Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizáciea potom prejdite na Overeniea potom prepnite na Jednotné prihlásenie nastavenie na spustenie sprievodcu nastavením.

Vyberte typ certifikátu pre vašu organizáciu:

• Vlastnoručne podpísané spoločnosťou Cisco— Odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
• Podpísané verejnou certifikačnou autoritou—Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

Stiahnite si súbor metadát.

Prejdite do adresára /opt/shibboleth-idp/conf pre prístup k vzorovým súborom.

Rozhodnite sa, ktorú metódu autorizácie použiť – napríklad väzbu LDAP na Active Directory.

Upravte handler.xml súbor takto:

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>

Vyplňte podrobnosti o svojom Active Directory, aby ste umožnili overenie. Poskytnite konfiguráciu súboru login.config.

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Pridajte súbor, ktorý ste stiahli z Webex SP do adresára /opt/shibboleth-idp/metadata.

Upravte spoliehajúca sa strana.xml súbor; za značku DefaultRelyingParty pridajte podrobnosti o výraze SAML pre Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Do značky metadata:MetadataProvider pridajte umiestnenie súboru:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

V časti Data Connector zadajte, kde sa majú získať atribúty o vašich používateľoch.

Active Directory s ID MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>

V sekcii Definícia atribútu ponechajte to, čo je už v konfigurácii pre transientID.

Pridajte ďalší atribút, ktorý SP očakáva, a definujte, na čo sa mapuje v zdroji atribútov.

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

Definujte, ktorý atribút sa má poskytnúť každej zmluve o SP v atribút-filter.xml súbor.

Uvoľnite atribút uid k zmluve SP s Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Pravidlo, ktoré ste vytvorili v atribút-resolver.xml by mal mať politiku uvoľnenia atribútu mail-attr k ID entity, ktoré sa zhoduje Webex.

Stiahnite si súbor metadát zo servera Shibboleth v /opt/shibboleth-idp/metadata. Názov súboru je idp-metadata.xml.

Vyberte jedno:

• Vráťte sa na stránku Control Hub – výber certifikátu vo vašom prehliadači a potom kliknite Ďalšie.
• Ak Control Hub už nie je otvorený na karte prehliadača, zo zákazníckeho zobrazenia v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overeniea potom vyberte Akcie > Importovať metadáta.

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite Ďalšie.

Mali by ste použiť Bezpečnejšie možnosť, ak môžete. Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť Menej bezpečné možnosť. To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.

Okta nepodpisuje metadáta, takže si musíte vybrať Menej bezpečné pre integráciu Okta SSO.

Vyberte Otestujte nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, overte identitu poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova. A Aplikácia Webex chyba zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte súbor Control Hub metaúdaje do nastavenia IdP.

Ak chcete priamo zobraziť prostredie prihlásenia jedným prihlásením, môžete tiež kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý môže byť v existujúcej relácii od vás, keď ste prihlásení.

Vráťte sa do Control Hub kartu prehliadača.

• Ak bol test úspešný, vyberte Úspešný test. Zapnite SSO a kliknite Ďalšie.
• Ak bol test neúspešný, vyberte Neúspešný test. Vypnite SSO a kliknite Ďalšie.

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.