Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je relácia alebo proces autentifikácie používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, na ktoré majú pridelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Protokol federácie SAML 2.0 (Security Assertion Markup Language) sa používa na poskytovanie overenia SSO medzi Webex cloud a váš poskytovateľ identity (IdP).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača Aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval väzbu POST -> POST

  • SP spustil väzbu PRESMEROVANIE -> POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate od svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie v Webex.

SingleLogout

Aplikácia Webex podporuje jeden profil odhlásenia. In Aplikácia Webex, používateľ sa môže odhlásiť z aplikácie, ktorá používa protokol jednotného odhlásenia SAML na ukončenie relácie a potvrdenie odhlásenia s vaším IdP. Uistite sa, že váš IdP je nakonfigurovaný na SingleLogout.

Integrovať Control Hub s PingFederate


 

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad integračné kroky pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sú zdokumentované. Iné formáty ako napr urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo svojom Webex organizácia (vrátane Aplikácia Webex, Webex stretnutiaa ďalšie služby spravované v Control Hub). Ak tvoj Webex stránka je integrovaná Control Hub, Webex stránka zdedí správu používateľov. Ak nemáte prístup Webex stretnutia týmto spôsobom a nespravuje sa v Control Hub, musíte vykonať samostatnú integráciu, aby ste povolili jednotné prihlásenie Webex stretnutia. (Pozri Nakonfigurujte jednotné prihlásenie pre Webex pre viac informácií o integrácii SSO v správe lokality.)

Predtým ako začneš

Pre SSO a Control Hub, IdP musia spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

Stiahnite si Webex metaúdaje do vášho lokálneho systému

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizáciea potom prejdite na Overeniea potom prepnite na Jednotné prihlásenie nastavenie na spustenie sprievodcu nastavením.

2

Vyberte typ certifikátu pre vašu organizáciu:

  • Vlastnoručne podpísané spoločnosťou Cisco— Odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou—Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ IdP nepodporuje dôveryhodné kotvy).

 

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

3

Stiahnite si súbor metadát.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Nakonfigurujte nové pripojenie k poskytovateľovi služieb

1

Prejdite na svoj administračný portál PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Pod SPOJENIA, vyberte Vytvor nový.

3

Vyberte Na toto pripojenie nepoužívajte šablónu prepínač a potom vyberte Ďalšie.

4

Vyberte Profily SSO prehliadačaa potom kliknite Ďalšie.

5

Vyberte Importovať metadáta tab.

6

Kliknite Vyberte súbor na prehliadanie a importovanie súboru metadát, z ktorého ste stiahli Control Huba potom kliknite Ďalšie.

7

Skontrolujte informácie na karte Všeobecné informácie a potom kliknite hotový.

Nakonfigurujte jednotné prihlásenie prehliadača

1

Na administračnom portáli PingFederate vyberte Nakonfigurujte jednotné prihlásenie prehliadača.

2

Skontrolovať SSO iniciované SP začiarknite políčko a potom kliknite na Ďalšie.

3

Vyberte Nakonfigurujte vytváranie tvrdení.

  1. Zmeňte formát NameID na Prechodné a skontrolujte Okrem prechodného identifikátora uveďte aj atribúty zaškrtávacie políčko.

  2. Rozšírte atribúty zmluvy pridaním pošty a uid atribúty vo formáte urn:oasis:names:tc:SAML:2.0:attrname-format-basic a potom kliknite Ďalšie.

  3. Vyberte Mapovať novú inštanciu adaptéra na výber autentifikačného mechanizmu. Z INŠTALÁCIA ADAPTÉRA v rozbaľovacej ponuke vyberte jeden z predtým nakonfigurovaných mechanizmov autentifikácie a potom kliknite Ďalšie.

  4. Vyberte Získajte ďalšie atribúty z viacerých dátových skladov pomocou jedného mapovania prepínač a potom kliknite Ďalšie.

  5. Vyberte Pridať zdroj atribútu pridajte radič domény Active Directory pre doménu a potom kliknite na Ďalšie.

  6. Zadajte Základné DN a vyberte koreňovú triedu objektov <Show All="" Attributes="">. Do textového poľa Filter zadajte filter LDAP a potom kliknite Ďalšie.

