Благодарим вас за обратную связь.
SSO с использованием нескольких поставщиков удостоверений в Webex
Отправить обратную связь?Единый вход (SSO) позволяет пользователям безопасно входить в Webex, проходя аутентификацию через общего поставщика идентификации вашей организации. Поставщик идентификационных данных (IdP) обеспечивает безопасное хранение и управление цифровыми идентификаторами ваших пользователей, а также предоставляет услугу аутентификации пользователей Webex.
Почему вам может понадобиться несколько поставщиков идентификации (IDP)
Многие крупные компании проходят через слияния и поглощения, и эти компании редко имеют одинаковую ИТ-инфраструктуру и поставщиков услуг по управлению идентификацией. В состав государственных учреждений входят различные организации и ведомства. Зачастую такие организации используют один и тот же адрес электронной почты для своих ИТ-отделов и инфраструктуры соответственно. Крупные образовательные учреждения имеют центральный отдел закупок, но в разных университетах и колледжах существуют разные ИТ-подразделения и отделы.
Нередко можно наблюдать федеративное взаимодействие поставщиков идентификации (IDP) и поставщиков услуг (SP). Поставщик идентификации (IdP) отвечает за аутентификацию учетных данных ваших пользователей, а поставщик услуг (SP) доверяет аутентификации, выполненной поставщиком идентификации. Это позволяет вашим пользователям получать доступ к различным SaaS-приложениям и сервисам, используя одну и ту же цифровую идентификацию. Однако, если по какой-либо причине ваша организация не может объединить данные между поставщиками идентификации (IdP), Webex предлагает обходное решение для поддержки нескольких IdP. По этим причинам мы предоставляем вам возможность настроить единый вход (SSO) для нескольких поставщиков идентификации (IdP) в Webex и упростить процесс аутентификации ваших пользователей.
Ограничения
- Если в вашей организации используется Directory Connector, все пользователи должны быть авторизованы с помощью Directory Connector. Для получения дополнительной информации обратитесь к руководству по развертыванию Directory Connector.
- В настоящее время мы поддерживаем только SAML, OpenID Connect и Webex Identity в качестве поставщиков идентификации.
Выход за рамки темы
- Настройте назначение групп.
- Проверка домена. Для получения дополнительной информации обратитесь к Управление доменами
- Предоставление доступа пользователям. Для получения дополнительной информации см. Способы добавления пользователей в организацию Control Hub.
В этом разделе описывается, как интегрировать поставщиков идентификационных данных (IdP) с вашей организацией Webex. Вы можете выбрать поставщиков идентификации (IdP), которые наилучшим образом соответствуют требованиям вашей организации.
Если вам нужна интеграция единого входа (SSO) для сайта Webex Meetings (управляемого в разделе «Администрирование сайта»), обратитесь к Настройка единого входа для администрирования Webex.
Прежде чем начать
Убедитесь, что выполнены следующие условия:
- Для работы в Control Hub у вас должна быть роль «Полный администратор».
- Файл метаданных от поставщика идентификации (IdP) для передачи в Webex и файл метаданных от Webex для передачи в IdP. Для получения дополнительной информации см. Интеграция единого входа в Control Hub. Это применимо только к конфигурации SAML.
- Перед настройкой нескольких поставщиков идентификации (IdP) следует спланировать поведение правил маршрутизации.
Правило маршрутизации по умолчанию применяется после настройки вашего первоначального поставщика идентификации (IdP). Но вы можете установить другой поставщик идентификации (IdP) в качестве поставщика по умолчанию. См. Добавление или редактирование правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации и нажмите Активировать SSO. |
| 4 |
Выберите SAML в качестве поставщика идентификации и нажмите Далее. |
| 5 |
Выберите тип сертификата
Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений. |
| 6 |
Щелкните Скачать метаданные, а затем – Далее. Имя файла метаданных приложения Webex: idb-meta-<org-ID>-SP.xml. |
| 7 |
Загрузите файл метаданных вашего поставщика идентификации (IdP) или заполните форму конфигурации. При загрузке файла метаданных существует два способа проверки метаданных от поставщика идентификации клиента:
Щелкните Далее. |
| 8 |
(Необязательно) Вы можете изменить имя атрибута SAML для Имя пользователя Webex или Основной адрес электронной почты с |
| 9 |
(Необязательно) Настройте параметры "точно в срок" (JIT) и ответ на сопоставление SAML. См. Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками идентификации» в этой статье.
|
| 10 |
Нажмите Проверить настройку SSO, и когда откроется новая вкладка браузера, выполните аутентификацию у поставщика идентификации, войдя в систему. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. Если вы получили ошибку аутентификации, возможно, проблема связана с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы ознакомиться с процедурой входа через единый вход (SSO), рекомендуем нажать Скопировать URL в буфер обмена на этом экране и вставить его в окно браузера в режиме инкогнито. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
| 11 |
Вернитесь на вкладку браузера с Control Hub.
