Okta nu semnează metadatele, așa că trebuie să alegeți Mai puțin sigure pentru o integrare Okta SSO .

3

Selectați Testați configurarea SSO , iar când se deschide o nouă filă de browser, autentificați-vă la IdP prin conectare.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu datele de autentificare. Verificați numele de utilizator și parola și încercați din nou.

O eroare în aplicația Webex înseamnă de obicei o problemă cu configurarea SSO . În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurația IdP.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest pas oprește rezultatele fals pozitive din cauza unui token de acces care s-ar putea afla într-o sesiune existentă din momentul în care sunteți conectat.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a reușit, selectați Test reușit. Activați SSO și faceți clic În continuare .
  • Dacă testul nu a reușit, selectați Test nereușit. Dezactivați SSO și faceți clic În continuare .

 

Configurația SSO nu are efect în organizația dvs. decât dacă alegeți primul buton de radio și activați SSO.

Ce este de făcut în continuare

Utilizați procedurile din Sincronizați utilizatorii Okta în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Okta în cloud-ul Webex .

Utilizați procedurile din Sincronizați utilizatorii Azure Active Directory în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Azure AD în Webex .

Puteți urma procedura în Eliminați e-mailurile automate pentru a dezactiva e-mailurile care sunt trimise către noii utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.