Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je proces overovania relácie alebo používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, ku ktorým majú udelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Na zabezpečenie overovania SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP) sa používa federačný protokol SAML 2.0 (Security Assertion Markup Language).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval POST -> Väzba POST

  • SP inicioval PRESMEROVANIE -> Väzba POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate zo svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie vo Webexe.

SingleLogot

Aplikácia Webex podporuje profil s jedným odhlásením. V aplikácii Webex sa používateľ môže odhlásiť z aplikácie, ktorá používa protokol SAML single logout na ukončenie relácie a potvrdenie odhlásenia pomocou vášho poskytovateľa identity. Uistite sa, že váš poskytovateľ identity je nakonfigurovaný na SingleLogout.

Integrácia Control Hubu s PingFederate

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad sú zdokumentované kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane aplikácie Webex, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša stránka Webex integrovaná do Control Hub, stránka Webex zdedí správu používateľov. Ak nemáte prístup k službe Webex Meetings týmto spôsobom a nie je spravovaná v Control Hub, musíte vykonať samostatnú integráciu, aby ste pre Webex Meetings povolili jediné prihlásenie.

Predtým, ako začnete

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

Stiahnite si metadáta Webexu do svojho lokálneho systému

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať jednorazové prihlásenie.

4

Vyberte poskytovateľa identity.

5

Vyberte typ certifikátu pre vašu organizáciu:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

6

Stiahnite si súbor s metadátami.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Konfigurácia nového pripojenia poskytovateľa služieb

1

Prejdite na administračný portál PingFederate (https://:9999/pingfederate/app).

2

V časti SP PRIPOJENIAvyberte Vytvoriť nové.

3

Vyberte prepínač Nepoužívať šablónu pre toto pripojenie a potom vyberte Ďalej.

4

Vyberte Profily prehliadača SSOa potom kliknite na Ďalej.

5

Vyberte kartu Importovať metadáta.

6

Kliknite na Vybrať súbor, vyhľadajte a importujte súbor s metadátami, ktorý ste si stiahli z Control Hub, a potom kliknite na Ďalej.

7

Skontrolujte informácie na karte Všeobecné informácie a potom kliknite na tlačidlo Hotovo.

Konfigurácia jednotného prihlásenia v prehliadači

1

Na portáli administrácie PingFederate vyberte možnosť Konfigurovať jednorazové prihlásenie prehliadača.

2

Začiarknite políčko SP-Initiated SSO a potom kliknite na Ďalej.

3

Vyberte Konfigurovať vytvorenie tvrdenia.

  1. Zmeňte formát NameID na Transient a začiarknite políčko Include atribúty okrem prechodného identifikátora.

  2. Rozšírte atribúty zmluvy pridaním atribútov mail a uid vo formáte urn:oasis:names:tc:SAML:2.0:attrname-format-basica potom kliknite na Ďalej.

  3. Vyberte Priradiť novú inštanciu adaptéra a vyberte mechanizmus overovania. V rozbaľovacej ponuke INŠTANCIA ADAPTÉRA vyberte jeden z predtým nakonfigurovaných mechanizmov overovania a potom kliknite na tlačidlo Ďalej.

  4. Vyberte prepínač Načítať ďalšie atribúty z viacerých úložísk údajov pomocou jedného mapovania a potom kliknite na Ďalej.

  5. Vyberte Pridať zdroj atribútu, čím pridáte radič domény služby Active Directory pre doménu, a potom kliknite na Ďalej.

  6. Zadajte základné DN a vyberte koreňovú triedu objektu <Show All Attributes>. Do textového poľa Filter zadajte filter LDAP a potom kliknite na tlačidlo Ďalej.

    Záznam musí obsahovať atribút, ktorý očakávate, že používateľ poskytne. Musí tiež obsahovať hodnotu, na ktorú sa mapuje v zdrojoch LDAP. Napríklad, ak je váš Active Directory nastavený na filtrovanie atribútu prihlásenia do systému Windows, zadajte sAMAccountName=${Username}.

  7. Vyberte zdroj a hodnotu na mapovanie atribútov tvrdenia s atribútmi poskytnutými úložiskom údajov služby AD. (Do políčka Kritériá vydania nezadávajte nič.)

  8. Overte, či je v konfigurácii tvrdení nastavené Mapovanie identity na Prechodné, Zmluva atribútu na uida Inštancie adaptéra na 1.

    Atribút uid by mal byť mapovaný na e-mailovú adresu používateľa.

4

Vyberte Konfigurovať nastavenia protokolu.

  1. V prípade povolených väzieb SAML začiarknite iba políčka POST a Presmerovanie.

  2. V časti Politika podpisovania vyberte možnosť Vždy podpisovať tvrdenie SAML.

    Nastavenia protokolu by mali vyzerať nasledovne.

  3. Vyberte Konfigurovať poverenia na konfiguráciu certifikátu pre dané tvrdenie.

  4. Vyberte certifikát, ktorý už bol vytvorený pre tvrdenia SAML.

5

Na obrazovke Aktivácia a súhrn nastavte Stav pripojenia na Aktívne.

Exportovať metadáta z PingFederate

1

Na hlavnej obrazovke kliknite na Spravovať všetky SP.

2

Nájdite pripojenie, ktoré ste práve vytvorili, a kliknite na Exportovať metadáta.

3

Z rozbaľovacej ponuky vyberte certifikát, ktorý sa má použiť na podpísanie exportovaného súboru.

4

Kliknite na Exportovať.

Importovať metadáta IdP a povoliť jednotné prihlásenie po teste

Po exporte metadát Webex, konfigurácii poskytovateľa identity a stiahnutí metadát IdP do lokálneho systému ich môžete importovať do svojej organizácie Webex z Control Hub.

Predtým, ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba postupy iniciované poskytovateľom služieb (SP), takže pre túto integráciu musíte použiť test SSO cez Control Hub.

1

Vyberte si jeden:

  • Vráťte sa na stránku výberu certifikátu v časti Control Hub vo vašom prehliadači a potom kliknite na tlačidlo Ďalej.
  • Ak už nie je otvorené na karte prehliadača, znova otvorte Control Hub. V zobrazení zákazníka v aplikácii Control Hub prejdite na Správa > Bezpečnosť > Autentifikácia, vyberte poskytovateľa identity a potom zvoľte Akcie > Importovať metadáta.
2

Na stránke Importovať metadáta IdP buď presuňte súbor s metadátami IdP na stránku, alebo použite prehliadač súborov na vyhľadanie a nahranie súboru s metadátami. Kliknite na Ďalej.

Ak je to možné, mali by ste použiť možnosť Bezpečnejšie. Toto je možné iba v prípade, že váš poskytovateľ identity použil na podpisovanie svojich metadát verejnú certifikačnú autoritu.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné. To zahŕňa aj prípady, keď metadáta nie sú podpísané, samopodpísané alebo podpísané súkromnou certifikačnou autoritou.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť Menej bezpečné.

3

Vyberte Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete priamo zobraziť prihlasovacie prostredie SSO, môžete tiež kliknúť na túto obrazovku na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Tento krok zabráni falošne pozitívnym výsledkom kvôli prístupovému tokenu, ktorý môže byť v existujúcej relácii z dôvodu vášho prihlásenia.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite SSO a kliknite na Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite SSO a kliknite na Ďalej.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonávať zriaďovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub.

Ak chcete vykonávať poskytovanie používateľov mimo služby Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do služby Cisco Webex Control Hub.

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.