Настройки единого входа (SSO) не вступят в силу в вашей организации, если вы не выберете первый переключатель и не активируете SSO. |
Дальнейшие действия
Вы можете настроить правило маршрутизации. См. Добавление или редактирование правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.
Вы можете выполнить процедуру, описанную в Отключение автоматических рассылок, чтобы отключить отправку электронных писем новым пользователям Webex App в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
При настройке OpenID Connect с Entra ID или поставщиком идентификации (IdP), где адрес электронной почты не является постоянным идентификатором, мы рекомендуем использовать атрибут externalId для сопоставления с уникальным идентификатором. Для Entra ID мы предлагаем сопоставить OIDC с externalId. Если мы обнаружим, что адрес электронной почты не соответствует атрибуту привязки, пользователю будет предложено подтвердить свою личность или создать нового пользователя с правильным адресом электронной почты.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации и нажмите Активировать SSO. |
| 4 |
Выберите OpenID Connect в качестве поставщика идентификации и нажмите Далее. |
| 5 |
Введите информацию о вашем поставщике идентификации (IdP).
|
| 6 |
(Необязательно) Включите параметр Разрешить конфигурацию Proof Key for Code Exchange (PKCE) для настройки вашего OIDC IdP с этим расширением безопасности. Это повышает безопасность клиентского приложения и обеспечивает совместимость с потребностями пользователей. |
| 7 |
Выберите способ добавления конечных точек. Это можно сделать автоматически или вручную.
|
| 8 |
(Необязательно) Настройте параметры системы "точно в срок" (JIT). См. Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками идентификации» в этой статье.
|
| 9 |
Нажмите Проверить настройку SSO, и когда откроется новая вкладка браузера, выполните аутентификацию у поставщика идентификации, войдя в систему. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. Если вы получили ошибку аутентификации, возможно, проблема связана с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы ознакомиться с процедурой входа через единый вход (SSO), рекомендуем нажать Скопировать URL в буфер обмена на этом экране и вставить его в окно браузера в режиме инкогнито. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
| 10 |
Вернитесь на вкладку браузера с Control Hub.
Настройки единого входа (SSO) не вступят в силу в вашей организации, если вы не выберете первый переключатель и не активируете SSO. |
Дальнейшие действия
Вы можете настроить правило маршрутизации. См. Добавление или редактирование правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.
Вы можете выполнить процедуру, описанную в Отключение автоматических рассылок, чтобы отключить отправку электронных писем новым пользователям Webex App в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации и нажмите Активировать SSO. |
| 4 |
Выберите Webex в качестве поставщика идентификации и нажмите Далее. |
| 5 |
Отметьте Я прочитал и понял, как работает Webex IdP и нажмите Далее. |
| 6 |
Настройте правило маршрутизации. См. Добавление или редактирование правила маршрутизации на вкладке «Правила маршрутизации» в этой статье. |
После добавления правила маршрутизации ваш поставщик идентификации (IdP) добавляется и отображается на вкладке Поставщик идентификации.
Дальнейшие действия
Вы можете выполнить процедуру, описанную в Отключение автоматических рассылок, чтобы отключить отправку электронных писем новым пользователям Webex App в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
Правила маршрутизации применяются при настройке более чем одного поставщика идентификации (IdP). Правила маршрутизации позволяют Webex определять, к какому поставщику идентификации (IdP) следует направлять пользователей, если вы настроили несколько поставщиков идентификации.
