Система единого входа

В SSO Webex используется один уникальный идентификатор, который дает людям вашей организации доступ ко всем корпоративным приложениям. Администраторы могут использовать службу администрирования Webex для SSO для приложений Webex.

Система единого входа является дополнительной функцией, которая должна быть предусмотрена для вашего веб-сайта. За дополнительной информацией обратитесь в службу поддержки Cisco.

Настройка системы единого входа

Для настройки системы единого входа и SAML 2.0 следуйте приведенной ниже процедуре.

Прежде чем начать

Обеспечьте получение и установку следующих требований.

  • Стандарт SAML 2.0 или WS Federate 1.0, совместимые с поставщик удостоверений (IdP), например CA SiteMinder, ADFS и Ping Identity.

    SAML 1.1 и WS Federate 1.0 больше не поддерживаются и не поддерживаются Cisco Webex.

  • Корпоративный сертификат открытого ключа X.509, выданный доверенным центром сертификации, таким как VeriSign или Thawte.

  • IdP, настроенный для предоставления утверждений SAML с информацией учетная запись пользователя и IDs системы SAML.

  • XML-файл поставщика удостоверений.

  • URL для корпоративной службы IAM.

1

Войдите в службу администрирования Webex и перейдите к > Общие настройки веб-сайта > SSO конфигурации.

2

В раскрывающемся списке Протокол федерации выберите SAML 2.0.

При наличии какой-либо существующей конфигурации некоторые поля могут быть уже заполнены.

3

Щелкните ссылку Управление сертификатами веб-сайта.

4

В окне Управление сертификатами веб-сайта выберите Найти, затем перейдите в местоположение CER-файла сертификата X.509.

5

Выберите CER-файл и нажмите ОК.

6

Нажмите Закрыть.

7

Введите необходимую информацию на странице Конфигурация системы единого входа и выберите параметр, который требуется включить.

8

Нажмите Обновить.

Страница настройки системы единого входа

В приведенной далее таблице перечислены и описаны поля и параметры страницы Настройка системы единого входа.

Во время настройки необходимо использовать точную информацию. Если вам требуются дополнительные разъяснения относительно информации, необходимой для настройки системы единого входа для вашего веб-сайта, обратитесь к своему поставщику удостоверений.

Таблица 1. Поля и параметры страницы настройки системы единого входа

Поле или параметр

Описание

AuthnContextClassRef

Оператор SAML, описывающий процесс аутентификации в IdP. Должен совпадать с конфигурацией IAM. Примеры ADFS: Пример urn:federation:authentication:windows или urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping : urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

при использовании более одного значения AuthnContextClassRef разделяйте их ";". Например: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.

Автоматическое создание учетных записей (Необязательно)

Выберите, чтобы создать учетную запись пользователя. В полях "UID", "Адрес электронной почты", "Имя" и "Фамилия" должно быть утверждение.

Автоматическое обновление учетных записей (Необязательно)

Учетные записи Webex можно обновлять с присутствием атрибута updateTimeStamp в t При внесении изменений в IdP на веб-сайт веб-сайт Webex отправляется новая информация о времени с любым атрибутом, отправленным в утверждении SAML.

URL ошибки системы единого входа клиента (Необязательно)

В случае ошибки перенаправляет на этот URL, добавив к URL код ошибки.

URL входа в систему единого входа клиента

URL-адрес для служб с системой единого входа вашего предприятия. Пользователи обычно входят в систему, используя этот URL-адрес. Размещено в XML-файле поставщика удостоверений (пример: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL целевой страницы Webex по умолчанию (Необязательно)

После выполнения аутентификации отображает целевую страницу, назначенную только для веб-приложения.

Импорт метаданных SAML (ссылка)

Щелкните, чтобы открыть диалоговое окно Настройка системы единого входа веб-федерации – метаданные SAML. Импортированные поля метаданных включают приведенную ниже информацию.

  • Назначение AuthnRequestSigned

  • Издатель сертификата SAML (идентификатор IdP)

  • URL входа в систему единого входа клиента

Издатель сертификата SAML (идентификатор IdP)

URI однозначно определяет IdP. Конфигурация должна совпадать с параметрами настройки, указанными в IAM клиента. Расположение в XML-файле IdP (например, entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Формат NameID

Должен совпадать с конфигурацией IdP с поддержкой следующих форматов:

  • Не указано

  • Адрес электронной почты

  • Имя объекта X509

  • Идентификатор объекта

  • Постоянный идентификатор

Удалить UID суффикса домена для UPN в Active Directory

Если выбран этот параметр, домен Active Directory будет удален из имени участника-пользователя (UPN).

