Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Enotni odjava

Aplikacija Webex App podpira enotni profil odjave. V aplikaciji Webex App se lahko uporabnik odjavi iz aplikacije, ki s protokolom SAML za enkratno odjavo zaključi sejo in potrdi odjavo z vašim IdP. Prepričajte se, da je vaš IdP konfiguriran za enkratno odjavo.

Integracija nadzornega vozlišča s PingFederate

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Preden začnete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Konfiguracija nove povezave s ponudnikom storitev

1

Pojdite na portal PingFederate Administration (https://:9999/pingfederate/app).

2

V razdelku SP CONNECTIONS izberite Create New.

3

Izberite radijski gumb Do not use a template for this connection in nato Next.

4

Izberite Profili SSO brskalnika, nato kliknite Naprej.

5

Izberite zavihek Uvoz metapodatkov .

6

Kliknite Choose File , da poiščete in uvozite datoteko z metapodatki, ki ste jo prenesli iz Control Hub, nato pa kliknite Next.

7

Preglejte informacije v zavihku Splošne informacije in kliknite Done.

Konfiguracija enkratne prijave v brskalniku

1

Na portalu PingFederate Administration izberite Configure Browser SSO.

2

Označite potrditveno polje SSO, ki ga sproži SP , nato kliknite Naprej.

3

Izberite Configure Assertion Creation.

  1. Spremenite obliko NameID na Transient in potrdite potrditveno polje Include attributes in addition to the transient identifier .

  2. Razširite pogodbene atribute z dodajanjem mail in uid atributov v obliki urn:oasis:names:tc:SAML:2.0:attrname-format-basic, nato kliknite Next.

  3. Izberite Map New Adapter Instance in izberite mehanizem avtentikacije. V spustnem seznamu ADAPTER INSTANCE izberite enega od predhodno konfiguriranih mehanizmov avtentikacije, nato kliknite Next.

  4. Izberite radijski gumb Retrieve additional attributes from multiple data stores using one mapping , nato kliknite Next.

  5. Izberite Dodaj vir atributov , da dodate nadzornik domene imeniške zbirke Active Directory za domeno, nato pa kliknite Naprej.

  6. Določite Osnovni DN in izberite korenski objektni razred . V besedilno polje Filter vnesite filter LDAP in kliknite Next.

    Vnos mora vsebovati atribut, ki naj bi ga uporabnik navedel. Vsebovati mora tudi vrednost, na katero se nanaša v virih LDAP. Če je na primer vaš aktivni imenik nastavljen na filtriranje po atributu prijave v sistem Windows, vnesite sAMAccountName=${Username}.

  7. Izberite vir in vrednost za preslikavo atributov trditve z atributi, ki jih zagotavlja podatkovno skladišče AD. (Za merila za izdajo ne vnesite ničesar.)

  8. Preverite, ali je v konfiguraciji trditve Identity Mapping nastavljeno na Transient, Attribute Contract nastavljeno na uid in Adapter Instances nastavljeno na 1.

    Atribut uid mora biti preslikan na e-poštni naslov uporabnika.

4

Izberite Configure Protocol Settings.

  1. V polju Allowable SAML Bindings (Dovoljene vezi SAML) označite samo potrditvena polja POST in Redirect .

  2. Za možnost Politika podpisovanja izberite Vedno podpišite trditev SAML.

    Nastavitve protokola morajo biti videti takole.

  3. Izberite Configure Credentials , da konfigurirate potrdilo za trditev.

  4. Izberite potrdilo, ki je bilo že ustvarjeno za trditve SAML.

5

Na zaslonu Aktivacija in povzetek nastavite stanje povezave na Aktivno.

Izvoz metapodatkov iz PingFederate

1

Na glavnem zaslonu kliknite Manage All SP.

2

Poiščite povezavo, ki ste jo pravkar ustvarili, in kliknite Izvozi metapodatke.

3

Iz spustnega seznama izberite potrdilo, ki ga želite uporabiti za podpisovanje izvožene datoteke.

4

Kliknite Izvoz.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.