При настройке нескольких поставщиков идентификации (IdP) вы можете определить правила маршрутизации в мастере настройки единого входа (SSO). Если пропустить этап создания правила маршрутизации, то Control Hub добавит поставщика идентификации (IdP), но не активирует его. Для активации поставщика идентификации (IdP) необходимо добавить правило маршрутизации.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Правила маршрутизации. При настройке первого поставщика идентификации (IdP) правило маршрутизации добавляется автоматически и устанавливается как правило по умолчанию . Позже вы можете выбрать другого поставщика идентификации (IdP) и установить его в качестве правила по умолчанию. |
| 4 |
Нажмите Добавить новое правило маршрутизации. |
| 5 |
Введите подробные сведения о правиле маршрутизации:
|
| 6 |
Выберите метод многофакторной аутентификации (МФА):
Для получения дополнительной информации о настройке многофакторной аутентификации для вашей организации см. Включение интеграции многофакторной аутентификации в Control Hub. |
| 7 |
Щелкните Добавить. |
| 8 |
Выберите новое правило маршрутизации и нажмите Активировать. |
Вы можете изменить порядок приоритета правил маршрутизации, если у вас есть правила маршрутизации для нескольких поставщиков идентификации.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Правила маршрутизации. |
| 4 |
Выберите правило маршрутизации. |
| 5 |
Выберите, хотите ли вы деактивировать правило маршрутизации или удалить его . Рекомендуется добавить еще одно активное правило маршрутизации для поставщика идентификации (IdP). В противном случае у вас могут возникнуть проблемы со входом через SSO. |
Правило по умолчанию нельзя деактивировать или удалить, но можно изменить маршрутизируемый поставщик идентификации.
Прежде чем начать
На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.
Это применимо только к конфигурации SAML.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите к поставщику идентификации (IdP), нажмите Чтобы загрузить файл метаданных, нажмите
 и выберите Загрузить метаданные IDP. |
| 5 |
Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP. |
| 6 |
Вернитесь в Центр управления и перетащите файл метаданных поставщика идентификации (IdP) в область загрузки или нажмите Выберите файл для загрузки метаданных. |
| 7 |
Выберите Менее безопасный (самоподписанный) или Более безопасный (подписанный публичным центром сертификации), в зависимости от способа подписи метаданных вашего поставщика идентификации, и нажмите Сохранить. |
| 8 |
Настройте параметры "точно в срок" (JIT) и ответ на сопоставление SAML. См. Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками идентификации» в этой статье.
|
| 9 |
Нажмите Проверить настройку SSO, и когда откроется новая вкладка браузера, выполните аутентификацию у поставщика идентификации, войдя в систему. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. Если вы получили ошибку аутентификации, возможно, проблема связана с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы ознакомиться с процедурой входа через единый вход (SSO), рекомендуем нажать Скопировать URL в буфер обмена на этом экране и вставить его в окно браузера в режиме инкогнито. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
| 10 |
Щелкните Сохранить. |
и выберите Прежде чем начать
Рекомендуется обновлять все поставщики идентификации (IdP) в вашей организации при продлении сертификата поставщика услуг (SP).
Это применимо только к конфигурации SAML.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите в IdP и нажмите |
| 5 |
Нажмите Просмотреть сертификаты и срок действия. Это переведет вас на страницу сертификатов поставщика услуг ( СП ). Вы можете нажать Если ваша организация использует двойные сертификаты, у вас также есть возможность заменить дополнительный сертификат основным или удалить существующий дополнительный сертификат. |
| 6 |
Нажмите Обновить сертификат. |
| 7 |
Выберите тип поставщика идентификации (IdP) в вашей организации:
|
| 8 |
Выберите тип сертификата для возобновления.
Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений. |
| 9 |
Чтобы подтвердить, что вы хотите заменить текущий сертификат выбранным, установите флажок Нажав кнопку «Заменить сертификат», я заменю текущий сертификат выбранным, а затем нажмите кнопку Заменить сертификат. |
| 10 |
На странице Обновление сертификатов поставщика услуг (СП) ] нажмите Загрузить метаданные или Загрузить сертификат для загрузки копии обновленного файла метаданных или сертификата из облака Webex. |
| 11 |
Перейдите в интерфейс управления поставщиком идентификации (IdP), чтобы загрузить новый файл метаданных Webex или сертификат. Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP. Для получения дополнительной информации см. наши руководства по интеграции SSO или обратитесь за поддержкой к администратору вашего поставщика идентификации. Если вы используете Active Directory Federation Services (AD FS), вы можете узнать, как обновить метаданные Webex в AD FS |
| 12 |
Вернитесь к интерфейсу Центра управления. На странице Обновление сертификатов поставщика услуг (СП) установите флажок Я уже обновил метаданные для всех поставщиков идентификации, а затем нажмите Далее. |
| 13 |
Щелкните Готово. |
.
