Enotna prijava in Nadzorno središče

Enotna prijava (SSO) je seja ali postopek preverjanja pristnosti uporabnika, ki uporabniku omogoča, da zagotovi poverilnice za dostop do ene ali več aplikacij. Postopek preverja pristnost uporabnikov za vse aplikacije, za katere so jim podeljene pravice. Odpravlja dodatne pozive, ko uporabniki zamenjajo aplikacije med določeno sejo.

Protokol federacije Security Assertion Markup Language (SAML 2.0) se uporablja za zagotavljanje avtentikacije SSO med Webex oblak in vaš ponudnik identitete (IdP).

Profili

Aplikacija Webex podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika, Aplikacija Webex podpira naslednje vezave:

  • SP je sprožil povezovanje POST -> POST

  • SP je sprožil vezavo REDIRECT -> POST

Oblika imena ID

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega IdP, je prvi vnos konfiguriran za uporabo v Webex.

SingleLogout

Aplikacija Webex podpira enoten profil za odjavo. notri Aplikacija Webex, se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol za enojno odjavo SAML za zaključek seje in potrdi odjavo s svojim IdP. Zagotovite, da je vaš IdP konfiguriran za SingleLogout.

Integriraj Nadzorno središče s PingFederate


 

Konfiguracijski vodniki prikazujejo poseben primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient so dokumentirani. Drugi formati, kot npr urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

Nastavite to integracijo za uporabnike v svojem Webex organizacija (vključno z Aplikacija Webex, Sestanki Webex, in druge storitve, ki se izvajajo v Nadzorno središče). Če tvoj Webex spletno mesto je integrirano v Nadzorno središče, the Webex spletno mesto podeduje upravljanje uporabnikov. Če ne morete dostopati Sestanki Webex na ta način in se ne upravlja v Nadzorno središče, morate narediti ločeno integracijo, da omogočite enotno prijavo za Sestanki Webex. (Glej Konfigurirajte enotno prijavo za Webex za več informacij o integraciji SSO v administraciji mesta.)

Preden začneš

Za SSO in Nadzorno središče, morajo IdP ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti IdP-ji konfigurirani na naslednji način:

Prenesite Webex metapodatkov v vaš lokalni sistem

1

Iz pogleda stranke v https://admin.webex.com, Pojdi do Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti, nato pa vklopite Enotna prijava nastavitev za zagon čarovnika za namestitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisca— Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega potrdila— Bolj varno, vendar boste morali pogosto posodabljati metapodatke (razen če vaš dobavitelj IdP podpira sidra zaupanja).

 

Sidra zaupanja so javni ključi, ki delujejo kot avtoriteta za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identifikacije.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Konfigurirajte novo povezavo ponudnika storitev

1

Pojdite na portal za administracijo PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

Spodaj SP PRIKLJUČKI, izberite Ustvari novo.

3

Izberite Za to povezavo ne uporabljajte predloge izbirni gumb, nato izberite Naslednji.

4

Izberite Profili SSO brskalnika, nato kliknite Naslednji.

5

Izberite Uvoz metapodatkov zavihek.

6

Kliknite Izberite datoteko za brskanje in uvoz datoteke z metapodatki, iz katere ste prenesli Nadzorno središčein nato kliknite Naslednji.

7

Preglejte informacije v zavihku Splošne informacije in kliknite Končano.

Konfigurirajte enotno prijavo brskalnika

1

Na portalu za administracijo PingFederate izberite Konfigurirajte enotno prijavo brskalnika.

2

Preverite SSO, ki ga sproži SP potrditveno polje in nato kliknite Naslednji.

3

Izberite Konfigurirajte ustvarjanje trditve.

  1. Spremenite obliko imenaID v Prehodno in preverite Poleg prehodnega identifikatorja vključite atribute potrditveno polje.

  2. Razširite pogodbene atribute z dodajanjem pošta in uid atributi v formatu urn:oasis:names:tc:SAML:2.0:attrname-format-basic, nato kliknite Naslednji.

  3. Izberite Preslikava novega primerka adapterja da izberete mehanizem za preverjanje pristnosti. Iz PRIMEREK ADAPTERJA spustnem meniju izberite enega od predhodno konfiguriranih mehanizmov za preverjanje pristnosti in kliknite Naslednji.

  4. Izberite Pridobite dodatne atribute iz več shramb podatkov z uporabo enega preslikave izbirni gumb, nato kliknite Naslednji.

  5. Izberite Dodajanje vira atributa da dodate krmilnik domene Active Directory za domeno, in nato kliknite Naslednji.

  6. Določite Osnovni DN in izberite razred korenskega objekta <Show All="" Attributes="">. V besedilno polje Filter vnesite filter LDAP in kliknite Naslednji.

