Conectare unică și Control Hub

Autentificarea unică (SSO) este un proces de autentificare a sesiunii sau a utilizatorului care îi permite unui utilizator să furnizeze date de autentificare pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile pentru care li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută între aplicații în timpul unei anumite sesiuni.

Protocolul de federație pentru Security Assertion Markup Language (SAML 2.0) este utilizat pentru a furniza autentificare SSO între cloud-ul Webex și furnizorul dvs. de identitate (IdP).

Profiluri

Aplicația Webex acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, aplicația Webex acceptă următoarele conexiuni:

  • SP a inițiat legarea POST -> POST

  • SP a inițiat legarea REDIRECT -> POST

Format NameID

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Aplicația Webex acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.

SingleLogout

Aplicația Webex acceptă profilul de deconectare unic. În Aplicația Webex, un utilizator se poate deconecta de la aplicație, care utilizează protocolul unic de deconectare SAML pentru a încheia sesiunea și pentru a confirma deconectarea cu IdP-ul dvs. Asigurați-vă că IdP-ul dvs. este configurat pentru SingleLogout.

Integrați Control Hub cu PingFederate


 

Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate precum urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vor funcționa pentru integrarea SSO, dar nu intră în domeniul de aplicare al documentației noastre.

Configurați această integrare pentru utilizatorii din organizația dvs. Webex (inclusiv aplicația Webex , Webex Meetings și alte servicii administrate în Control Hub). Dacă site- Site Webex este integrat în Control Hub, Site Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest mod și nu este gestionat în Control Hub, trebuie să efectuați o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Single Sign-On pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:

Descărcați metadatele Webex în sistemul dvs. local

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , apoi derulați la Autentificare , apoi comutați pe Conectare unică pentru a porni expertul de configurare.

2

Alegeți tipul de certificat pentru organizația dvs.:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

 

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Descărcați fișierul cu metadate.

Numele fișierului cu metadate Webex este idb-meta-<org-ID> -SP.xml .

Configurați o nouă conexiune a furnizorului de servicii

1

Accesați portalul dvs. de administrare PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

În cadrul CONECȚIILOR SP, selectați Creare nouă.

3

Selectați Nu utilizați un șablon pentru acest buton radio de conexiune , apoi selectați Înainte.

4

Selectați profilurile SSO ale browserului, apoi faceți clic pe Înainte.

5

Selectați fila Metadate de import.

6

Faceți clic pe Alegeți fișierul pentru a naviga și importa fișierul de metadate pe care l-ați descărcat din Control Hub, apoi faceți clic pe Înainte.

7

Revizuiți informațiile din fila Informații generale, apoi faceți clic pe Efectuare.

Configurați browserul cu o singură conectare

1

Din portalul de administrare PingFederate, selectați Configurare browser SSO.

2

Bifați caseta de selectare SSO inițiată de SP , apoi faceți clic pe Înainte.

3

Selectați Configurarea creației de afirmare.

  1. Schimbați formatul NameID la Tranzient și bifați Include atribute în plus față de caseta de selectare a identificatorului tranzitoriu.

  2. Extindeți atributele contractului prin adăugarea atributelor de e-mail și uid în format urn:oasis:names:tc:SAML:2.0:attrname-format-basic, apoi faceți clic pe Înainte.

  3. Selectați Hartă instanță adaptor nou pentru a alege un mecanism de autentificare. Din lista derulantă INSTANCE ADAPTER, selectați unul dintre mecanismele de autentificare configurate anterior, apoi faceți clic pe Înainte.

  4. Selectați Recuperare atribute suplimentare din mai multe stocuri de date utilizând un buton radio de mapare , apoi faceți clic pe Înainte.

  5. Selectați Adăugare sursă atribuire pentru a adăuga controlerul de domenii Active Directory pentru domeniu, apoi faceți clic pe Înainte.

  6. Specificați DN de bază și selectați clasa obiectelor rădăcină <Show All="" Attributes="">. În caseta de text Filtru, introduceţi filtrul LDAP, apoi faceţi clic pe Înainte.

