Jedno prijavljivanje i kontrolno čvorište

Jedinstveno prijavljivanje (SSO) je proces sesije ili potvrde identiteta korisnika koji omogućava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces daje potvrdu identiteta korisnicima za sve aplikacije kojima su data prava. Ona eliminiše dodatna odziva kada korisnici zamene aplikacije tokom određene sesije.

Protokol Federacije bezbednosnih oznaka (SAML 2.0) koristi se za obezbeđivanje SSO potvrde identiteta između Webex cloud-a i dobavljača identiteta (IdP).

Profili

Webex aplikacija podržava samo SSO profil Veb pregledača. U SSO profilu Veb pregledača, Webex Aplikacija podržava sledeće poveze:

  • SP inicirala post -> POST binding

  • SP pokrenuo REDIRECT -> POST binding

ID format imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikacija podržava sledeće ID formate imena.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate iz IdP-a, prva stavka je konfigurisana za korišćenje u webexu .

Integrisanje kontrolnog čvorišta sa Microsoft Azure-om

Webex подржава само једног IdP-а за сваки захтев за аутентификацију. Ток аутентификације је следећи: Корисник > Webex аутентификација > IdP 1 > Webex аутентификација > Корисник. То значи да, иако различити корисници могу да се аутентификују користећи различите IdP-ове, корисник не може да прелази између више IdP-ова током једног процеса аутентификације. Сви додатни кораци као што је MFA морају бити интегрисани са једним IdP-ом који се користи за тај конкретни захтев.

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. На пример, кораци интеграције за nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient су документовани. Други формати као што је urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ће функционисати за SSO интеграцију, али су ван оквира наше документације.

Podesite ovu integraciju za korisnike u Vašoj Webex organizaciji (uključujući Webex App, Webex meetingsi druge usluge administrirane u kontrolnom čvorištu). Ako je Vaša Webex lokacija integrisana u kontrolno čvorište , Webex lokacija nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex sastancima na ovaj način, a njime se ne upravlja u kontrolnom čvorištu, morate da uradite posebnu integraciju da biste omogućili SSO za Webex sastanke.

Pre nego što počneš

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

  • U Azure Active Directory-u, rezervisanje je podržano samo u ručnom režimu. Ovaj dokument obuhvata samo integraciju sa jednom prijavom (SSO).
  • Постојећи Webex корисници са претходним федерацијским конфигурацијама могу наићи на проблеме са стандардним Entra ID Webex шаблоном због промена у SAML атрибутима. Препоручујемо подешавање прилагођене федерације Entra ID-а како бисте решили овај проблем користећи ваша претходна SAML подешавања. Обавезно спроведите SSO тест Control Hub-а како бисте омогућили компатибилност и отклонили евентуалне неслагања.

Preuzimanje Webex metapodataka na lokalni sistem

1

Prijavite se u kontrolno čvorište.

2

Иди на Менаџмент > Безбедност > Аутентификација.

3

Идите на картицу Провајдер идентитета и кликните на Активирај SSO.

4

Изаберите IdP.

5

Odaberite tip certifikata za vašu organizaciju:

  • Самопотписано од стране Cisco-а— Препоручујемо ову опцију. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Потписано од стране јавног ауторитета за сертификате— Безбедније, али ћете морати често да ажурирате метаподатке (осим ако ваш IdP добављач не подржава сидра поверења).

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

6

Preuzmite datoteku metapodataka.

Назив датотеке са метаподацима Webex-а је idb-meta-<org-ID>-SP.xml.

Konfigurišite podešavanja SSO aplikacija u Azure-u

Pre nego što počneš

  • Pogledajte Šta je Azure Active Directory da biste razumeli IdP mogućnosti u Azure Active Directory.

  • Konfigurišite Azure Active Directory.

  • Kreirajte lokalne korisnike ili ih sinhronizujte sa aktivnim sistemom direktorijuma u prostorijama.

  • Otvorite Webex datoteku metapodataka koju ste preuzeli iz kontrolnog čvorišta.

  • Na sajtu sa dokumentacijom kompanije Microsoft postoji povezani vodič.

1

Prijavite se na Azure portal sa https://portal.azure.com administratorskim akreditivima.

2

Ako ne možete da vidite ikonu Azure Active Directory, kliknite na Više usluga.

3

Idite na Azure Active Directory za vašu organizaciju.

4

Idite na Prijave preduzeća i kliknite na Dodaj.

5

Kliknite na Dodaj aplikaciju iz galerije.

6

U polje za pretragu upišite Cisco Webex.

7

U oknu rezultata izaberite Cisco Webex, a zatim kliknite na Napravi da biste dodali aplikaciju.

