Enotna prijava in nadzorno središče

Enotna prijava (SSO) je postopek overjanja seje ali uporabnika, ki uporabniku omogoča, da vnese poverilnice za dostop do ene ali več aplikacij. Postopek overja uporabnike za vse aplikacije, do katerih so jim dodeljene pravice. Odpravlja nadaljnja pozive, ko uporabniki med določeno sejo preklapljajo med aplikacijami.

Protokol federacije SAML 2.0 (Security Assertion Markup Language) se uporablja za zagotavljanje overjanja SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex podpira samo profil spletnega brskalnika SSO. V profilu SSO spletnega brskalnika aplikacija Webex podpira naslednje povezave:

  • SP je sprožil POST -> POST vezava

  • SP je sprožil PREUSMERITEV -> POST vezava

Oblika imena ID

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje oblike zapisa NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega ponudnika identitetnih podatkov (IdP), je prvi vnos konfiguriran za uporabo v Webexu.

SingleLogout

Aplikacija Webex podpira profil z eno samo odjavo. V aplikaciji Webex se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol SAML za enkratno odjavo za končanje seje in potrditev odjave s svojim ponudnikom identitetnih storitev (IdP). Prepričajte se, da je vaš ponudnik identitetnih storitev (IdP) konfiguriran za SingleLogout.

Integrirajte Control Hub s SimpleSAML

Konfiguracijski vodniki prikazujejo specifičen primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Druge oblike zapisa, kot je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, bodo delovale za integracijo SSO, vendar ne spadajo pod našo dokumentacijo.

Nastavite to integracijo za uporabnike v vaši organizaciji Webex (vključno z aplikacijo Webex, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je vaše spletno mesto Webex integrirano v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in se ta ne upravlja v storitvi Control Hub, morate izvesti ločeno integracijo, da omogočite enotno prijavo (SSO) za Webex Meetings.

Preden začnete

Za SSO in Control Hub morajo IdP-ji ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti ponudniki identitete konfigurirani na naslednji način:

Prenesite metapodatke Webex v svoj lokalni sistem

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Izberite ponudnika identitete.

5

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

6

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Pretvori metapodatke

1

Odprite izvoženo datoteko z metapodatki Webex v urejevalniku besedil.

2

V brskalniku odprite domačo stran simpleSAML in se prijavite s skrbniškimi poverilnicami.

Lokacija domače strani se razlikuje, vendar je običajno podobna temu primeru URL-ja: https://yourcompany.yourdomain.com/simplesaml.

3

Na glavni strani kliknite Federacija.

4

V razdelku Orodja izvedite pretvorbo XML v Simple SAML XML.

5

Kopirajte metapodatke Webex iz urejevalnika besedil in jih nato prilepite v polje za pretvorbo XML.

6

Kliknite Razčleni.

Prikažejo se pretvorjeni metapodatki. Te podatke boste dodali v oddaljeno besedilno datoteko SP.

Ustvari datoteko z metapodatki ponudnika oddaljenih storitev

Ti koraki so mišljeni kot primer. Imenik metapodatkov in gostitelj IdP se razlikujeta glede na nastavitev odjemalca.

Preden začnete

Zavedajte se atributov, ki jih morate posredovati, in jih ustrezno preslikajte z urejanjem datoteke z metapodatki saml20-idp-hosted.php. (Na primer, uid, pošta, e-pošta in tako naprej). Glejte primer metapodatkov:

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

V konfiguraciji SimpleSAML na gostitelju pojdite v imenik metapodatkov.

2

Z urejevalnikom besedil prilepite razčlenjene podatke na konec datoteke saml20-sp-remote.php in shranite datoteko.

3

Vrnite se na glavno stran SimpleSAML, kliknite Federacijain nato prikažite metapodatke za ponudnika identitete.

4

Prilepite podatke v novo besedilno datoteko.

5

Posodobljeno datoteko shranite na namizje s smiselnim imenom, kot je simplesaml-metadata.xml.

Uvoz metapodatkov ponudnika identitet in omogočanje enotne prijave po preizkusu

Ko izvozite metapodatke Webex, konfigurirate svojega ponudnika identitet in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v svojo organizacijo Webex iz Control Huba.

Preden začnete

Integracije SSO ne preizkušajte iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test enotne prijave (SSO) Control Hub.

1

Izberite eno:

  • V brskalniku se vrnite na stran Control Hub – izbira potrdila in nato kliknite Naprej.
  • Ponovno odprite Control Hub, če ni več odprt v zavihku brskalnika. V pogledu stranke v Control Hubu pojdite na Upravljanje > Varnost > Preverjanje pristnosti, izberite ponudnika identitete in nato izberite Dejanja > Uvozi metapodatke.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naprej.

Če je mogoče, uporabite možnost Varneje. To je mogoče le, če je vaš ponudnik identitetnih storitev (IdP) za podpisovanje metapodatkov uporabil javni overitelj potrdil (CA).

V vseh drugih primerih morate uporabiti možnost Manj varno. To vključuje tudi primere, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebnega overitelja potrdil.

Okta ne podpisuje metapodatkov, zato morate za integracijo Okta SSO izbrati Manj varno.

3

Izberite Preizkus nastavitve SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). Ta korak prepreči lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite enotno prijavo in kliknite Naprej.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Izklopite enotno prijavo in kliknite Naprej.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne začne veljati, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Če želite uporabnike dodeljevati iz Okte v oblak Webex, uporabite postopke v Sinhronizacija uporabnikov Okta v Cisco Webex Control Hub.

Če želite uporabnike dodeljevati iz storitve Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizacija uporabnikov imenika Azure Active Directory v središče Cisco Webex Control Hub.

Če želite onemogočiti e-poštna sporočila, ki so poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.