    Vnos mora vsebovati atribut, ki ga pričakujete od uporabnika. Vsebovati mora tudi vrednost, v katero se preslika v virih LDAP. Na primer, če je vaš aktivni imenik nastavljen na filtriranje atributa za prijavo v Windows, vnesite sAMAccountName=${uporabniško ime}.

  7. Izberite vir in vrednost za preslikavo atributov trditve z atributi, ki jih zagotavlja shramba podatkov AD. (Ne vnesite ničesar za merila izdaje.)

  8. Preverite, ali ima konfiguracija trditve Preslikava identitete nastavljena Prehodno, Atributna pogodba nastavljena uid, in Primerki adapterjev nastavljena 1.


     

    Atribut uid bi se moral preslikati v e-poštni naslov uporabnika.

4

Izberite Konfigurirajte nastavitve protokola.

  1. Za dovoljene vezave SAML označite samo OBJAVI in Preusmeri potrditvena polja.

  2. Za pravilnik o podpisu izberite Vedno podpišite izjavo SAML.

    Nastavitve protokola bi morale izgledati takole.

  3. Izberite Konfigurirajte poverilnice da konfigurirate potrdilo za trditev.

  4. Izberite potrdilo, ki je že bilo ustvarjeno za trditve SAML.

5

Na zaslonu Aktivacija in povzetek nastavite Stanje povezave do Aktiven.

Izvoz metapodatkov iz PingFederate

1

Na glavnem zaslonu kliknite Upravljanje vseh SP.

2

Poiščite povezavo, ki ste jo pravkar ustvarili, in kliknite Izvoz metapodatkov.

3

V spustnem meniju izberite potrdilo, ki ga želite uporabiti za podpisovanje izvožene datoteke.

4

Kliknite Izvozi.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite Webex metapodatkov, konfigurirajte svoj IdP in prenesite metapodatke IdP v svoj lokalni sistem, ste pripravljeni, da jih uvozite v svoj Webex organizacija iz Nadzorno središče.

Preden začneš

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP-iniciator), zato morate uporabiti Nadzorno središče Preizkus SSO za to integracijo.

1

Izberi eno:

  • Vrnite se na Control Hub – stran za izbiro potrdila v brskalniku in kliknite Naslednji.
  • Če Control Hub ni več odprt na zavihku brskalnika, iz pogleda stranke v https://admin.webex.com, Pojdi do Upravljanje > Nastavitve organizacije, pomaknite se do Preverjanje pristnostiin nato izberite Dejanja > Uvoz metapodatkov.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naslednji.

Moral bi uporabiti Bolj varno možnost, če lahko. To je mogoče le, če je vaš IdP za podpis svojih metapodatkov uporabil javno CA.

V vseh drugih primerih morate uporabiti Manj varen možnost. To vključuje tudi, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebne CA.


 

Okta ne podpisuje metapodatkov, zato morate izbrati Manj varen za integracijo Okta SSO.

3

Izberite Preizkusite nastavitev SSO , in ko se odpre nov zavihek brskalnika, preverite pristnost z IdP tako, da se prijavite.


 

Če prejmete napako pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

A Aplikacija Webex napaka običajno pomeni težavo z nastavitvijo SSO. V tem primeru se znova pomaknite skozi korake, zlasti korake, kjer kopirate in prilepite Nadzorno središče metapodatkov v nastavitev IdP.


 

Če si želite neposredno ogledati izkušnjo prijave v SSO, lahko tudi kliknete Kopiraj URL v odložišče s tega zaslona in ga prilepite v zasebno okno brskalnika. Od tam se lahko sprehodite skozi prijavo s sistemom SSO. Ta korak prepreči lažne pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnitev na Nadzorno središče zavihek brskalnika.

  • Če je bil preizkus uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naslednji.
  • Če je bil preizkus neuspešen, izberite Neuspešen test. Izklop SSO in kliknite Naslednji.

 

Konfiguracija SSO ne začne veljati v vaši organizaciji, razen če izberete prvi izbirni gumb in aktivirate SSO.

Kaj storiti naprej

Uporabite postopke v Sinhronizirajte uporabnike Okta v Cisco Webex Control Hub če želite omogočiti uporabnike iz Okte v oblak Webex.

Uporabite postopke v Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub če želite omogočiti uporabnike iz storitve Azure AD v oblak Webex.

Postopek lahko sledite v Onemogoči samodejno pošiljanje e-pošte da onemogočite e-pošto, ki se pošilja novim uporabnikom aplikacije Webex v vaši organizaciji. Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.