Sign-on unic și Control Hub

Sign-on unic (SSO) este o sesiune sau un proces de autentificare a utilizatorului care permite unui utilizator să furnizeze acreditări pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile cărora li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută aplicațiile în timpul unei anumite sesiuni.

Protocolul de federalizare a limbajului de aserțiune de securitate (SAML 2.0) este utilizat pentru a furniza autentificarea SSO între cloud-ul Webex și furnizorul de identitate (IdP).

Profiluri

Webex App acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, Webex App acceptă următoarele legături:

  • SP a inițiat legarea POST-> POST

  • SP a inițiat redirect-> post obligatoriu

Format NameID

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Webex App acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.

Integrarea Control Hub cu Microsoft Azure


Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna nameid-format:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress will work for SSO integration but are outside the scope of our documentation.

Configurați această integrare pentru utilizatorii din organizația webex (inclusiv WebexApp, Webex Meetingsși alte servicii administrate în Control Hub). Dacă site-ul Webex este integrat în Control Hub, site-ul Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest fel și nu este gestionat în Control Hub , trebuie să faceți o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Sign-On unic pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și ControlHub, IPP-urile trebuie să fie conforme cu specificațiile SAML 2.0. În plus, IPP-urile trebuie configurate în felul următor:


În Azure Active Directory, asigurarea accesului este acceptată numai în modul manual. Acest document se referă numai la integrarea conectării unice (SSO).

Descărcați metadatele Webex în sistemul local

1

Din vizualizarea client în https://admin.webex.com, accesați Gestionare > Setări organizație , apoidefilați la Autentificare , apoi comutați pe setarea Sign-on unic pentru a porni expertul de configurare.

2

Alegeți tipul de certificat pentru organizația dvs.:

  • Auto-semnat de Cisco- Vă recomandăm această alegere. Permiteți-ne să semnăm certificatul, astfel încât trebuie doar să îl reînnoiți o dată la cinci ani.
  • Semnat de o autoritate de certificare publică– Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul IdP acceptă ancore de încredere).

 

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Descărcați fișierul de metadate.

Numele fișierului de metadate Webex este idb-meta-<org-ID>-SP.xml.

Configurarea setărilor aplicației SSO în Azure

Înainte de a începe

1

Conectați-vă la portalul Azure la https://portal.azure.com acreditările de administrator.

2

Accesați Azure Active Directory pentru organizația dvs.

3

Accesați Aplicații enterprise, apoi faceți clic pe Adăugare.

4

Faceți clic pe Adăugare aplicație din galerie.

5

În caseta de căutare, tastați Cisco Webex.

6

În panoul de rezultate, selectați Cisco Webex, apoi faceți clic pe Adăugare pentru a adăuga aplicația.

Apare un mesaj care spune că aplicația a fost adăugată cu succes.

7

Pentru a vă asigura că aplicația Webex pe care ați adăugat-o pentru sign-on unic nu apare în portalul pentru utilizatori, deschideți noua aplicație, accesați Proprietățiși setați Vizibil pentru utilizatori? la Nu.

8

Configurați Single-Sign On:

  1. După ce creați acordul de aplicație, accesați fila Sign-on unică, apoi, sub Selectați o metodă cu un singursemn, alegeți SAML.

  2. Pe pagina Configurare sign-on unic cu SAML, faceți clic pe Pictograma Editare pentru a deschide Configurare SAML de bază.

  3. Faceți clic pe Încărcare fișier metadate, apoi alegeți fișierul de metadate pe care l-ați descărcat din Control Hub.

    Unele câmpuri sunt completate automat pentru dvs.

  4. Copiați valoarea Răspuns URL și lipiți-o în Conectare la ADRESA URL , apoi salvațimodificările.

9

Accesați Gestionare > utilizatori și grupuri, apoi alegeți utilizatorii și grupurile aplicabile cărora doriți să le acordați acces la Webex App.

10

Pe pagina Configurare sign-on unic cu SAML, în secțiunea Certificat de semnare SAML, faceți clic pe Descărcare pentru a descărca XML-ul metadatelor federației și a-l salva pe computer.

11

Pe pagina Proprietăți, asigurați-vă că Vizibil pentru utilizatori? este setat la Nu .

Nu acceptăm ca aplicația Webex să fie vizibilă pentru utilizatori.

Importul metadatelor IdP și activarea conectării unice după un test

După ce exportați metadatele Webex, configurați IdP-ul și descărcați metadatele IdP în sistemul local, sunteți gata să le importați în organizația Webex din Control Hub .

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm doar fluxurile inițiate de furnizorul de servicii (inițiate de SP), deci trebuie să utilizați testul Control Hub SSO pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina Control Hub – de selectare a certificatelor din browser, apoi faceți clic pe Următorul.
  • Dacă Control Hub nu mai este deschis în fila browserului, din vizualizarea client din https://admin.webex.com, accesați Gestionare > Setări organizație , defilați la Autentificare , apoi alegeți Acțiuni > Import metadate.
2

Pe pagina Import metadate IdP, fie trageți și fixați fișierul de metadate IdP în pagină, fie utilizați opțiunea browserului de fișiere pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Următorul.

Ar trebui să utilizați opțiunea Mai sigur, dacă puteți. Acest lucru este posibil numai dacă IdP-ul a utilizat un CA public pentru a-și semna metadatele.

În toate celelalte cazuri, trebuie să utilizați opțiunea Mai puțin sigură. Aceasta include dacă metadatele nu sunt semnate, auto-semnate sau semnate de un CA privat.

3

Selectați Testați configurarea SSOși, atunci când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex App înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiere URL în clipboard din acest ecran și să îl lipiți într-o fereastră de browser privată. De acolo, puteți merge prin conectarea cu SSO. Acest pas oprește rezultatele fals pozitive din cauza unui simbol de acces care ar putea fi într-o sesiune existentă de la a fi conectat.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a avut succes, selectați Test de succes. Activați SSO și faceți clic pe Următorul .
  • Dacă testul nu a reușit, selectați Test nereușit. Dezactivați SSO și faceți clic pe Următorul .

 

Configurația SSO nu produce efecte în organizația dvs., cu excepția cazului în care alegeți primul buton radio și activați SSO.

Ce trebuie să faceți în continuare

Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori Webex App din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.

Depanarea integrării Azure

Când faceți testul SAML, asigurați-vă că utilizați Mozilla Firefox și instalați trasorul SAML de la https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Verificați afirmația care provine de la Azure pentru a vă asigura că are formatul nameid corect și are un atribut uid care se potrivește cu un utilizator în Webex App.