Sign-On unic și Hub de control Cisco Webex

Sign-on unic (SSO) este o sesiune sau un proces de autentificare a utilizatorului care permite unui utilizator să furnizeze acreditări pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile cărora li se acordă drepturi. Elimină solicitările ulterioare atunci când utilizatorii comută aplicațiile în timpul unei anumite sesiuni.

Protocolul de federație security assertion markup language (SAML 2.0) este utilizat pentru a furniza autentificare SSO între cloud-ul Cisco Webex și furnizorul de identitate (IdP).

Profiluri

Cisco Webex acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, Cisco Webex acceptă următoarele legături:

  • SP a inițiat legarea POST-> POST

  • SP inițiat REDIRECT-> POST obligatorii

NameID Format

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Cisco Webex acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IDP, prima intrare este configurată pentru utilizare în Cisco Webex.

Integrarea Cisco Webex Control Hub cu Microsoft Azure


Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna în format nameid:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified sau urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress va lucra pentru integrarea SSO, dar sunt în afara domeniului de aplicare al documentației noastre.

Configurați această integrare pentru utilizatorii din organizația Cisco Webex (inclusiv Cisco Webex, Cisco Webex Meetings și alte servicii administrateîn Cisco Webex Control Hub). Dacă site-ul Webex este integrat în Cisco Webex Control Hub ,site-ul Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Întâlniri Cisco Webex în acest fel și nu este gestionat în Cisco Webex Control Hub, trebuie să faceți o integrare separată pentru a activa SSO pentru Întâlniri Cisco Webex. (A se vedea Configurați Sign-On unic pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

Pentru SSO și Cisco Webex Control Hub, IDP-urile trebuie să fie conforme cu specificația SAML 2.0. În plus, PSI trebuie configurate în felul următor:


În Azure Active Directory, asigurarea accesului este acceptată numai în modul manual. Acest document se referă numai la integrarea sign-on unic (SSO).

Descărcați metadatele Cisco Webex în sistemul local

1

Din vizualizarea client din https://admin.webex.com, mergeți la Setări , apoidefilați la Autentificare .

2

Faceți clic pe Modificare , faceți clic pe Integrare furnizor de identitateterț. (Complex), apoi faceți clic pe Următorul.

3

Descărcați fișierul de metadate.

Numele fișierului de metadate Cisco Webex este idb-meta-<org-ID>-SP.xml.

Configurarea setărilor aplicației cu un singur semn în Azure

Înainte de a începe

  • Consultați Ce este Azure Active Directory pentru a de nedeconta capacitățile IDP în Azure Active Directory.

  • Configurați Azure Active Directory.

  • Creați utilizatori locali sau sincronizați cu un sistem de directoare active local.

  • Deschideți fișierul de metadate Cisco Webex pe care l-ați descărcat din Cisco Webex Control Hub.

  • Există un tutorial corelat pe site-ul de documentație Microsoft.

1

Conectați-vă la portalul Azure https://portal.azure.com cu acreditările de administrator.

2

Accesați Azure Active Directory pentru organizația dvs.

3

Accesați Aplicații întreprindere, apoi faceți clic pe Adăugare.

4

Faceți clic pe Adăugare aplicație din galerie.

5

În caseta de căutare, tastați Cisco Webex.

6

În panoul de rezultate, selectați Cisco Webex, apoi faceți clic pe Adăugare pentru a adăuga aplicația.

Apare un mesaj care spune că aplicația a fost adăugată cu succes.

7

Configurare conectare cu un singur semn:

  1. După ce creați acordul de aplicație, mergeți la fila Sign-on unic, apoi, sub Selectare metodă de conectare cu un singur semn , selectațiSAML.

  2. Pe pagina Configurare sign-on unic cu SAML, faceți clic pe Pictograma Editare pentru a deschide Configurare SAML de bază.

  3. Faceți clic pe Încărcare fișier metadate, apoi alegeți fișierul de metadate pe care l-ați descărcat din Cisco Webex Control Hub.

    Unele câmpuri sunt completate automat pentru dvs.

  4. Copiați valoarea URL răspuns și lipiți-o în URL-ulConectare, apoi salvați modificările.

8

Accesați Gestionare > utilizatori și grupuri, apoi alegeți utilizatorii și grupurile aplicabile cărora doriți să le acordați acces la Cisco Webex.

9

Pe pagina Configurare sign-on unic cu SAML, în secțiunea Certificat de semnareSAML, faceți clic pe Descărcare pentru a descărcaXML-ul metadatelor Federației și a-l salva pe computer.

10

Pe pagina Proprietăți, asigurați-vă că vizibil pentru utilizatori? este setat la Nu .

Nu acceptăm să facem aplicația Webex vizibilă pentru utilizatori.

Importul metadatelor IDP și activarea sign-on-ului unic după un test

După ce exportați metadatele Cisco Webex, configurați IDP-ul și descărcați metadatele IDP în sistemul local, sunteți gata să le importați în organizația Cisco Webex din Control Hub.

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm numai fluxuri inițiate de furnizorul de servicii (inițiate de SP), deci trebuie să utilizați testul SSO Control Hub pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina Cisco Webex Control Hub – Export directory Metadata din browser, apoi faceți clic pe Următorul.
  • Dacă Control Hub nu mai este deschis în fila browserului, din vizualizarea client din https://admin.webex.com, accesați Setări ,defilați la Autentificare , alegeți Integrare furnizor de identitate terț (Complex),apoi faceți clic pe Următorul pe pagina de fișiere de metadate de încredere (pentru că ați făcut-o deja înainte).
2

Pe pagina Import metadate IDP, glisați și fixați fișierul de metadate IDP pe pagină sau utilizați opțiunea browserului de fișiere pentru a localiza și încărca fișierul de metadate. Faceți clic pe Următorul.

Ar trebui să utilizați opțiunea mai sigură dacă puteți (Necesită certificat semnat de o autoritate de certificare în Metadate). Acest lucru este posibil numai dacă IDP-ul a utilizat un CA public pentru a-i semna metadatele.

În toate celelalte cazuri, trebuie să utilizați opțiunea mai puțin sigură (Permiteți certificatul auto-semnat în Metadate). Aceasta include dacă metadatele nu sunt semnate, autosemnate sau semnate de un CA privat.

3

Selectați Test SSO Connectionși, atunci când se deschide o nouă filă de browser, autentificați-vă cu IdP conectându-vă.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex înseamnă de obicei o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Hubului de control în configurarea IDP.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a avut succes, selectați Acest test a reușit. Activați opțiunea Conectare unică și faceți clic pe Următorul.
  • Dacă testul nu a reușit, selectați Acest test nu a reușit. Dezactivați opțiunea Sign-On unic și faceți clic pe Următorul.

Ce trebuie să faceți în continuare

Puteți urma procedura din Suprimare e-mailuri automate pentru a dezactiva e-mailurile trimise noilor utilizatori Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea comunicațiilor către utilizatorii din organizația dvs.

Depanarea integrării Azure Active Directory

Când faceți testul SAML, asigurați-vă că utilizați Mozilla Firefox și instalați marcatorul SAML din https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Verificați afirmația care vine de la Azure pentru a vă asigura că are formatul nameid corect și are un atribut uid care se potrivește cu un utilizator în Cisco Webex.