Система единого входа

Система SSO Webex использует один уникальный идентификатор, чтобы предоставить сотрудникам вашей организации доступ ко всем корпоративным приложениям. Администраторы могут использовать администрирование Webex для настройки системы SSO для приложений Webex .


 

Система единого входа является дополнительной функцией, которая должна быть предусмотрена для вашего веб-сайта. Обратитесь в поддержка Cisco для получения дополнительной информации.

Настройка системы единого входа

Для настройки системы единого входа и SAML 2.0 следуйте приведенной ниже процедуре.

Перед началом работы

Обеспечьте получение и установку следующих требований.

  • Стандартный поставщик удостоверений (IdP), совместимый с SAML 2.0 или WS Federate, например CA SiteMinder, ADFS и Ping Identity.


     

    SAML 1.1 и WS Federate 1.0 устарели и больше не поддерживаются в Cisco Webex.

  • Корпоративный сертификат открытого ключа X.509, выданный доверенным центром сертификации, таким как VeriSign или Thawte.

  • IdP, настроенный для предоставления утверждений SAML с информацией об учетная запись пользователя и системными идентификаторами SAML .

  • XML-файл поставщика удостоверений.

  • URL для корпоративной службы IAM.

1.

Войдите в систему администрирования Webex и перейдите к Конфигурация > Общие настройки сайта > Конфигурация SSO .

2.

В раскрывающемся списке Протокол федерации выберите SAML 2.0.

При наличии какой-либо существующей конфигурации некоторые поля могут быть уже заполнены.

3.

Щелкните ссылку Управление сертификатами веб-сайта.

4.

В окне Управление сертификатами веб-сайта выберите Найти, затем перейдите в местоположение CER-файла сертификата X.509.

5

Выберите CER-файл и нажмите ОК.

6

Нажмите Закрыть.

7.

Введите необходимую информацию на странице Конфигурация системы единого входа и выберите параметр, который требуется включить.

8

Нажмите Обновить.

Страница настройки системы единого входа

В приведенной далее таблице перечислены и описаны поля и параметры страницы Настройка системы единого входа.


 

Во время настройки необходимо использовать точную информацию. Если вам требуются дополнительные разъяснения относительно информации, необходимой для настройки системы единого входа для вашего веб-сайта, обратитесь к своему поставщику удостоверений.

Таблица 1. Поля и параметры страницы настройки системы единого входа

Поле или параметр

Описание

AuthnContextClassRef

Оператор SAML, описывающий процесс аутентификации в IdP. Должен совпадать с конфигурацией IAM. Примеры ADFS: urn:federation:authentication:windows или urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping пример: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

при использовании более одного значения AuthnContextClassRef разделяйте их ";". Например: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Автоматическое создание учетных записей (Необязательно)

Выберите, чтобы создать учетную запись пользователя. Утверждение должно быть в полях UID, электронной почты, имени и фамилии.

Автоматическое обновление учетных записей (Необязательно)

Учетные записи Webex можно обновить с помощью атрибута updateTimeStamp в t При внесении изменений в IdP новая временная метка отправляется на веб-сайт Webex с любым атрибутом, отправленным в утверждении SAML .

URL ошибки системы единого входа клиента (Необязательно)

В случае ошибки перенаправляет на этот URL, добавив к URL код ошибки.

URL входа в систему единого входа клиента

URL-адрес для служб с системой единого входа вашего предприятия. Пользователи обычно входят в систему, используя этот URL-адрес. Расположение в XML-файле IdP (например, <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL целевой страницы Webex по умолчанию (Необязательно)

После выполнения аутентификации отображает целевую страницу, назначенную только для веб-приложения.

Импорт метаданных SAML (ссылка)

Щелкните, чтобы открыть диалоговое окно Настройка системы единого входа веб-федерации – метаданные SAML. Импортированные поля метаданных включают приведенную ниже информацию.

  • Назначение AuthnRequestSigned

  • Издатель сертификата SAML (идентификатор IdP)

  • URL входа в систему единого входа клиента

Издатель сертификата SAML (идентификатор IdP)

URI однозначно определяет IdP. Конфигурация должна совпадать с параметрами настройки, указанными в IAM клиента. Расположение в XML-файле IdP (например, entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Формат NameID

Должен соответствовать конфигурации IdP, при этом поддерживаются следующие форматы:

  • Не указано

  • Адрес электронной почты

  • Имя объекта X509

  • Идентификатор объекта

  • Постоянный идентификатор

Удалить UID суффикса домена для UPN в Active Directory

Если выбран этот параметр, домен Active Directory будет удален из имени участника-пользователя (UPN).

