SSO с несколькими IdP в Webex
Система единого входа (SSO) позволяет пользователям безопасно входить в Webex с помощью аутентификации общего поставщика удостоверений вашей организации. Поставщик удостоверений (IdP) безопасно хранит и управляет цифровыми удостоверениями ваших пользователей, а также предоставляет службу аутентификации пользователей ваших пользователей Webex.
Почему может понадобиться несколько IdP
Многие крупные компании подвергаются слияниям и поглощениям, и эти компании редко имеют одну и ту же ИТ-инфраструктуру и поставщиков удостоверений. Под ними находятся различные организации и учреждения. Часто эти организации имеют один адрес электронной почты для своих собственных ИТ-отделов и инфраструктуры соответственно. Крупные учебные заведения имеют центральный отдел закупок, но разные университеты и колледжи с различными ИТ-организациями и отделами.
Часто бывает, что IdP и поставщики услуг (SP) объединяются друг с другом. Поставщик удостоверений отвечает за аутентификацию учетных данных ваших пользователей, и поставщик услуг доверяет аутентификации, выполненной поставщиком удостоверений. Это позволяет пользователям получать доступ к различным приложениям и службам SaaS, используя одни и те же цифровые удостоверения. Однако если по какой-либо причине ваша организация не может установить федерацию между IdP, Webex предоставляет обходное решение для поддержки нескольких IdP. По этим причинам предоставляется возможность настройки системы единого входа для нескольких IdP в Webex и упрощения процесса аутентификации пользователей.
Ограничения
- Эта функция доступна только в случае приобретения расширенного пакета безопасности Webex.
- Если вы используете соединитель каталогов в своей организации, для всех пользователей должен быть предусмотрен соединитель каталогов. Дополнительную информацию см. в руководстве по развертыванию соединителя каталогов .
- В настоящее время в качестве поставщиков удостоверений поддерживаются только SAML, OpenID Connect и Webex Identity.
Вне области действия
- Настройте назначения групп.
- Проверка домена. Дополнительную информацию см. в статье Управление доменами .
- Подготовка пользователей. Дополнительную информацию см. в статье Способы добавления пользователей в организацию Control Hub .
В этом разделе описаны способы интеграции поставщиков удостоверений (IdP) с вашей организацией Webex. Можно выбрать IdP, которые лучше всего соответствуют требованиям организации.
Если вам необходима интеграция SSO веб-сайта Webex Meetings (под управлением службы администрирования веб-сайта), см. статью Настройка системы единого входа для службы администрирования Webex.
Перед началом работы
Убедитесь в соблюдении приведенных ниже условий.
- Для настройки SSO с несколькими IdP в Control Hub требуется расширенный пакет безопасности Webex.
- В Control Hub должна быть роль администратора с полными правами.
- Файл метаданных от IdP для передачи Webex и файл метаданных от Webex для передачи IdP. Дополнительную информацию см. в статье Интеграция системы единого входа в Control Hub. Это применимо только к конфигурации SAML.
- Прежде чем настроить несколько IdP, необходимо запланировать поведение правил маршрутизации.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP , чтобы запустить мастер настройки. , прокрутите страницу до раздела |
3 |
Выберите SAML в качестве поставщика удостоверений и щелкните Далее. |
4 |
Выберите тип сертификата
Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений. |
5 |
Щелкните Скачать метаданные, а затем – Далее. Имя файла метаданных приложения Webex: idb-meta--SP.xml. |
6 |
Загрузите файл метаданных IdP или заполните форму конфигурации. При загрузке файла метаданных существует два способа проверки метаданных от IdP клиента.
Щелкните Далее. |
7 |
(Необязательно) Можно изменить имя атрибута SAML для Имя пользователя Webex или Основной адрес электронной почты с |
8 |
(Необязательно) Настройте параметры "Точно в срок" (JIT) и ответ сопоставления SAML. См. статьи Настройка сопоставления JIT и SAML на вкладке "Управление IdP" в этой статье.
|
9 |
Щелкните Test SSO setup (Тестирование настройки SSO), и когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, выполнив вход. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. При получении ошибки аутентификации может возникнуть проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы увидеть процесс входа с помощью системы единого входа, рекомендуется щелкнуть Копировать URL-адрес в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
10 |
Вернитесь на вкладку браузера с Control Hub.
Конфигурация SSO не вступит в силу в вашей организации, пока вы не выберете первую переключатель и не активируете SSO. |
Дальнейшие действия
Можно настроить правило маршрутизации. См. раздел Добавление или редактирование правила маршрутизации на вкладке "Правила маршрутизации" этой статьи.