    Intrarea trebuie să conțină atributul pe care vă așteptați ca utilizatorul să îl furnizeze. De asemenea, trebuie să conțină valoarea pe care o mapează în sursele LDAP. De exemplu, dacă directorul activ este setat pentru a filtra pe atributul de conectare Windows, introduceți sAMAccountName=${Username}.

  7. Selectați sursa și valoarea pentru a mapa atributele de afirmație cu atributele furnizate de datastorul AD. (Nu introduceți nimic pentru Criteriile de Emitere.)

  8. Verificați dacă configurația afirmației are maparea identității setată la contractul tranzitoriu, atribuirea setată la uid și instanțele de adaptare setate la 1.


     

    Atributul uid trebuie să fie mapat la adresa de e-mail a utilizatorului.

4

Selectați Configurare setări protocol.

  1. Pentru conexiunile SAML permise, bifați numai căsuțele de verificare POST și Redirecționare .

  2. Pentru Politica de semnătură, selectați Semnează întotdeauna Declarația SAML.

    Setările protocolului ar trebui să arate următoarele.

  3. Selectați Configurare acreditări pentru a configura certificatul pentru afirmație.

  4. Selectați certificatul care a fost deja creat pentru afirmațiile SAML.

5

Pe ecranul Activare și rezumat, setați Starea Conexiunii la Activ.

Exportați metadate din PingFederate

1

Pe ecranul Principal, faceți clic pe Gestionați toate SP.

2

Găsiți conexiunea pe care tocmai ați creat-o și faceți clic pe Export Metadate.

3

Alegeți certificatul de utilizat pentru semnarea fișierului exportat din lista derulantă.

4

Faceți clic Export .

Importați metadatele IdP și activați conectare singură după un test

După ce exportați metadatele Webex , configurați IdP și descărcați metadatele IdP în sistemul dvs. local, sunteți gata să le importați în organizația Webex din Control Hub.

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm numai fluxurile inițiate de furnizorul de servicii (inițiate de SP), așa că trebuie să utilizați testul SSO Control Hub pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina de selecție a certificatului Control Hub din browserul dvs., apoi faceți clic În continuare .
  • Dacă Control Hub nu mai este deschis în fila browserului, din clientul vizualizați înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Import metadate .
2

Pe pagina Import metadate furnizor de identități , fie glisați și plasați fișierul cu metadate IdP pe pagină, fie utilizați opțiunea browser fișier pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Înainte.

Ar trebui să utilizați Mai sigur opțiune, dacă puteți. Acest lucru este posibil numai dacă IdP a utilizat un CA public pentru a-și semna metadatele.

În toate celelalte cazuri, trebuie să utilizați Mai puțin sigure opțiune. Aceasta include dacă metadatele nu sunt semnate, autosemnate sau semnate de un CA privat.


 

Okta nu semnează metadatele, așa că trebuie să alegeți Mai puțin sigure pentru o integrare Okta SSO .

3

Selectați Testați configurarea SSO , iar când se deschide o nouă filă de browser, autentificați-vă la IdP prin conectare.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu datele de autentificare. Verificați numele de utilizator și parola și încercați din nou.

O eroare în aplicația Webex înseamnă de obicei o problemă cu configurarea SSO . În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurația IdP.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest pas oprește rezultatele fals pozitive din cauza unui token de acces care s-ar putea afla într-o sesiune existentă din momentul în care sunteți conectat.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a reușit, selectați Test reușit. Activați SSO și faceți clic În continuare .
  • Dacă testul nu a reușit, selectați Test nereușit. Dezactivați SSO și faceți clic În continuare .

 

Configurația SSO nu are efect în organizația dvs. decât dacă alegeți primul buton de radio și activați SSO.

Ce este de făcut în continuare

Utilizați procedurile din Sincronizați utilizatorii Okta în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Okta în cloud-ul Webex .

Utilizați procedurile din Sincronizați utilizatorii Azure Active Directory în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Azure AD în Webex .

Puteți urma procedura în Eliminați e-mailurile automate pentru a dezactiva e-mailurile care sunt trimise către noii utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.