Профиль системы единого входа

Укажите, как пользователи будут получать доступ к веб-сайт Webex. Выберите Инициированный SP, если пользователи начинают на веб-сайте совещаний Webex и перенаправляются на корпоративную систему IdP для аутентификации. Выберите Инициированный IdP, если пользователи веб-сайт Webex доступ к сети через корпоративную систему IAM.

Аутентификация SSO для посетителей

Эта функция обеспечивает дополнительные уровни отчетности для аутентификации пользователей на уровне утверждения SAML для внутренних посетителей, использующих Webex Meetings, Webex Training и Webex Events. Если эта функция включена, она заменяет функцию Webex Meetings «Отображать внутренний тег пользователя в списке участников».

Алгоритм подписи для AuthnRequest

В целях усовершенствования безопасности теперь можно создавать сертификаты, подписанные SHA-1, SHA-256 или SHA-512.

Единый выход (Необязательно)

Установите флажок для выхода и установки URL выхода.

Единый выход, инициированный поставщиком удостоверений, не поддерживается.

Издатель утверждения SAML Webex (идентификатор SP)

URI определяет службу Webex Messenger как SP. Конфигурация должна совпадать с параметрами настройки, указанными в системе управления идентификацией и доступом клиента. Рекомендуемые названия: Для Webex Meetings введите URL Webex Meetings веб-сайта . Для службы Webex Messenger используйте формат "клиент-домен-имя" (например, IM-Client-ADFS-WebexEagle-Com.

Экспорт файла конфигурации метаданных SAML Webex

Вы можете экспортировать некоторые метаданные, которые в будущем можно будет импортировать. Экспортированные поля метаданных включают приведенную ниже информацию.

  • Назначение AuthnRequestSigned

  • Издатель сертификата SAML (идентификатор IdP)

  • URL входа в систему единого входа клиента

Обновление истекающих сертификатов

Прежде чем начать

Эта функция только для администраторов, которые SSO администрирования Webex и которые еще не управляют своими веб-сайтами в Control Hub.

Рекомендуется обновить сертификат до поставщика удостоверений (IdP) до ноября 2022 г. Если срок действия сертификата истекает, пользователи, возможно, не смогут войти успешно.

1

Войдите в службу администрирования Webex и перейдите к > Общие настройки веб-сайта > SSO конфигурации.

2

Прокрутите страницу вниз до раздела Диспетчер сертификатов поставщика услуг веб-сайта.

Будут отображены сведения об истечении срока действия и о новом сертификате (серийный номер, дата истечения срока действия, сведения о ключе, состояние и действие). Сертификат, который используется в данный момент, помечен как активный.

3

Перейдите к новому сертификату и щелкните Экспорт сертификата.

Также можно щелкнуть Экспорт метаданных в нижней части экрана, чтобы скачать метаданные с новым сертификатом.

Срок действия нового файла сертификата истечет через год. Администраторам необходимо будет искать уведомления о каких-либо предупреждениях.

4

Загрузите новый файл сертификата в свой поставщик удостоверений (IdP).

5

Выберите переключатель Активный для нового сертификата.

6

Щелкните Обновить.

Новый сертификат активен.

7

Протестируйте новый сертификат.

Вопросы и ответы при обновлении сертификатов

В. Влияет ли эта функция на всех администраторов?

О. Нет. Будут затронуты только администраторы, которые настроили SSO администрирования Webex.

В. Что произойдет, если администратор не обновит сертификат до истечения срока?

О. Срок действия сертификата истечет, и ваши пользователи, возможно, не смогут успешно войти в Webex. Рекомендуется обновить сертификат до октября 2023 г.

Если срок действия сертификата истекает, вы по-прежнему можете войти в службу администрирования веб-сайта, чтобы обновить и активировать новый сертификат для соответствующего поставщика удостоверений. При любых проблемах при обновлении сертификата обратитесь в Webex Support команду.

В. Как долго действителен новый сертификат?

О. Новый сертификат действителен в течение приблизительно одного года. Эксплуатация Webex создает новый сертификат за два месяца до истечения срока действия существующего сертификата. Таким образом, вы сможете спланировать и обновить сертификат до даты окончания срока.