    Záznam musí obsahovať atribút, ktorý očakávate od používateľa. Musí tiež obsahovať hodnotu, na ktorú sa mapuje v zdrojoch LDAP. Napríklad, ak je váš aktívny adresár nastavený na filtrovanie podľa prihlasovacieho atribútu Windows, zadajte sAMAccountName=${Username}.

  7. Vyberte zdroj a hodnotu na mapovanie atribútov tvrdení s atribútmi, ktoré poskytuje úložisko údajov AD. (Do Kritérií vydania nič nezadávajte.)

  8. Overte, či má konfigurácia tvrdenia Mapovanie identity nastavený na Prechodné, Zmluva o atribúte nastavený na uid, a Inštancie adaptéra nastavený na 1.


     

    Atribút uid by mal mapovať na e-mailovú adresu používateľa.

4

Vyberte Konfigurácia nastavení protokolu.

  1. Pri povolených väzbách SAML začiarknite iba možnosť POST a Presmerovať začiarkavacie políčka.

  2. Pre Zásady podpisu vyberte Vždy podpíšte vyhlásenie SAML.

    Nastavenia protokolu by mali vyzerať nasledovne.

  3. Vyberte Konfigurácia poverení na konfiguráciu certifikátu pre tvrdenie.

  4. Vyberte certifikát, ktorý už bol vytvorený pre tvrdenia SAML.

5

Na obrazovke Aktivácia a zhrnutie nastavte Stav pripojenia do Aktívne.

Exportujte metadáta z PingFederate

1

Na hlavnej obrazovke kliknite na Spravovať všetky SP.

2

Nájdite spojenie, ktoré ste práve vytvorili, a kliknite Exportovať metadáta.

3

V rozbaľovacej ponuke vyberte certifikát, ktorý sa má použiť na podpísanie exportovaného súboru.

4

Kliknite Export.

Importujte metadáta IdP a po teste povoľte jednotné prihlásenie

Po exportovaní Webex metaúdaje, nakonfigurujte svojho poskytovateľa identity a stiahnite si metadáta poskytovateľa identity do svojho lokálneho systému, ste pripravení ich importovať do svojho Webex organizácia z Control Hub.

Predtým ako začneš

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba toky iniciované poskytovateľom služieb (spustené SP), takže musíte použiť Control Hub Test SSO pre túto integráciu.

1

Vyberte jedno:

  • Vráťte sa na stránku Control Hub – výber certifikátu vo vašom prehliadači a potom kliknite Ďalšie.
  • Ak Control Hub už nie je otvorený na karte prehliadača, zo zákazníckeho zobrazenia v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overeniea potom vyberte Akcie > Importovať metadáta.
2

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite Ďalšie.

Mali by ste použiť Bezpečnejšie možnosť, ak môžete. Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť Menej bezpečné možnosť. To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.


 

Okta nepodpisuje metadáta, takže si musíte vybrať Menej bezpečné pre integráciu Okta SSO.

3

Vyberte Otestujte nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, overte identitu poskytovateľa identity prihlásením.


 

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

A Aplikácia Webex chyba zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte súbor Control Hub metaúdaje do nastavenia IdP.


 

Ak chcete priamo zobraziť prostredie prihlásenia jedným prihlásením, môžete tiež kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý môže byť v existujúcej relácii od vás, keď ste prihlásení.

4

Vráťte sa do Control Hub kartu prehliadača.

  • Ak bol test úspešný, vyberte Úspešný test. Zapnite SSO a kliknite Ďalšie.
  • Ak bol test neúspešný, vyberte Neúspešný test. Vypnite SSO a kliknite Ďalšie.

 

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.

Čo urobiť ďalej

Použite postupy v Synchronizujte používateľov Okta do Cisco Webex Control Hub ak chcete vykonať poskytovanie používateľov z Okta do cloudu Webex.

Použite postupy v Synchronizujte používateľov služby Azure Active Directory do Cisco Webex Control Hub ak chcete vykonať poskytovanie používateľov z Azure AD do cloudu Webex.

Postup môžete sledovať v Potlačiť automatické e-maily zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii. Dokument obsahuje aj osvedčené postupy na odosielanie komunikácie používateľom vo vašej organizácii.