8

Da biste bili sigurni da se Webex aplikacija koju ste dodali za jedno prijavljivanje neće pojaviti na korisničkom portalu, otvorite novu aplikaciju. U odeljku Upravljanje kliknite na Svojstva i podesite Vidljivo korisnicima? na Br.

Ne podržavamo da Webex aplikacija bude vidljiva korisnicima.

9

Konfigurišite pojedinačni potpis:

  1. U odeljku Upravljanje kliknite na Pojedinačno prijavljivanje, a zatim u odeljku Izaberite metod sa jednim znakom izaberite SAML.

  2. Кликните на Отпреми датотеку са метаподацима, а затим изаберите датотеку са метаподацима коју сте преузели са Control Hub-а.

    Uvezi datoteku metapodataka u Azure

    Neka polja se automatski popunjavaju za vas.

  3. U odeljku Upravljanje kliknite na Podešavanje jednokratnog prijavljivanja pomoću SAML-a, kliknite na ikonu Izmeni da biste otvorili Osnovnu konfiguraciju SAML-a.

  4. Kopirajte vrednost URL adrese odgovora i nalepite je u Prijavi se na URL adresu, a zatim sačuvajte promene.

10

Иди на Управљај > Корисници и групе, а затим изаберите одговарајуће кориснике и групе којима желите да одобрите приступ Webex апликацији.

11

Na stranici Podešavanje jednokratnog prijavljivanja sa SAML-om, u odeljku Potvrda o potpisivanju SAML-a, kliknite na Preuzmi da biste preuzeli XML za metapodatke Federacije i sačuvali ga na računaru.

Uvoz IdP metapodataka i omogućavanje jedinstvenog prijavljivanja nakon testa

Kada izvezete Webex metapodatke, konfigurišete IdP i preuzmete IdP metapodatke u lokalni sistem, spremni ste da ga uvezete u Webex organizaciju iz kontrolnog čvorišta.

Pre nego što počneš

Nemojte testirati SSO integraciju iz interfejsa dobavljača identiteta (IdP). Mi podržavamo samo tokove koje je pokrenuo dobavljač usluga (SP) tako da za ovu integraciju morate da koristite SSO test kontrolnog čvorišta.

1

Odaberite jednu:

  • Вратите се на страницу за избор сертификата у Control Hub-у у вашем прегледачу, а затим кликните на Даље.
  • Поново отворите Контролни центар ако више није отворен у картици прегледача. Из приказа корисника у Control Hub-у, идите на Управљање > Безбедност > Аутентификација, изаберите IdP, а затим изаберите Акције > Увоз метаподатака.
2

На страници Увоз метаподатака IdP-а, превуците и испустите датотеку са метаподацима IdP-а на страницу или користите опцију прегледача датотека да бисте пронашли и отпремили датотеку са метаподацима. Kliknite na dugme Dalje.

Trebalo bi da koristite bezbedniju opciju, ako možete. Ovo je moguće samo ako je vaš IDP koristio javni CA za potpisivanje metapodataka.

U svim ostalim slučajevima morate da koristite opciju "Manje bezbedno ". To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, tako da morate odabrati Manje bezbedne za Okta SSO integraciju.

3

Изаберите Тестирање подешавања SSOи када се отвори нова картица прегледача, потврдите идентитет код IdP-а пријављивањем.

Ako dobijete grešku u potvrdi identiteta, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovaj korak zaustavlja lažne pozitivne stvari zbog oznake za pristup koja se možda nastaje u postojećoj sesiji od prijavljenog.

4

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Uključite SSO i kliknite na dugme Dalje .
  • Ako test nije uspeo, izaberite Neuspešni test. Isključite SSO i kliknite na dugme " Dalje".

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvo radio dugme i aktivirate SSO.

Šta dalje

Koristite procedure u sinhronizovanju okta korisnika u Cisco Webex kontrolno čvorište ako želite da izvršite korisničko obezbeđivanje iz Okte u Webex oblaku.

Koristite procedure u Sinhronizaciji Azure Active Directory korisnika u Cisco Webex Control Hub ako želite da pružate usluge korisnicima iz Azure AD u Webex cloud.

Можете пратити поступак у Сузбијање аутоматизованих имејлова да бисте онемогућили имејлове који се шаљу новим корисницима Webex апликације у вашој организацији. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.

Rešavanje problema Azurna integracija

Kada radite SAML test, proverite da li koristite Mozilla Firefox i da li instalirate SAML tragač iz https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Proverite tvrdnju koja potiče iz Azure da biste se uverili da ima ispravan imenski format i da li ima uid atributa koji se podudara sa korisnikom u Webex aplikaciji.