Jediné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je relácia alebo proces autentifikácie používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, na ktoré majú pridelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Federačný protokol SAML 2.0 (Security Assertion Markup Language) sa používa na poskytovanie autentifikácie SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača podporuje aplikácia Webex nasledujúce väzby:

  • SP inicioval väzbu POST -> POST

  • SP spustil väzbu PRESMEROVANIE -> POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metaúdajoch, ktoré načítate z vášho IdP, je prvý záznam nakonfigurovaný na použitie vo Webexe.

Integrujte Control Hub s Okta

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sú zdokumentované. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane Webex App, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša lokalita Webex integrovaná v Control Hub, lokalita Webex zdedí správu používateľov. Ak nemôžete pristupovať k stretnutiam Webex týmto spôsobom a nie sú spravované v Control Hub, musíte vykonať samostatnú integráciu, aby ste povolili jednotné prihlásenie pre stretnutia Webex. (Viac informácií o integrácii SSO v správe lokality nájdete v časti Konfigurácia jednotného prihlásenia pre Webex .)

Skôr ako začnete

  • Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

  • Webex podporuje iba toky iniciované poskytovateľom služieb (SP). To znamená, že používatelia musia začať svoje relácie zo stránky Webex. To zaisťuje, že autentifikácia je správne smerovaná cez platformu Webex.

Stiahnite si metadáta Webex do svojho lokálneho systému

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie, prejdite na položku Overenie totožnosti a potom prepnite na nastavenie Jednotné prihlásenie , čím spustíte sprievodcu nastavením.

2

Vyberte typ certifikátu pre vašu organizáciu:

  • Samopodpísaný spoločnosťou Cisco – odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou – je bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ poskytovateľa identity nepodporuje ukotvenia dôveryhodnosti).

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

3

Stiahnite si súbor metadát.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Nakonfigurujte Okta pre služby Webex

Keď nastavujete aplikáciu Cisco Webex na správcovskom portáli Okta, nakonfigurujte predvolenú ikonu aplikácie tak, aby zostala skrytá. Ak to chcete urobiť, prejdite do časti Nastavenia aplikácie > Viditeľnosť aplikácie a začiarknite položky Nezobrazovať používateľom ikonu aplikácie a Nezobrazovať ikonu aplikácie v aplikácii Okta Mobile App.

1

Prihláste sa do služby Okta Tenant (example.okta.com, kde example je názov vašej spoločnosti alebo organizácie) ako správca, prejdite do časti Aplikácie a potom kliknite na položku Pridať aplikáciu.

2

Vyhľadajte Cisco Webex a pridajte aplikáciu do svojho nájomníka.

3

Kliknite na tlačidlo Ďalej a potom na tlačidlo SAML 2.0.

4

V prehliadači otvorte súbor metadát, ktorý ste si stiahli z Control Hub. Skopírujte adresy URL pre entityID (v hornej časti súboru) a umiestnenie assertionConsumerService (v dolnej časti súboru).

Príklad zvýrazneného entityID v súbore metadát Control Hub

Príklad umiestnenia zvýrazneného asertionConsumerService v súbore metadát Control Hub

5

Na karte Cisco Webex v Okta sa posuňte na položku Rozšírené nastavenia a potom prilepte hodnoty ID entity a Služba pre spotrebiteľov Assertion , ktoré ste skopírovali zo súboru metadát Control Hub, a potom uložte zmeny.

6

Kliknite na tlačidlo Prihlásiť sa a potom prevezmite súbor metadát Okta. Tento súbor importujete späť do svojej inštancie Control Hub.

Ak chcete používateľom poskytnúť prístup na ich konkrétnu webovú stránku Webex, môžete si v Okta vytvoriť vlastnú aplikáciu. Nastavte webový odkaz, ktorý používateľov nasmeruje na ich jedinečnú webovú adresu Webex. Uistite sa, že ste upravili nastavenia viditeľnosti aplikácie v Okta tak, aby bola táto vlastná ikona aplikácie viditeľná pre používateľov.
7

Kliknite na položku Priradenia, vyberte všetkých používateľov a všetky relevantné skupiny, ktoré chcete priradiť k aplikáciám a službám spravovaným v Control Hub, kliknite na položku Priradiť a potom na tlačidlo Hotovo.

Môžete priradiť používateľa alebo skupinu. Tento krok nepreskakujte; inak nebude vaša integrácia Control Hub a Okta fungovať.

Importujte metadáta IdP a po teste povoľte jednotné prihlásenie

Po exportovaní metadát Webex, konfigurácii vášho IdP a stiahnutí metadát IdP do vášho lokálneho systému ste pripravení ich importovať do vašej Webex organizácie z Control Hub.

Skôr ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba toky iniciované poskytovateľom služieb (spustené SP), takže na túto integráciu musíte použiť test jednotného prihlásenia Control Hub.

1

Vyberte si jednu:

  • Vráťte sa vo svojom prehliadači na stránku Control Hub – výber certifikátu a kliknite na tlačidlo Ďalej.
  • Ak Control Hub už nie je otvorený na karte prehliadača, v zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie, posuňte sa na položku Overenie a potom vyberte položky Akcie > Importovať metadáta.
2

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite na tlačidlo Ďalej.

Ak môžete, mali by ste použiť možnosť Bezpečnejšie . Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné . To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť možnosť Menej bezpečné .

3

Vyberte možnosť Testovať nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, prihlásením overte identitu poskytovateľa identity.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením jednotného prihlásenia. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte metadáta Control Hub do nastavenia IdP.

Ak chcete priamo zobraziť prihlásenie jedným prihlásením, môžete na tejto obrazovke tiež kliknúť na položku Kopírovať adresu URL do schránky a prilepiť ju do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý sa môže nachádzať v existujúcej relácii od vás, keď ste prihlásení.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonať poskytovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub .

Ak chcete vykonať poskytovanie používateľov z Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do Cisco Webex Control Hub .

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatických e-mailov . Dokument obsahuje aj osvedčené postupy na odosielanie komunikácie používateľom vo vašej organizácii.