Единый вход иControl Hub

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки утверждения безопасности (SAML 2.0) используется для обеспечения SSO проверки подлинности междуWebexи поставщика удостоверений (IdP).

Профили

Приложение Webexподдерживает только профиль системы единого входа веб-браузера. В веб-браузере SSO,Приложение Webexподдерживает следующие привязки:

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем.Приложение Webexподдерживает следующие форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от своего IdP, первая запись настроена для использования вWebex.

ИнтегрироватьControl Hubс Microsoft Azure


 

В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, по этапам интеграции для nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient задокументированы. Другие форматы, например urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress будет работать для SSO интеграции, но не является областью нашего документа.

Настройка этой интеграции для пользователей вWebexорганизацию (включаяПриложение Webex,Webex Meetingsи другие службы, администр.Control Hub). Если дляWebexвеб-сайт интегрирован вControl Hub,Webexнаследуют управление пользователями. Если нет доступаWebex Meetingsи управление этим способом неControl Hub, необходимо отдельно включить интеграцию, чтобы включить SSO дляWebex Meetings. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)

Прежде чем начать

Для SSO иControl Hub, системы IdP должны соответствовать спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.


 

В Azure Active Directory инициализация поддерживается только в ручном режиме. В этом документе описана только интеграция системы единого входа (SSO).

СкачайтеWebexметаданные локальной системы

1

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к параметру Управление > Настройки организации, затем прокрутите страницу до параметра Аутентификация и перейдите к настройкам Системы единого входа, чтобы запустить мастер настройки.

2

Выберите тип сертификата для своей организации.

  • Самоподписанный сертификат Cisco – рекомендуем выбрать этот тип сертификата. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – более безопасный вариант, но вам придется чаще обновлять метаданные (за исключением случаев, когда ваш поставщик удостоверений поддерживает точки доверия).

 

Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

3

Скачайте файл метаданных.

ЭлементWebexимя файла метаданных – idb-meta-SP.xml<org-ID>.

Настройка приложения SSO в Azure

Прежде чем начать

  • Информацию о возможностях idP в Azure Active Directory см. в статье Об Azure Active Directory.

  • Настройте Active Directory Azure.

  • Создайте локальных пользователей или выполните синхронизацию с локальной системой Active Directory.

  • ОткройтеWebexфайл метаданных, скачаный изControl Hub.

  • Просмотрите соответствующее руководство на веб-сайте документации Microsoft.

1

Войдите на портал Azure по адресу https://portal.azure.com, используя свои учетные данные администратора.

2

Если пиктограмма Azure Active Directory не от компании, щелкните Дополнительные службы.

3

Перейдите в раздел Active Directory Azure вашей организации.

4

Перейдите в раздел Корпоративные приложения и щелкните Добавить.

5

Щелкните Добавить приложение из коллекции.

6

В поле поиска введите Cisco Webex.

7

В области результатов выберите Cisco Webex, а затем щелкните Создать, чтобы добавить приложение.

8

Чтобы убедиться, что приложение Webex, добавленное для система единого входа, не будет открыно на портале пользователя, откройте новое приложение. В области Управление щелкните Свойства и установите для пользователя в окнах Видимые? для этого выберите Нет.

Отображение приложения Webex для пользователей не поддерживается.

9

Настройка системы единого входа.

  1. В области Управление щелкните Единый вход, а затем в области Выбрать метод единого войти выберите SAML.

  2. Щелкните Загрузить файл метаданных и выберите файл метаданных, скачаный изControl Hub.

    Импорт файла метаданных в Azure

    Некоторые поля заполняются автоматически.

  3. В области Управление щелкните Настроить единый вход с помощью SAML и щелкните пиктограмму Правка, чтобы открыть базовую конфигурацию SAML.

  4. Скопируйте значение URL-адрес ответа, вставьте его в поле URL-адрес для входа и сохраните изменения.

10

Перейдите в > пользователи и группы, а затем выберите соответствующих пользователей и группы, к которые необходимо предоставить доступПриложение Webex.

11

На странице Настройка системы единого входа с помощью SAML в разделе Подпись сертификата SAML щелкните Скачать, чтобы загрузить XML-файл метаданных федерации, и сохраните его на компьютере.

Импорт метаданных поставщика удостоверений и активация системы единого входа после тестирования

После экспортаWebexметаданные, настройка IdP и скачивание метаданных IdP на локализованную систему. Вы готовы импортировать их вWebexорганизация изControl Hub.

Прежде чем начать

Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только поставщик услуг инициа-чаты потоки, инициированные SP. Поэтому для этого необходимо использоватьControl HubSSO тест для этой интеграции.

1

Выберите один из вариантов.

  • Вернуться кControl Hub– выберите страницу выбора сертификата в браузере, а затем щелкните Далее.
  • ЕслиControl Hubбольше не открыт на вкладке браузера. https://admin.webex.comВ окнах просмотра информации о клиенте на веб-сайте перейдите в управление > настройки организации, прокрутите страницу до параметра Аутентификация и выберите Действия > Импорт метаданных.
2

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

По возможности используйте параметр Более безопасный. Это возможно только в том случае, если ваш поставщик удостоверений использовал общедоступный ЦС для подписи своих метаданных.

Во всех остальных случаях необходимо использовать параметр Менее безопасный. Он также используется, если метаданные не подписаны, являются самоподписанными или подписаны частным ЦС.


 

В Okta метаданные не подписываются, поэтому для интеграции SSO Okta необходимо выбрать параметр Менее безопасный.

3

Выберите Настройка тестирования SSO и в открывшейся новой вкладке браузера выполните аутентификацию с помощью поставщика удостоверений посредством входа в систему.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

AПриложение WebexОшибка обычно означает проблему с настройкой SSO системы. В этом случае еще раз пройдите шаги, особенно шаги копирования и вскойControl Hubметаданные в настройку IdP.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. На этом этапе ложные срабатывания блокируются благодаря наличию маркера доступа, который может быть создан в текущем сеансе после вашего входа в систему.

4

Вернуться кControl Hubвкладки браузера.

  • Если тестирование прошло успешно, выберите Успешное тестирование. Активируйте SSO и щелкните Далее.
  • Если тестирование прошло с ошибками, выберите Тестирование не пройдено. Деактивируйте SSO и щелкните Далее.

 

Для активации конфигурации SSO для вашей организации нужно перевести переключатель в соответствующее положение и активировать SSO.

Дальнейшие действия

Выполните процедуры, описанные в разделе Синхронизация пользователей Okta в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Okta в облаке Webex.

Выполните процедуры, описанные в разделе Синхронизация пользователей Azure Active Directory в Cisco Webex Control Hub, если необходимо выполнить подготовку пользователя из Azure Active Directory в облаке Webex.

Для отключения электронных сообщений, отосланных на новые, выполните процедуру подавления автоматических электронных сообщений.Приложение Webexпользователей в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Устранение неполадок интеграции с Azure

При выполнении теста SAML убедитесь, что используется Mozilla Firefox и установка трассировщика SAML осуществляется с помощью https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Проверьте утверждение, которое поступает из Azure, чтобы убедиться в правильности формата NameID и атрибута UID, который соответствует пользователю вПриложение Webex.