Чтобы отключить отправку электронных сообщений новым пользователям приложения Webex в вашей организации, выполните процедуру, описанную в разделе Блокирование автоматических рассылок по электронной почте . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP , чтобы запустить мастер настройки. , прокрутите страницу до раздела |
3 |
Выберите OpenID Connect в качестве поставщика удостоверений и щелкните Далее. |
4 |
Введите информацию об IdP.
|
5 |
Выберите способ добавления терминальных устройств. Это можно сделать автоматически или вручную.
|
6 |
(Необязательно) Настройте параметры "Точно в срок" (JIT). См. статьи Настройка сопоставления JIT и SAML на вкладке "Управление IdP" в этой статье.
|
7 |
Щелкните Test SSO setup (Тестирование настройки SSO), и когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, выполнив вход. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. При получении ошибки аутентификации может возникнуть проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы увидеть процесс входа с помощью системы единого входа, рекомендуется щелкнуть Копировать URL-адрес в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
8 |
Вернитесь на вкладку браузера с Control Hub.
Конфигурация SSO не вступит в силу в вашей организации, пока вы не выберете первую переключатель и не активируете SSO. |
Дальнейшие действия
Можно настроить правило маршрутизации. См. раздел Добавление или редактирование правила маршрутизации на вкладке "Правила маршрутизации" этой статьи.
Чтобы отключить отправку электронных сообщений новым пользователям приложения Webex в вашей организации, выполните процедуру, описанную в разделе Блокирование автоматических рассылок по электронной почте . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP , чтобы запустить мастер настройки. , прокрутите страницу до раздела |
3 |
Выберите Webex в качестве поставщика удостоверений и щелкните Далее. |
4 |
Установите флажок Я подтверждаю прочтение и понимание принципов работы IdP Webex и щелкните Далее. |
5 |
Настройте правило маршрутизации. См. раздел Добавление или редактирование правила маршрутизации на вкладке "Правила маршрутизации" этой статьи. |
После добавления правила маршрутизации ваш поставщик удостоверений будет добавлен и отображается на вкладке Поставщик удостоверений .
Дальнейшие действия
Для отключения электронных сообщений, которые отправляются новым пользователям приложения Webex в вашей организации, выполните процедуру, описанную в разделе Блокирование автоматических рассылок по электронной почте . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.
Правила маршрутизации применяются при настройке нескольких IdP. Правила маршрутизации позволяют Webex определять, на какой IdP следует отправлять пользователей, если вы настроили несколько IdP.
При настройке нескольких IdP можно определить правила маршрутизации в мастере настройки системы единого входа. Если пропустить этап правила маршрутизации, Control Hub добавит IdP, но не активирует IdP. Для активации idP необходимо добавить правило маршрутизации.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Правила маршрутизации . При настройке первого IdP правило маршрутизации добавляется автоматически и устанавливается как правило по умолчанию. Позже можно выбрать другого IdP, чтобы задать его в качестве правила по умолчанию. |
4 |
Щелкните Добавить новое правило маршрутизации. |
5 |
Введите сведения о новом правиле.
|
6 |
Щелкните Добавить. |
7 |
Выберите новое правило маршрутизации и щелкните Активировать. |
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Правила маршрутизации . |
4 |
Выберите правило маршрутизации. |
5 |
Выберите, следует ли деактивировать или удалить правило маршрутизации. Рекомендуется иметь другое активное правило маршрутизации для IdP. В противном случае при входе в систему SSO могут возникнуть проблемы. |
Перед началом работы
На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.
Это применимо только к конфигурации SAML.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Поставщик удостоверений . |
4 |
Перейдите к поставщику удостоверений, щелкните и выберите Загрузить метаданные Idp. Чтобы скачать файл метаданных, щелкните и выберите Скачать метаданные Idp.
|
5 |
Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP. |
6 |
Вернитесь в Control Hub и перетащите файл метаданных IdP в область загрузки или щелкните Выбрать файл , чтобы загрузить метаданные. |
7 |
Выберите Менее безопасно (самоподписанный) или Более безопасно (подписанный публичным ЦС) в зависимости от подписи метаданных IdP и щелкните Сохранить. |
8 |
Настройте параметры "Точно в срок" (JIT) и ответ сопоставления SAML. См. статьи Настройка сопоставления JIT и SAML на вкладке "Управление IdP" в этой статье.
|
9 |
Щелкните Test SSO setup (Тестирование настройки SSO), и когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, выполнив вход. Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге. При получении ошибки аутентификации может возникнуть проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы увидеть процесс входа с помощью системы единого входа, рекомендуется щелкнуть Копировать URL-адрес в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
10 |
Щелкните Сохранить. |
Перед началом работы
При обновлении сертификата SP рекомендуется обновить все IdP в организации.
Это применимо только к конфигурации SAML.
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Поставщик удостоверений . |
4 |
Перейдите к поставщику удостоверений и щелкните . |
5 |
Щелкните Проверка сертификатов и даты истечения срока действия. Откроется окно Сертификаты поставщика услуг (SP) .
|
6 |
Щелкните Обновить сертификат. |
7 |
Выберите тип поставщика удостоверений в своей организации.
|
8 |
Выберите тип сертификата для возобновления.
Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений. |
9 |
Щелкните Скачать метаданные или Скачать сертификат , чтобы скачать копию обновленного файла метаданных или сертификата из облака Webex. |
10 |
Перейдите к интерфейсу управления IdP, чтобы загрузить новый файл метаданных или сертификат Webex. Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP. Дополнительную информацию см. в наших руководствах по интеграции SSO или обратитесь за поддержкой к администратору IdP. При использовании служб федерации Active Directory (AD FS) можно просмотреть способ обновления метаданных Webex в AD FS |
11 |
Вернитесь к интерфейсу Control Hub и щелкните Далее. |
12 |
Выберите Все IdP успешно обновлены и щелкните Далее. Это приведет к загрузке файла метаданных SP или сертификата во все IdP вашей организации. |
13 |
Щелкните Завершить обновление. |
Перед началом работы
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Поставщик удостоверений . |
4 |
Перейдите к поставщику удостоверений и щелкните . |
5 |
Выберите Тестировать idP. |
6 |
Щелкните Test SSO setup (Тестирование настройки SSO), и когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, выполнив вход. При получении ошибки аутентификации может возникнуть проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку. Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP. Чтобы увидеть процесс входа с помощью системы единого входа, рекомендуется щелкнуть Копировать URL-адрес в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. |
7 |
Вернитесь на вкладку браузера с Control Hub.
Для активации конфигурации SSO для вашей организации нужно перевести переключатель в соответствующее положение и активировать SSO. |
Перед началом работы
Убедитесь в том, что с 2003 г. совмеся следующие предварительные условия:
-
SSO уже настроена.
-
Домены уже проверены.
-
Домены заявлены и включены. Эта функция обеспечивает создание и обновление пользователей из вашего домена при каждой аутентификации с помощью поставщика удостоверений.
-
Если синхронизация DirSync или Azure AD включена, создание или обновление SAML JIT не будет работать.
-
"Блокировка профиль пользователя обновлений" включена. Сопоставление обновлений SAML разрешено, поскольку эта конфигурация управляет возможностью пользователя редактировать атрибуты. Методы создания и обновления, управляемые администратором, все еще поддерживаются.
При настройке SAML JIT с Azure AD или IdP, где адрес электронной почты не является постоянным идентификатором, рекомендуется использовать атрибут связывания externalId
для сопоставления с уникальным идентификатором. Если обнаружено, что адрес электронной почты не соответствует атрибуту связывания, пользователю будет предложено подтвердить свои идентификационные данные или создать нового пользователя с правильным адресом электронной почты.
Недавно созданные пользователи не будут автоматически получать назначенные лицензии, если в организации не настроен автоматический шаблон лицензии .
1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3 |
Перейдите на вкладку Поставщик удостоверений . | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4 |
Перейдите к поставщику удостоверений и щелкните . | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5 |
Выберите Редактировать сопоставление SAML. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6 |
Настройте параметры "Точно в срок" (JIT).
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7 |
Настройте необходимые атрибуты сопоставления SAML.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8 |
Настройте атрибуты связывания. Это должно быть уникальным для пользователя. Он используется для поиска пользователя, чтобы Webex мог обновить все атрибуты профиля, включая адрес электронной почты пользователя.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9 |
Настройте атрибуты профиля.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10 |
Настройте атрибуты добавочного номера. Соустановите эти атрибуты с расширенными атрибутами в Active Directory, Azure или каталоге для коды слежения.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11 |
Настройте атрибуты группы.
Если пользователь A связан с Подготовка SAML JIT не поддерживает удаление пользователей из групп и удаление пользователей.
Список атрибутов утверждения SAML для Webex Meetings см. в . https://help.webex.com/article/WBX67566 |
Перед началом работы
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Поставщик удостоверений . |
4 |
Перейдите к поставщику удостоверений и щелкните . |
5 |
Нажмите Удалить. |
1 | |
2 |
Перейдите к меню Система единого входа и щелкните Управление SSO и IdP. , прокрутите страницу до раздела |
3 |
Перейдите на вкладку Поставщик удостоверений . |
4 |
Щелкните Деактивировать SSO. Подтвердите деактивацию системы единого входа. |
После подтверждения SSO будет деактивирована для всех IdP в вашей организации.
Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.
Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.
1 | |
2 |
Перейдите в Центр предупреждений. |
3 |
Выберите Управление, затем – Все правила. |
4 |
В списке "Правила" выберите одно из правил SSO, которое необходимо создать.
|
5 |
В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex. Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение. При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления. |
6 |
Сохраните внесенные изменения. |
Дальнейшие действия
Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Предупреждения можно ожидать в 60, 45, 30 и 15 дней.) При обновлении сертификата предупреждения прекращаются.
При возникновении проблем со входом в систему SSO можно воспользоваться параметром самостоятельного восстановления SSO для доступа к организации Webex, управляемой в Control Hub. Параметр самостоятельного восстановления позволяет обновить или отключить SSO в Control Hub.