Enotna prijava in nadzorno središče

Enotna prijava (SSO) je postopek overjanja seje ali uporabnika, ki uporabniku omogoča, da vnese poverilnice za dostop do ene ali več aplikacij. Postopek overja uporabnike za vse aplikacije, do katerih so jim dodeljene pravice. Odpravlja nadaljnja pozive, ko uporabniki med določeno sejo preklapljajo med aplikacijami.

Protokol federacije SAML 2.0 (Security Assertion Markup Language) se uporablja za zagotavljanje overjanja SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex podpira samo profil spletnega brskalnika SSO. V profilu SSO spletnega brskalnika aplikacija Webex podpira naslednje povezave:

  • SP je sprožil POST -> POST vezava

  • SP je sprožil PREUSMERITEV -> POST vezava

Oblika imena

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje oblike zapisa NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega ponudnika identitetnih podatkov (IdP), je prvi vnos konfiguriran za uporabo v Webexu.

SingleLogout

Aplikacija Webex podpira profil z eno samo odjavo. V aplikaciji Webex se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol SAML za enkratno odjavo za končanje seje in potrditev odjave s svojim ponudnikom identitetnih storitev (IdP). Prepričajte se, da je vaš ponudnik identitetnih storitev (IdP) konfiguriran za SingleLogout.

Integrirajte Control Hub z Google Apps

Konfiguracijski vodniki prikazujejo specifičen primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Druge oblike zapisa, kot je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, bodo delovale za integracijo SSO, vendar ne spadajo pod našo dokumentacijo.

Nastavite to integracijo za uporabnike v vaši organizaciji Webex (vključno z aplikacijo Webex, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je vaše spletno mesto Webex integrirano v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in se ta ne upravlja v storitvi Control Hub, morate izvesti ločeno integracijo, da omogočite enotno prijavo (SSO) za Webex Meetings.

Preden začnete

Za SSO in Control Hub morajo IdP-ji ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti ponudniki identitete konfigurirani na naslednji način:

Prenesite metapodatke Webex v svoj lokalni sistem

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Izberite ponudnika identitete.

5

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

6

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Konfigurirajte aplikacijo po meri v Google Admin

1

Prijavite se v skrbniško konzolo za Google Apps ( https://admin.google.com) z računom s skrbniškimi dovoljenji in nato kliknite Aplikacije > Spletne in mobilne aplikacije.

2

V spustnem meniju Dodaj aplikacijo kliknite Dodaj aplikacijo SAML po meri.

3

Na strani z informacijami o Googlovem ponudniku identitete v razdelku Možnost 1 kliknite PRENESI METADATA in shranite datoteko na mesto v vašem lokalnem sistemu, ki ga boste zlahka našli.

Datoteka z metapodatki Googla se prenese. Oblika imena datoteke je GoogleIDPMetadata-.xml.

4

Kliknite NAPREJ.

5

Na strani Osnovne informacije za vašo aplikacijo po meri vnesite ime aplikacije Aplikacija Webex in kliknite NAPREJ.

6

Če želite izpolniti stran Podrobnosti o ponudniku storitev, v urejevalniku besedil odprite datoteko z metapodatki Webex, ki ste jo prej prenesli.

  1. V datoteki z metapodatki Webex poiščite AssertionConsumerService in kopirajte URL, ki sledi ključni besedi Lokacija, ter ga prilepite v polje URL ACS na strani s podrobnostmi o ponudniku storitev.

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp

  2. V datoteki z metapodatki Webex poiščite entityID in kopirajte URL, ki sledi, v polje Entity ID na strani s podrobnostmi ponudnika storitev.

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c

  3. ID imena mora biti nastavljen na Osnovne podatke in Primarni e-poštni naslov

  4. Oblika ID-ja imena mora biti nastavljena na NEDOLOČENO

  5. Preslikave atributov niso potrebne, zato na strani Preslikava atributov kliknite KONČAJ

Ko je aplikacija Webex SAML ustvarjena, jo morate omogočiti za uporabnike.

7

Kliknite navpične pike na desni strani aplikacije Webex SAML in izberite eno od teh možnosti:

  • Vklopljeno za vse
  • Vklopljeno za nekatere organizacije (in nato izberite organizacije)

Uvoz metapodatkov ponudnika identitet in omogočanje enotne prijave po preizkusu

Ko izvozite metapodatke Webex, konfigurirate svojega ponudnika identitet in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v svojo organizacijo Webex iz Control Huba.

Preden začnete

Integracije SSO ne preizkušajte iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test enotne prijave (SSO) Control Hub.

1

Izberite eno:

  • V brskalniku se vrnite na stran Control Hub – izbira potrdila in nato kliknite Naprej.
  • Ponovno odprite Control Hub, če ni več odprt v zavihku brskalnika. V pogledu stranke v Control Hubu pojdite na Upravljanje > Varnost > Preverjanje pristnosti, izberite ponudnika identitete in nato izberite Dejanja > Uvozi metapodatke.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naprej.

Če je mogoče, uporabite možnost Varneje. To je mogoče le, če je vaš ponudnik identitetnih storitev (IdP) za podpisovanje metapodatkov uporabil javni overitelj potrdil (CA).

V vseh drugih primerih morate uporabiti možnost Manj varno. To vključuje tudi primere, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebnega overitelja potrdil.

Okta ne podpisuje metapodatkov, zato morate za integracijo Okta SSO izbrati Manj varno.

3

Izberite Preizkus nastavitve SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). Ta korak prepreči lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite enotno prijavo in kliknite Naprej.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Izklopite enotno prijavo in kliknite Naprej.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne začne veljati, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Če želite uporabnike dodeljevati iz Okte v oblak Webex, uporabite postopke v Sinhronizacija uporabnikov Okta v Cisco Webex Control Hub.

Če želite uporabnike dodeljevati iz storitve Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizacija uporabnikov imenika Azure Active Directory v središče Cisco Webex Control Hub.

Če želite onemogočiti e-poštna sporočila, ki so poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.