Enotna prijava in nadzorno središče

Enotna prijava (SSO) je postopek overjanja seje ali uporabnika, ki uporabniku omogoča, da vnese poverilnice za dostop do ene ali več aplikacij. Postopek overja uporabnike za vse aplikacije, do katerih so jim dodeljene pravice. Odpravlja nadaljnja pozive, ko uporabniki med določeno sejo preklapljajo med aplikacijami.

Protokol federacije SAML 2.0 (Security Assertion Markup Language) se uporablja za zagotavljanje overjanja SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex podpira samo profil spletnega brskalnika SSO. V profilu SSO spletnega brskalnika aplikacija Webex podpira naslednje povezave:

  • SP je sprožil POST -> POST vezava

  • SP je sprožil PREUSMERITEV -> POST vezava

Oblika imena ID

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje oblike zapisa NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega ponudnika identitetnih podatkov (IdP), je prvi vnos konfiguriran za uporabo v Webexu.

SingleLogout

Aplikacija Webex podpira profil z eno samo odjavo. V aplikaciji Webex se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol SAML za enkratno odjavo za končanje seje in potrditev odjave s svojim ponudnikom identitetnih storitev (IdP). Prepričajte se, da je vaš ponudnik identitetnih storitev (IdP) konfiguriran za SingleLogout.

Integrirajte nadzorno središče s F5 Big-IP

Konfiguracijski vodniki prikazujejo specifičen primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Druge oblike zapisa, kot je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, bodo delovale za integracijo SSO, vendar ne spadajo pod našo dokumentacijo.

Nastavite to integracijo za uporabnike v vaši organizaciji Webex (vključno z aplikacijo Webex, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je vaše spletno mesto Webex integrirano v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in se ta ne upravlja v storitvi Control Hub, morate izvesti ločeno integracijo, da omogočite enotno prijavo (SSO) za Webex Meetings.

Preden začnete

Za SSO in Control Hub morajo IdP-ji ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti ponudniki identitete konfigurirani na naslednji način:

Prenesite metapodatke Webex v svoj lokalni sistem

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Izberite ponudnika identitete.

5

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

6

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Konfigurirajte zunanjega ponudnika storitev in ponudnika identitete

1

V skrbniškem vmesniku BIG-IP F5 pojdite na Pravilnik o dostopu > SAML> BIG-IP kot ponudnik identitetnih identitet.

2

V razdelku Zunanji SP-priključkiizberite Ustvari > Iz metapodatkov.

3

Vnesite smiselno ime za ime ponudnika storitev, na primer <yourorganizationname>.ciscowebex.com.

4

V razdelku Varnostne nastavitveoznačite naslednja potrditvena polja:

  • Odgovor mora biti podpisan
  • Izjava mora biti podpisana
5

Nazaj na Pravilnik o dostopu > SAML> BIG-IP kot IdPin nato ustvarite novo storitev ponudnika identitete (IdP).

6

Vnesite smiselno ime za ime storitve IdP, na primer CI.

7

Za ID entitete IdP uporabite FQDN strežnika Big-IP z nečim na začetku – na primer https://bigip0a.uc8sevtlab13.com/CI.

8

V razdelku Nastavitve trditveizberite Prehodni identifikator za Vrsta subjekta trditve.

9

Za Vrednost predmeta trditvevrni vrednost e-poštnega naslova uporabnika %{session.ad.last.attr.mail}.

10

Vrne atributa mail in uid z vrednostjo %{session.ad.last.attr.mail}.

11

V razdelku Varnostne nastavitveizberite potrdilo za podpis trditve.

12

Shranite spremembe in nato povežite ponudnika storitev in ponudnika identitete, ki ste ju ustvarili.

Prenesite metapodatke F5 Big-IP

1

Izberite Izvozi storitev IDP.

2

Prepričajte se, da je vrednost Podpiši metapodatke] Da.

3

Prenesite datoteko z metapodatki na namizje ali na mesto, ki ga boste zlahka našli.

Dodaj pravilnik dostopa

1

Pojdi na Pravilnik o dostopu > Profili dostopa > SAML in ustvarite vir SAML za ponudnika identitetnih storitev (IdP), ki ste ga ustvarili.

2

Pojdite v svoj profil za dostop in uredite pravilnik za dostop, ki ga uporabljate za WebEx Messenger CAS.

3

V zavihku Prijava dodajte nov element z imenom Stran za prijavo in pustite privzete vrednosti.

4

Na zavihku Authentication dodajte nov element z imenom AD Auth in kot strežnik navedite svoj Active Directory.

5

Na uspešni veji dodajte AD Query z zavihka Authentication

6

Pojdite na Pravila veje in jih spremenite v Poizvedba AD je posredovana.

7

V uspešni veji AD Query dodajte Napredna dodelitev virov z zavihka Dodelitev.

8

Kliknite Add/Delete in dodajte dva vira SAML z vsemi viri SAML in spletnim vrhom, ki ste ga ustvarili.

9

Za Izberi končnicoizberite Dovoli.

Pravilnik o dostopu bi moral izgledati takole:

Povežite profil dostopa z virtualnim strežnikom

Profil dostopa morate povezati z virtualnim strežnikom, ki ste ga ustvarili.

1

Pojdi na Lokalni promet > Virtualni strežniki.

2

Odprite profile dostopa, da potrdite, da s profilom ni povezan noben virtualni strežnik.

3

Izberite Napredna dodelitev virov.

4

Izberite Add/delete za dodajanje novega vira SAML.

5

Zaprite okna za oblikovanje pravilnika dostopa in uporabite nov pravilnik dostopa.

Uvoz metapodatkov ponudnika identitet in omogočanje enotne prijave po preizkusu

Ko izvozite metapodatke Webex, konfigurirate svojega ponudnika identitet in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v svojo organizacijo Webex iz Control Huba.

Preden začnete

Integracije SSO ne preizkušajte iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test enotne prijave (SSO) Control Hub.

1

Izberite eno:

  • V brskalniku se vrnite na stran Control Hub – izbira potrdila in nato kliknite Naprej.
  • Ponovno odprite Control Hub, če ni več odprt v zavihku brskalnika. V pogledu stranke v Control Hubu pojdite na Upravljanje > Varnost > Preverjanje pristnosti, izberite ponudnika identitete in nato izberite Dejanja > Uvozi metapodatke.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naprej.

Če je mogoče, uporabite možnost Varneje. To je mogoče le, če je vaš ponudnik identitetnih storitev (IdP) za podpisovanje metapodatkov uporabil javni overitelj potrdil (CA).

V vseh drugih primerih morate uporabiti možnost Manj varno. To vključuje tudi primere, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebnega overitelja potrdil.

Okta ne podpisuje metapodatkov, zato morate za integracijo Okta SSO izbrati Manj varno.

3

Izberite Preizkus nastavitve SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). Ta korak prepreči lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite enotno prijavo in kliknite Naprej.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Izklopite enotno prijavo in kliknite Naprej.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne začne veljati, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Če želite uporabnike dodeljevati iz Okte v oblak Webex, uporabite postopke v Sinhronizacija uporabnikov Okta v Cisco Webex Control Hub.

Če želite uporabnike dodeljevati iz storitve Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizacija uporabnikov imenika Azure Active Directory v središče Cisco Webex Control Hub.

Če želite onemogočiti e-poštna sporočila, ki so poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.