Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Enotni odjava

Aplikacija Webex App podpira enotni profil odjave. V aplikaciji Webex App se lahko uporabnik odjavi iz aplikacije, ki s protokolom SAML za enkratno odjavo zaključi sejo in potrdi odjavo z vašim IdP. Prepričajte se, da je vaš IdP konfiguriran za enkratno odjavo.

Integracija Control Hub z Google Apps

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Preden začnete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Konfiguracija aplikacije po meri v programu Google Admin

1

Prijavite se v upraviteljsko konzolo Google Apps ( https://admin.google.com) z računom z upraviteljskimi pravicami in nato kliknite Aplikacije > Spletne in mobilne aplikacije.

2

V spustnem seznamu Dodaj aplikacijo kliknite Dodaj aplikacijo SAML po meri.

3

Na strani z informacijami o Googlovem Idp v razdelku Option 1 kliknite DOWNLOAD METADATA in shranite datoteko na enostavno mesto v lokalnem sistemu.

Prenesena je datoteka z Googlovimi metapodatki. Oblika imena datoteke je GoogleIDPMetadata-.xml.

4

Kliknite NEXT.

5

Na strani Basic information for your Custom App vnesite ime aplikacije Webex App in kliknite NEXT.

6

Če želite izpolniti stran Podrobnosti o ponudniku storitev , v urejevalniku besedila odprite datoteko z metapodatki Webex, ki ste jo prenesli prej.

  1. V datoteki metapodatkov Webex poiščite AssertionConsumerService in kopirajte naslov URL, ki sledi ključni besedi Location, ter ga prilepite v polje ACS URL na strani Service Provider Details.

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp

  2. V datoteki metapodatkov Webex poiščite entityID in kopirajte naslov URL, ki sledi, v polje Entity ID na strani Service Provider Details.

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c

  3. Ime ID je treba nastaviti na Osnovne informacije in Primarni e-poštni naslov.

  4. Ime ID Format je treba nastaviti na UNSPECIFIED

  5. Prikazovanje atributov ni potrebno, zato na strani Attribute Mapping kliknite FINISH.

Ko je aplikacija Webex SAML ustvarjena, jo morate omogočiti uporabnikom.

7

Kliknite navpične pike na desni strani aplikacije Webex SAML in izberite eno:

  • Vključeno za vse
  • Vklopljeno za nekatere organizacije (in nato izberite organizacije).

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.