Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Enotni odjava

Aplikacija Webex App podpira enotni profil odjave. V aplikaciji Webex App se lahko uporabnik odjavi iz aplikacije, ki s protokolom SAML za enkratno odjavo zaključi sejo in potrdi odjavo z vašim IdP. Prepričajte se, da je vaš IdP konfiguriran za enkratno odjavo.

Integracija vozlišča Control Hub s SimpleSAML

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Preden začnete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Pretvarjanje metapodatkov

1

Izvoženo datoteko z metapodatki Webex odprite v urejevalniku besedila.

2

V brskalniku odprite domačo stran simpleSAML in se prijavite s skrbniškimi poverilnicami.

Lokacija domače strani je različna, vendar je običajno podobna naslovu URL tega primera: https://yourcompany.yourdomain.com/simplesaml.

3

Na glavni strani kliknite Federation.

4

Pod orodji opravite pretvorbo iz XML v Simple SAML XML.

5

V urejevalniku besedila kopirajte metapodatke Webex in jih nato prilepite v polje za pretvorbo XML.

6

Kliknite Parse.

Prikažejo se pretvorjeni metapodatki. Te podatke boste dodali v oddaljeno besedilno datoteko SP.

Ustvarjanje metapodatkovne datoteke oddaljenega ponudnika storitev

Ti koraki so namenjeni kot primer. Imenik z metapodatki in gostitelj IdP se razlikujeta glede na nastavitev odjemalca.

Preden začnete

Zavedajte se atributov, ki jih morate posredovati, in jih ustrezno mapirajte z urejanjem datoteke z metapodatki saml20-idp-hosted.php. (na primer uid, mail, e-pošta in tako naprej). Oglejte si primer metapodatkov:

 'authproc' => array( // Pretvarjanje imen LDAP v oide.  3 => polje( 'class' => 'saml:AttributeNameID', 'attribute' => 'mail', 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified", ), 50 => array( 'class' => 'core:AttributeMap', 'attribute' => 'mail', 'mail' => array('uid', 'email', 'mail'), 'sn' => 'lastname', 'givenName' => 'firstname', ), ),
1

V konfiguraciji SimpleSAML na gostitelju pojdite v imenik metapodatkov.

2

Z urejevalnikom besedila prilepite razčlenjene podatke na konec datoteke saml20-sp-remote.php in jo shranite.

3

Vrnite se na prvo stran SimpleSAML, kliknite Federation, nato pa prikažite metapodatke za ponudnika identitete.

4

Podatke prilepite v novo besedilno datoteko.

5

Posodobljeno datoteko shranite na namizje s pomenljivim imenom, na primer simplesaml-metadata.xml.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.