Enotna prijava in nadzorno središče

Enotna prijava (SSO) je postopek overjanja seje ali uporabnika, ki uporabniku omogoča, da vnese poverilnice za dostop do ene ali več aplikacij. Postopek overja uporabnike za vse aplikacije, do katerih so jim dodeljene pravice. Odpravlja nadaljnja pozive, ko uporabniki med določeno sejo preklapljajo med aplikacijami.

Protokol federacije SAML 2.0 (Security Assertion Markup Language) se uporablja za zagotavljanje overjanja SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex podpira samo profil spletnega brskalnika SSO. V profilu SSO spletnega brskalnika aplikacija Webex podpira naslednje povezave:

  • SP je sprožil POST -> POST vezava

  • SP je sprožil PREUSMERITEV -> POST vezava

Oblika imena

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje oblike zapisa NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega ponudnika identitetnih podatkov (IdP), je prvi vnos konfiguriran za uporabo v Webexu.

SingleLogout

Aplikacija Webex podpira profil z eno samo odjavo. V aplikaciji Webex se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol SAML za enkratno odjavo za končanje seje in potrditev odjave s svojim ponudnikom identitetnih storitev (IdP). Prepričajte se, da je vaš ponudnik identitetnih storitev (IdP) konfiguriran za SingleLogout.

Integrirajte Control Hub s PingFederate

Konfiguracijski vodniki prikazujejo specifičen primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Druge oblike zapisa, kot je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, bodo delovale za integracijo SSO, vendar ne spadajo pod našo dokumentacijo.

Nastavite to integracijo za uporabnike v vaši organizaciji Webex (vključno z aplikacijo Webex, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je vaše spletno mesto Webex integrirano v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in se ta ne upravlja v storitvi Control Hub, morate izvesti ločeno integracijo, da omogočite enotno prijavo (SSO) za Webex Meetings.

Preden začnete

Za SSO in Control Hub morajo IdP-ji ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti ponudniki identitete konfigurirani na naslednji način:

Prenesite metapodatke Webex v svoj lokalni sistem

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Izberite ponudnika identitete.

5

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

6

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Konfigurirajte novo povezavo s ponudnikom storitev

1

Pojdite na skrbniški portal PingFederate (https://:9999/pingfederate/app).

2

V razdelku POVEZAVE SPizberite Ustvari novo.

3

Izberite izbirni gumb Ne uporabljaj predloge za to povezavo in nato izberite Naprej.

4

Izberite Profili enotne prijave brskalnikain nato kliknite Naprej.

5

Izberite zavihek Uvozi metapodatke.

6

Kliknite Izberi datoteko, da poiščete in uvozite datoteko z metapodatki, ki ste jo prenesli iz Control Huba, nato pa kliknite Naprej.

7

Preglejte podatke na zavihku Splošne informacije in nato kliknite Končano.

Konfigurirajte enotno prijavo v brskalniku

1

Na skrbniškem portalu PingFederate izberite Konfiguriraj enotno prijavo brskalnika.

2

Označite potrditveno polje SP-Initiated SSO in nato kliknite Naprej.

3

Izberite Konfiguriraj ustvarjanje trditev.

  1. Spremenite format NameID v Prehodno in označite potrditveno polje Vključi atribute poleg prehodnega identifikatorja.

  2. Razširite atribute pogodbe tako, da dodate atributa mail in uid v obliki urn:oasis:names:tc:SAML:2.0:attrname-format-basic, nato pa kliknite Naprej.

  3. Izberite Preslikaj nov primerek adapterja, da izberete mehanizem za preverjanje pristnosti. V spustnem meniju PRIMEREK ADAPTERJA izberite enega od predhodno konfiguriranih mehanizmov za preverjanje pristnosti in nato kliknite Naprej.

  4. Izberite izbirni gumb Pridobi dodatne atribute iz več shramb podatkov z uporabo enega preslikavanja in nato kliknite Naprej.

