- Domov
- /
- Članek
Konfigurirate lahko integracijo enotne prijave (SSO) med Control Hub in razmestitvijo, ki uporablja SimpleSAML kot ponudnika identitete (IdP).
Enotna prijava in Nadzorno središče
Enotna prijava (SSO) je seja ali postopek preverjanja pristnosti uporabnika, ki uporabniku omogoča, da zagotovi poverilnice za dostop do ene ali več aplikacij. Postopek preverja pristnost uporabnikov za vse aplikacije, za katere so jim podeljene pravice. Odpravlja dodatne pozive, ko uporabniki zamenjajo aplikacije med določeno sejo.
Protokol federacije Security Assertion Markup Language (SAML 2.0) se uporablja za zagotavljanje avtentikacije SSO med Webex oblak in vaš ponudnik identitete (IdP).
Profili
Aplikacija Webex podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika, Aplikacija Webex podpira naslednje vezave:
SP je sprožil povezovanje POST -> POST
SP je sprožil vezavo REDIRECT -> POST
Oblika imena ID
Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje formate NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
V metapodatkih, ki jih naložite iz svojega IdP, je prvi vnos konfiguriran za uporabo v Webex.
SingleLogout
Aplikacija Webex podpira enoten profil za odjavo. notri Aplikacija Webex, se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol za enojno odjavo SAML za zaključek seje in potrdi odjavo s svojim IdP. Zagotovite, da je vaš IdP konfiguriran za SingleLogout.
Integriraj Nadzorno središče s SimpleSAML
Konfiguracijski vodniki prikazujejo poseben primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer koraki integracije za |
Nastavite to integracijo za uporabnike v svojem Webex organizacija (vključno z Aplikacija Webex, Sestanki Webex, in druge storitve, ki se izvajajo v Nadzorno središče). Če tvoj Webex spletno mesto je integrirano v Nadzorno središče, the Webex spletno mesto podeduje upravljanje uporabnikov. Če ne morete dostopati Sestanki Webex na ta način in se ne upravlja v Nadzorno središče, morate narediti ločeno integracijo, da omogočite enotno prijavo za Sestanki Webex. (Glej Konfigurirajte enotno prijavo za Webex za več informacij o integraciji SSO v administraciji mesta.)
Preden začneš
Za SSO in Nadzorno središče, morajo IdP ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti IdP-ji konfigurirani na naslednji način:
Prenesite Webex metapodatkov v vaš lokalni sistem
1 | Iz pogleda stranke v https://admin.webex.com, Pojdi do , nato pa se pomaknite na Preverjanje pristnosti, nato pa vklopite Enotna prijava nastavitev za zagon čarovnika za namestitev. | ||
2 | Izberite vrsto potrdila za svojo organizacijo:
| ||
3 | Prenesite datoteko z metapodatki. Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml. |
Pretvori metapodatke
1 | Odprite izvoženo Webex datoteko z metapodatki v urejevalniku besedil. |
2 | V brskalniku odprite domačo stran simpleSAML in se prijavite s skrbniškimi poverilnicami. Lokacija domače strani se razlikuje, vendar je običajno podobna temu URL-ju v primeru: https://yourcompany.yourdomain.com/simplesaml. |
3 | Na glavni strani kliknite Federacija . |
4 | V orodjih izvedite pretvorbo XML v Simple SAML XML. |
5 | Kopiraj Webex metapodatke iz urejevalnika besedil in jih nato prilepite v polje za pretvorbo XML. |
6 | Kliknite Razčleni . Prikažejo se pretvorjeni metapodatki. Te podatke boste dodali v oddaljeno besedilno datoteko SP. |
Ustvari datoteko z metapodatki ponudnika oddaljenih storitev
Ti koraki so mišljeni kot primer. Imenik metapodatkov in gostitelj IdP se razlikujeta glede na nastavitev odjemalca.
Preden začneš
Zavedajte se atributov, ki jih morate posredovati, in jih ustrezno preslikajte z urejanjem datoteke z metapodatki saml20-idp-hosted.php
. (Na primer uid, mail, email itd.). Oglejte si primer metapodatkov:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),
1 | V konfiguraciji SimpleSAML na gostitelju pojdite v imenik metapodatkov. |
2 | Z urejevalnikom besedil prilepite razčlenjene podatke na konec saml20-sp-remote.php in shranite datoteko. |
3 | Vrnite se na naslovno stran SimpleSAML, kliknite Federacijain nato prikažite metapodatke za ponudnika identitete. |
4 | Prilepite podatke v novo besedilno datoteko. |
5 | Posodobljeno datoteko shranite na namizje s pomenljivim imenom, kot je simplesaml-metadata.xml. |
Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu
Ko izvozite Webex metapodatkov, konfigurirajte svoj IdP in prenesite metapodatke IdP v svoj lokalni sistem, ste pripravljeni, da jih uvozite v svoj Webex organizacija iz Nadzorno središče.
Preden začneš
Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP-iniciator), zato morate uporabiti Nadzorno središče Preizkus SSO za to integracijo.
1 | Izberi eno:
| ||||
2 | Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naslednji. Moral bi uporabiti Bolj varno možnost, če lahko. To je mogoče le, če je vaš IdP za podpis svojih metapodatkov uporabil javno CA. V vseh drugih primerih morate uporabiti Manj varen možnost. To vključuje tudi, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebne CA.
| ||||
3 | Izberite Preizkusite nastavitev SSO , in ko se odpre nov zavihek brskalnika, preverite pristnost z IdP tako, da se prijavite.
| ||||
4 | Vrnitev na Nadzorno središče zavihek brskalnika.
|
Kaj storiti naprej
Uporabite postopke v Sinhronizirajte uporabnike Okta v Cisco Webex Control Hub če želite omogočiti uporabnike iz Okte v oblak Webex.
Uporabite postopke v Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub če želite omogočiti uporabnike iz storitve Azure AD v oblak Webex.
Postopek lahko sledite v Onemogoči samodejno pošiljanje e-pošte da onemogočite e-pošto, ki se pošilja novim uporabnikom aplikacije Webex v vaši organizaciji. Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.