, чтобы загрузить метаданные или сертификат поставщика услуг. Перед началом работы
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите в IdP и нажмите |
| 5 |
Выберите Тестовый поставщик идентификации. |
| 6 |
Нажмите Проверить настройку SSO, и когда откроется новая вкладка браузера, выполните аутентификацию у поставщика идентификации, войдя в систему. Если вы получили ошибку аутентификации, возможно, проблема связана с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы ознакомиться с процедурой входа через единый вход (SSO), рекомендуем нажать Скопировать URL в буфер обмена на этом экране и вставить его в окно браузера в режиме инкогнито. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
| 7 |
Вернитесь на вкладку браузера с Control Hub.
Для активации конфигурации SSO для вашей организации нужно перевести переключатель в соответствующее положение и активировать SSO. |
Перед началом работы
Убедитесь в том, что с 2003 г. совмеся следующие предварительные условия:
-
SSO уже настроена.
-
Домены уже проверены.
-
Домены зарегистрированы и активированы. Эта функция гарантирует, что пользователи из вашего домена будут создаваться и обновляться один раз при каждой аутентификации в вашем поставщике идентификации (IdP).
-
Если включены DirSync или Entra ID, то создание или обновление с помощью SAML JIT работать не будет.
-
"Блокировка профиль пользователя обновлений" включена. Сопоставление обновлений SAML разрешено, поскольку эта конфигурация управляет возможностью пользователя редактировать атрибуты. Методы создания и обновления, управляемые администратором, все еще поддерживаются.
При настройке SAML JIT с Entra ID или IdP, где адрес электронной почты не является постоянным идентификатором, мы рекомендуем использовать атрибут externalId для сопоставления с уникальным идентификатором. Если мы обнаружим, что адрес электронной почты не соответствует атрибуту привязки, пользователю будет предложено подтвердить свою личность или создать нового пользователя с правильным адресом электронной почты.
Недавно созданные пользователи не будут автоматически получать назначенные лицензии, если в организации не настроен автоматический шаблон лицензии .
| 1 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2 |
Перейти к . | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3 |
Перейдите на вкладку Поставщик идентификации. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 4 |
Перейдите в IdP и нажмите | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 5 |
Выберите Редактировать сопоставление SAML. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 6 |
Настройка параметров точно в срок" (JIT).
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 7 |
Настройка необходимых атрибутов сопоставления SAML.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 8 |
Настройте атрибуты связи. Это должно быть уникальным для каждого пользователя. Он используется для поиска пользователя, чтобы Webex мог обновить все атрибуты профиля, включая адрес электронной почты пользователя.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 9 |
Настройка Атрибутов профиля.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 10 |
Настройка Атрибуты группы.
Если пользователь A связан с Технология SAML JIT provisioning не поддерживает удаление пользователей из групп или любое другое удаление пользователей.
Список атрибутов утверждений SAML для Webex Meetings см. в Атрибуты утверждений SAML для Webex Meetings и Jabber. |
Прежде чем начать
Рекомендуется сначала деактивировать или удалить правила маршрутизации поставщика идентификации (IdP), прежде чем удалять самого поставщика идентификации.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите в IdP и нажмите |
| 5 |
Нажмите Удалить. |
Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.
Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.
| 1 | |
| 2 |
Перейти в Центр оповещений. |
| 3 |
Выберите Управление, затем – Все правила. |
| 4 |
В списке "Правила" выберите одно из правил SSO, которое необходимо создать.
|
| 5 |
В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex. Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение. При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления. |
| 6 |
Сохраните внесенные изменения. |
Дальнейшие действия
Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Вы можете ожидать оповещений на 60, 45, 30 и 15 день.) Оповещения прекращаются при продлении сертификата.
Если у вас возникли проблемы со входом через SSO, вы можете использовать опцию самовосстановления SSO, чтобы получить доступ к вашей организации Webex, управляемой в Control Hub. Функция самовосстановления позволяет обновить или отключить SSO в Control Hub.
