Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je proces overovania relácie alebo používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, ku ktorým majú udelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Na zabezpečenie overovania SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP) sa používa federačný protokol SAML 2.0 (Security Assertion Markup Language).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval POST -> Väzba POST

  • SP inicioval PRESMEROVANIE -> Väzba POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate zo svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie vo Webexe.

Integrácia Control Hubu s Microsoft Azure

Webex podporuje iba jedného IdP pre každú požiadavku na overenie. Postup overovania je nasledovný: Používateľ > Overovanie Webexu > IdP 1 > Overovanie Webexu > Používateľ. To znamená, že hoci sa rôzni používatelia môžu autentifikovať pomocou rôznych poskytovateľov identity (IdP), používateľ nemôže počas jedného procesu autentifikácie prepínať medzi viacerými poskytovateľmi identity. Akékoľvek ďalšie kroky, ako napríklad MFA, musia byť integrované s jedným poskytovateľom identity (IdP) používaným pre danú požiadavku.

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad sú zdokumentované kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane aplikácie Webex, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša stránka Webex integrovaná do Control Hub, stránka Webex zdedí správu používateľov. Ak nemáte prístup k službe Webex Meetings týmto spôsobom a nie je spravovaná v Control Hub, musíte vykonať samostatnú integráciu, aby ste pre Webex Meetings povolili jediné prihlásenie.

Predtým, ako začnete

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

  • V službe Azure Active Directory je poskytovanie podporované iba v manuálnom režime. Tento dokument sa zaoberá iba integráciou jednotného prihlásenia (SSO).
  • Existujúci zákazníci Webexu s predchádzajúcimi konfiguráciami federácie sa môžu stretnúť s problémami so štandardnou šablónou Entra ID Webex z dôvodu zmien v atribútoch SAML. Odporúčame vám nastaviť vlastnú federáciu Entra ID, aby ste tento problém vyriešili pomocou predchádzajúcich nastavení SAML. Uistite sa, že ste vykonali test SSO v Control Hub, aby ste zabezpečili kompatibilitu a vyriešili akékoľvek nezrovnalosti.

Stiahnite si metadáta Webexu do svojho lokálneho systému

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať jednorazové prihlásenie.

4

Vyberte poskytovateľa identity.

5

Vyberte typ certifikátu pre vašu organizáciu:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

6

Stiahnite si súbor s metadátami.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Konfigurácia nastavení aplikácie SSO v Azure

Predtým, ako začnete

1

Prihláste sa do portálu Azure na adrese https://portal.azure.com pomocou svojich prihlasovacích údajov správcu.

2

Ak ikonu Azure Active Directory nevidíte, kliknite na položku Ďalšie služby.

3

Prejdite do Azure Active Directory pre vašu organizáciu.

4

Prejdite na Podnikové aplikácie a potom kliknite na Pridať.

5

Kliknite na Pridať aplikáciu z galérie.

6

Do vyhľadávacieho poľa zadajte Cisco Webex.

7

V paneli s výsledkami vyberte možnosť Cisco Webexa potom kliknite na tlačidlo Vytvoriť, čím pridáte aplikáciu.

8

Ak chcete zabezpečiť, aby sa aplikácia Webex, ktorú ste pridali pre jednotné prihlásenie, nezobrazovala na používateľskom portáli, otvorte novú aplikáciu. V časti Spravovaťkliknite na Vlastnostia nastavte možnosť Viditeľné pre používateľov? na Nie.

Nepodporujeme zviditeľnenie aplikácie Webex pre používateľov.

9

Konfigurácia jednotného prihlásenia:

  1. V časti Spravovaťkliknite na Jednotné prihláseniea potom v časti Vybrať metódu jednotného prihláseniavyberte SAML.

  2. Kliknite na Nahrať súbor s metadátami a potom vyberte súbor s metadátami, ktorý ste si stiahli z Control Hub.

    Importovať súbor s metadátami v Azure

    Niektoré polia sa pre vás vyplnia automaticky.

  3. V časti Spravovať kliknite na Nastaviť jednotné prihlásenie pomocou SAML, kliknite na ikonu Upraviť a otvorte Základnú konfiguráciu SAML.

  4. Skopírujte hodnotu URL odpovede a vložte ju do URL prihláseniaa potom uložte zmeny.

10

Prejsť na Spravovať > Používatelia a skupinya potom vyberte príslušných používateľov a skupiny, ktorým chcete udeliť prístup k aplikácii Webex.

11

Na stránke Nastavenie jednotného prihlásenia pomocou SAML v časti Podpisový certifikát SAML kliknite na Stiahnuť a stiahnite si súbor XML federačných metadát a uložte ho do počítača.

Importovať metadáta IdP a povoliť jednotné prihlásenie po teste

Po exporte metadát Webex, konfigurácii poskytovateľa identity a stiahnutí metadát IdP do lokálneho systému ich môžete importovať do svojej organizácie Webex z Control Hub.

Predtým, ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba postupy iniciované poskytovateľom služieb (SP), takže pre túto integráciu musíte použiť test SSO cez Control Hub.

1

Vyberte si jeden:

  • Vráťte sa na stránku výberu certifikátu v časti Control Hub vo vašom prehliadači a potom kliknite na tlačidlo Ďalej.
  • Ak už nie je otvorené na karte prehliadača, znova otvorte Control Hub. V zobrazení zákazníka v aplikácii Control Hub prejdite na Správa > Bezpečnosť > Autentifikácia, vyberte poskytovateľa identity a potom zvoľte Akcie > Importovať metadáta.
2

Na stránke Importovať metadáta IdP buď presuňte súbor s metadátami IdP na stránku, alebo použite prehliadač súborov na vyhľadanie a nahranie súboru s metadátami. Kliknite na Ďalej.

Ak je to možné, mali by ste použiť možnosť Bezpečnejšie. Toto je možné iba v prípade, že váš poskytovateľ identity použil na podpisovanie svojich metadát verejnú certifikačnú autoritu.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné. To zahŕňa aj prípady, keď metadáta nie sú podpísané, samopodpísané alebo podpísané súkromnou certifikačnou autoritou.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť Menej bezpečné.

3

Vyberte Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete priamo zobraziť prihlasovacie prostredie SSO, môžete tiež kliknúť na túto obrazovku na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Tento krok zabráni falošne pozitívnym výsledkom kvôli prístupovému tokenu, ktorý môže byť v existujúcej relácii z dôvodu vášho prihlásenia.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite SSO a kliknite na Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite SSO a kliknite na Ďalej.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonávať zriaďovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub.

Ak chcete vykonávať poskytovanie používateľov mimo služby Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do služby Cisco Webex Control Hub.

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.

Riešenie problémov s integráciou Azure

Pri vykonávaní testu SAML sa uistite, že používate prehliadač Mozilla Firefox a máte nainštalovaný sledovací nástroj SAML z https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Skontrolujte tvrdenie, ktoré pochádza z Azure, aby ste sa uistili, že má správny formát nameid a atribút uid, ktorý zodpovedá používateľovi v aplikácii Webex.