Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je proces overovania relácie alebo používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, ku ktorým majú udelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Na zabezpečenie overovania SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP) sa používa federačný protokol SAML 2.0 (Security Assertion Markup Language).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval POST -> Väzba POST

  • SP inicioval PRESMEROVANIE -> Väzba POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate zo svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie vo Webexe.

SingleLogot

Aplikácia Webex podporuje profil s jedným odhlásením. V aplikácii Webex sa používateľ môže odhlásiť z aplikácie, ktorá používa protokol SAML single logout na ukončenie relácie a potvrdenie odhlásenia pomocou vášho poskytovateľa identity. Uistite sa, že váš poskytovateľ identity je nakonfigurovaný na SingleLogout.

Integrácia Control Hubu so SimpleSAML

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad sú zdokumentované kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane aplikácie Webex, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša stránka Webex integrovaná do Control Hub, stránka Webex zdedí správu používateľov. Ak nemáte prístup k službe Webex Meetings týmto spôsobom a nie je spravovaná v Control Hub, musíte vykonať samostatnú integráciu, aby ste pre Webex Meetings povolili jediné prihlásenie.

Predtým, ako začnete

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

Stiahnite si metadáta Webexu do svojho lokálneho systému

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať jednorazové prihlásenie.

4

Vyberte poskytovateľa identity.

5

Vyberte typ certifikátu pre vašu organizáciu:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

6

Stiahnite si súbor s metadátami.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Konvertovať metadáta

1

Otvorte exportovaný súbor metadát Webexu v textovom editore.

2

V prehliadači otvorte domovskú stránku simpleSAML a prihláste sa pomocou svojich administrátorských prihlasovacích údajov.

Umiestnenie domovskej stránky sa líši, ale zvyčajne je podobné tejto vzorovej URL adrese: https://yourcompany.yourdomain.com/simplesaml.

3

Na hlavnej stránke kliknite na Federácia.

4

V časti Nástroje vykonajte konverziu XML na Simple SAML XML.

5

Skopírujte metadáta Webexu z textového editora a potom ich vložte do poľa na konverziu XML.

6

Kliknite na Analyzovať.

Zobrazia sa konvertované metadáta. Tieto údaje pridáte do textového súboru vzdialeného SP.

Vytvoriť súbor metadát poskytovateľa vzdialených služieb

Tieto kroky slúžia ako príklad. Adresár metadát a hostiteľ IdP sa líšia v závislosti od nastavenia vášho klienta.

Predtým, ako začnete

Uvedomte si atribúty, ktoré musíte odovzdať, a podľa toho ich namapujte úpravou súboru s metadátami saml20-idp-hosted.php. (Napríklad uid, mail, email atď.). Pozrite si príklad metadát:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

V konfigurácii SimpleSAML na hostiteľovi prejdite do adresára metadát.

2

Pomocou textového editora vložte analyzované údaje na koniec súboru saml20-sp-remote.php a uložte súbor.

3

Vráťte sa na úvodnú stránku SimpleSAML, kliknite na Federáciaa potom zobrazte metadáta pre poskytovateľa identity.

4

Vložte údaje do nového textového súboru.

5

Uložte aktualizovaný súbor na plochu s výstižným názvom, napríklad simplesaml-metadata.xml.

Importovať metadáta IdP a povoliť jednotné prihlásenie po teste

Po exporte metadát Webex, konfigurácii poskytovateľa identity a stiahnutí metadát IdP do lokálneho systému ich môžete importovať do svojej organizácie Webex z Control Hub.

Predtým, ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba postupy iniciované poskytovateľom služieb (SP), takže pre túto integráciu musíte použiť test SSO cez Control Hub.

1

Vyberte si jeden:

  • Vráťte sa na stránku výberu certifikátu v časti Control Hub vo vašom prehliadači a potom kliknite na tlačidlo Ďalej.
  • Ak už nie je otvorené na karte prehliadača, znova otvorte Control Hub. V zobrazení zákazníka v aplikácii Control Hub prejdite na Správa > Bezpečnosť > Autentifikácia, vyberte poskytovateľa identity a potom zvoľte Akcie > Importovať metadáta.
2

Na stránke Importovať metadáta IdP buď presuňte súbor s metadátami IdP na stránku, alebo použite prehliadač súborov na vyhľadanie a nahranie súboru s metadátami. Kliknite na Ďalej.

Ak je to možné, mali by ste použiť možnosť Bezpečnejšie. Toto je možné iba v prípade, že váš poskytovateľ identity použil na podpisovanie svojich metadát verejnú certifikačnú autoritu.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné. To zahŕňa aj prípady, keď metadáta nie sú podpísané, samopodpísané alebo podpísané súkromnou certifikačnou autoritou.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť Menej bezpečné.

3

Vyberte Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete priamo zobraziť prihlasovacie prostredie SSO, môžete tiež kliknúť na túto obrazovku na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Tento krok zabráni falošne pozitívnym výsledkom kvôli prístupovému tokenu, ktorý môže byť v existujúcej relácii z dôvodu vášho prihlásenia.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite SSO a kliknite na Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite SSO a kliknite na Ďalej.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonávať zriaďovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub.

Ak chcete vykonávať poskytovanie používateľov mimo služby Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do služby Cisco Webex Control Hub.

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.