Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Integracija nadzornega vozlišča z Microsoft Azure

Webex podpira samo enega IdP za vsako zahtevo za preverjanje pristnosti. Potek avtentikacije je naslednji: Uporabnik > Preverjanje pristnosti Webex > IdP 1 > Preverjanje pristnosti Webex > Uporabnik. To pomeni, da lahko različni uporabniki avtentikacijo opravijo z različnimi identitetnimi ponudniki, vendar uporabnik med enim postopkom avtentikacije ne more preklapljati med več identitetnimi ponudniki. Vsi dodatni koraki, kot je MFA, morajo biti integrirani z enotnim IdP, ki se uporablja za določeno zahtevo.

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Preden začnete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

V Azure Active Directory je zagotavljanje podprto samo v ročnem načinu. Ta dokument obravnava samo integracijo enotne prijave (SSO).

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Konfiguracija nastavitev aplikacije SSO v Azure

Preden začnete

  • Oglejte si Kaj je Azure Active Directory , da bi razumeli zmožnosti IdP v Azure Active Directory.

  • Konfigurirajte Azure Active Directory.

  • Ustvarite lokalne uporabnike ali jih sinhronizirajte z lokalnim sistemom aktivnega imenika.

  • Odprite datoteko z metapodatki storitve Webex, ki ste jo prenesli iz vozlišča Control Hub.

  • Na spletnem mestu Microsoftove dokumentacije je na voljo povezano vodilo .

1

Prijavite se v portal Azure na naslovu https://portal.azure.com s svojimi skrbniškimi poverilnicami.

2

Če ne vidite ikone Azure Active Directory , kliknite More services.

3

Pojdite na Azure Active Directory za vašo organizacijo.

4

Pojdite na Enterprise Applications in nato kliknite Add.

5

Kliknite Dodajte aplikacijo iz galerije.

6

V iskalno polje vnesite Cisco Webex.

7

V podoknu z rezultati izberite Cisco Webex, nato pa kliknite Ustvari , da dodate aplikacijo.

8

Če želite zagotoviti, da se aplikacija Webex, ki ste jo dodali za enotno prijavo, ne prikaže v uporabniškem portalu, odprite novo aplikacijo. V razdelku Upravljanje kliknite Lastnosti in nastavite Vidno uporabnikom? na Ne.

Ne podpiramo, da bi bila aplikacija Webex vidna uporabnikom.

9

Konfiguracija enkratne prijave:

  1. V razdelku Upravljanje kliknite Enotna prijava, nato pa v razdelku Izberite metodo enotne prijave izberite SAML.

  2. Kliknite Upload metadata file in nato izberite datoteko z metapodatki, ki ste jo prenesli iz Control Hub.

    Uvoz metapodatkovne datoteke v Azure

    Nekatera polja se samodejno izpolnijo namesto vas.

  3. V razdelku Manage (Upravljanje) kliknite Set up Single Sign-On with SAML (Nastavitev enotne prijave s SAML), kliknite ikono Edit , da se odpre Basic SAML Configuration (Osnovna konfiguracija SAML).

  4. Kopirajte vrednost URL odgovora in jo prilepite v URL prijave, nato pa shranite spremembe.

10

Pojdite na Upravljanje > Uporabniki in skupine, nato pa izberite ustrezne uporabnike in skupine, ki jim želite odobriti dostop do aplikacije Webex App.

11

Na strani Set up Single Sign-On with SAML v razdelku SAML Signing Certificate kliknite Download , da prenesete Federation Metadata XML in ga shranite v računalnik.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.

Odpravljanje težav z integracijo Azure

Pri testiranju SAML se prepričajte, da uporabljate brskalnik Mozilla Firefox in namestite sledilnik SAML iz https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Preverite trditev, ki prihaja iz Azure, in se prepričajte, da ima pravilno obliko nameid in atribut uid, ki ustreza uporabniku v aplikaciji Webex App.