  5. Izberite Dodaj vir atributa, da dodate krmilnik domene Active Directory za domeno, nato pa kliknite Naprej.

  6. Določite osnovni DN in izberite korenski objektni razred <Show All Attributes>. V besedilno polje Filter vnesite filter LDAP in nato kliknite Naprej.

    Vnos mora vsebovati atribut, ki ga pričakujete od uporabnika. Vsebovati mora tudi vrednost, na katero se preslika v izvornih kodah LDAP. Če je na primer vaš aktivni imenik nastavljen tako, da filtrira atribut prijave v sistem Windows, vnesite sAMAccountName=${Username}.

  7. Izberite vir in vrednost za preslikavo atributov trditve z atributi, ki jih zagotavlja shramba podatkov AD. (V polje Izdajni kriteriji ne vnašajte ničesar.)

  8. Preverite, ali je v konfiguraciji trditve možnost Identity Mapping nastavljena na Transient, možnost Attribute Contract nastavljena na uidin možnost Adapter Instances nastavljena na 1.

    Atribut uid se mora preslikati v e-poštni naslov uporabnika.

4

Izberite Konfiguriraj nastavitve protokola.

  1. Za dovoljene vezave SAML označite samo potrditvena polja POST in Preusmeritev.

  2. Za pravilnik podpisovanja izberite Vedno podpiši trditev SAML.

    Nastavitve protokola bi morale izgledati takole.

  3. Izberite Konfiguriraj poverilnice, da konfigurirate potrdilo za trditev.

  4. Izberite potrdilo, ki je bilo že ustvarjeno za trditve SAML.

5

Na zaslonu Aktivacija in povzetek nastavite Stanje povezave na Aktivno.

Izvoz metapodatkov iz PingFederate

1

Na glavnem zaslonu kliknite Upravljanje vseh SP.

2

Poiščite povezavo, ki ste jo pravkar ustvarili, in kliknite Izvozi metapodatke.

3

V spustnem meniju izberite potrdilo, ki ga želite uporabiti za podpis izvožene datoteke.

4

Kliknite Izvozi.

Uvoz metapodatkov ponudnika identitet in omogočanje enotne prijave po preizkusu

Ko izvozite metapodatke Webex, konfigurirate svojega ponudnika identitet in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v svojo organizacijo Webex iz Control Huba.

Preden začnete

Integracije SSO ne preizkušajte iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test enotne prijave (SSO) Control Hub.

1

Izberite eno:

  • V brskalniku se vrnite na stran Control Hub – izbira potrdila in nato kliknite Naprej.
  • Ponovno odprite Control Hub, če ni več odprt v zavihku brskalnika. V pogledu stranke v Control Hubu pojdite na Upravljanje > Varnost > Preverjanje pristnosti, izberite ponudnika identitete in nato izberite Dejanja > Uvozi metapodatke.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naprej.

Če je mogoče, uporabite možnost Varneje. To je mogoče le, če je vaš ponudnik identitetnih storitev (IdP) za podpisovanje metapodatkov uporabil javni overitelj potrdil (CA).

V vseh drugih primerih morate uporabiti možnost Manj varno. To vključuje tudi primere, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebnega overitelja potrdil.

Okta ne podpisuje metapodatkov, zato morate za integracijo Okta SSO izbrati Manj varno.

3

Izberite Preizkus nastavitve SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). Ta korak prepreči lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite enotno prijavo in kliknite Naprej.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Izklopite enotno prijavo in kliknite Naprej.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne začne veljati, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Če želite uporabnike dodeljevati iz Okte v oblak Webex, uporabite postopke v Sinhronizacija uporabnikov Okta v Cisco Webex Control Hub.

Če želite uporabnike dodeljevati iz storitve Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizacija uporabnikov imenika Azure Active Directory v središče Cisco Webex Control Hub.

Če želite onemogočiti e-poštna sporočila, ki so poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.