Профиль системы единого входа

Укажите, как пользователи получают доступ к веб- веб-сайт Webex. Выбрать SP инициирован если пользователи начинают работу с веб-сайта совещание Webex и перенаправляются в корпоративную систему IdP для аутентификации. Выбрать IdP инициирован если пользователи получают доступ к веб- веб-сайт Webex через корпоративную систему IAM.

Аутентификация SSO для посетителей

Эта функция обеспечивает дополнительные уровни ответственности за аутентификацию пользователя с подтверждением SAML для внутренних посетителей, использующих Webex Meetings, Webex Training и Webex Events. Если эта функция включена, она заменяет функцию Webex Meetings «Отображать внутренний тег пользователя в списке участников».

Алгоритм подписи для AuthnRequest

В целях усовершенствования безопасности теперь можно создавать сертификаты, подписанные SHA-1, SHA-256 или SHA-512.

Единый выход (Необязательно)

Установите флажок для выхода и установки URL выхода.


 

Единый выход, инициированный поставщиком удостоверений, не поддерживается.

Издатель утверждения SAML Webex (идентификатор SP)

URI идентифицирует службу Webex Messenger как SP. Конфигурация должна совпадать с параметрами настройки, указанными в системе управления идентификацией и доступом клиента. Рекомендуемые названия: Для Webex Meetings введите URL-адрес -адрес веб-сайта Webex Meetings . Для службы Webex Messenger используйте формат "имя-клиента" (пример: IM-Client-ADFS-WebexEagle-Com).

Экспорт файла конфигурации метаданных SAML Webex

Вы можете экспортировать некоторые метаданные, которые в будущем можно будет импортировать. Экспортированные поля метаданных включают приведенную ниже информацию.

  • Назначение AuthnRequestSigned

  • Издатель сертификата SAML (идентификатор IdP)

  • URL входа в систему единого входа клиента

Обновление истекающих сертификатов

Перед началом работы

Эта функция предназначена только для администраторов, у которых настроена система SSO в Webex Administration и которые еще не управляют своими сайтами в Control Hub.


 

Мы рекомендуем обновить сертификат поставщика удостоверений (IdP) до ноября 2022 года. Если срок действия сертификата истечет, пользователи не смогут вход .

1.

Войдите в систему администрирования Webex и перейдите к Конфигурация > Общие настройки сайта > Конфигурация SSO .

2.

Прокрутите вниз до Диспетчер сертификатов SP сайта .

Отображаются сведения об истекающем и новом сертификате (серийный номер, дата истечения срока действия, сведения о ключе, состояние и действие). Сертификат, который используется в настоящее время, помечен как активный.

3.

Перейдите к новому сертификату и нажмите Экспортная сертификация .

Вы также можете нажать Экспорт метаданных в нижней части экрана, чтобы загрузить метаданные с новым сертификатом.


 

Срок действия нового файла сертификата истечет через год. Администраторы должны будут следить за любыми предупреждениями.

4.

Загрузите новый файл сертификата в свой поставщик удостоверений (IdP).

5

Выберите Активный переключатель для нового сертификата.

6

Щелкните Обновить .

Новый сертификат теперь активен.

7.

Протестируйте новый сертификат.

Часто задаваемые вопросы при обновлении сертификатов

В. Эта функция затрагивает всех администраторов?

О. Нет, это касается только администраторов, которые настроили SSO в Webex Administration.

В. Что произойдет, если администратор не обновит сертификат раньше установленного срока?

О. Срок действия сертификата истечет, и ваши пользователи не смогут успешно вход в Webex . Рекомендуется обновить сертификат до октября 2023 года.

Если срок действия сертификата истекает, вы все равно можете вход администрирование веб-сайта , чтобы обновить и активировать новый сертификат для соответствующего поставщика удостоверений. Если при обновлении сертификата возникнут проблемы, обратитесь в службу поддержки Webex .

В. Как долго действует новый сертификат?

О. Срок действия нового сертификата составляет примерно один год. Операционная группа Webex создает новый сертификат за два месяца до истечения срока действия существующего. Это дает вам время для планирования и обновления сертификата до установленного срока.