Jednokratna prijava i Control Hub

Jedinstvena prijava (SSO) je postupak potvrde identiteta sesije ili korisnika koji dozvoljava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces potvrđuje identitet korisnika za sve aplikacije na koje imaju pravo. Ona eliminiše dodatne upite kada korisnici zamene aplikacije tokom određene sesije.

Jezik za oznaku bezbednosne tvrdnje (SAML 2.0) za omogućavanje SSO potvrde identiteta između oblaka Webex i vašeg pružaoca usluga identiteta (IdP).

Profili

Webex aplikaciju podržava samo SSO profil veb-pregledača. U SSO profilu veb-pregledača aplikacija Webex podržava sledeća povezivanja:

  • SP je pokrenuo POST -> POST vezivanje

  • SP je pokrenuo PREUSMERAVANJE - > POST vezivanje

Format ID-a imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikaciju podržava sledeće formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate iz IdP-a, prvi unos je konfigurisan za upotrebu u Webex.

Pojedinačni zapis

Aplikacija Webex podržava profil pojedinačne odjave. U aplikaciji Webex korisnik može da odjaviti se aplikaciju koja koristi SAML jedan protokol odjave da završi sesiju i potvrdi da odjaviti se pružaoca usluge identiteta. Uverite se da je vaš IdP konfigurisan za SingleLogout.

Integracija platforme Control Hub sa uslugom PingFederate


 

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Drugi formati, kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funkcionisaće za SSO integraciju, ali su izvan opsega naše dokumentacije.

Podesite ovu integraciju za korisnike u svojoj Webex organizaciji (uključujući aplikaciju Webex, Webex Meetings i druge usluge administratore u okviru Control Hub). Ako je Webex sajt usluga integrisana u Control Hub, Webex sajt nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex Meetings na ovaj način i on se ne upravlja platformom Control Hub, morate da izvršite zasebnu integraciju da biste omogućili SSO za Webex Meetings. (Pogledajte Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administracija lokacije.)

Pre nego što počnete

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

Preuzmite Webex metapodatke na svoj lokalni sistem

1

Iz prikaza klijenta https://admin.webex.comu programu izaberite stavku Upravljanje > podešavanja organizacije, a zatim se pomerite do stavke "Potvrda identiteta", a zatim uključite opciju "Podešavanje pojedinačne prijave" da biste pokrenuli čarobnjak za podešavanje.

2

Izaberite tip sertifikata za svoju organizaciju:

  • Samopotpisano od strane Cisco – preporučujemo ovaj izbor. Hajde da potpišemo sertifikat, tako da ga obnavljate samo jednom u pet godina.
  • Potpisao državni organ za izdavanje sertifikata – bezbednije, ali moraćete često da ažurirate metapodatke (osim ako vaš dobavljač IdP ne podržava sidrije pouzdanosti).

 

Tipi pouzdanosti su javni ključevi koji deluju kao autoritet za potvrdu sertifikata digitalnog potpisa. Za više informacija pogledajte IdP dokumentaciju.

3

Preuzmite datoteku metapodataka.

Ime Webex datoteke metapodataka je idb-meta-SP.xml<org-ID>.

Konfigurišite novu pružalac usluga vezu

1

Idite na portal za administraciju PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

U okviru SP CONNECTIONS izaberite stavku Kreiraj novo.

3

Izaberite obrazac "Ne koristi" za ovu opciju dugme za opciju , a zatim izaberite "Dalje ".

4

Izaberite opciju SSO pregledača, a zatim kliknite na "Dalje ".

5

Izaberite karticu "Uvoz metapodataka ".

6

Kliknite na "Izaberi datoteku " da biste pregledali i uvezli datoteku metapodataka koju ste preuzeli sa portala Control Hub, a zatim kliknite na "Dalje ".

7

Pregledajte informacije na kartici Opšte informacije, a zatim kliknite na " Gotovo".

Konfiguriši jednokratnu prijavu pregledača

1

Na portalu za administraciju platforme PingFederate izaberite stavku Konfiguriši SSO.

2

Proverite lozinku koju je pokrenuo SP SSO polje za potvrdu, a zatim kliknite na "Dalje ".

3

Izaberite "Konfiguriši kreiranje tvrdnje".

  1. Promenite NameID-format u "Transient" i proverite atribute Uključi pored prolaznog identifikatora polje za potvrdu.

  2. Proširi atribute ugovora dodavanjem atributa za poštu i UID u formatu urn:oasis:names:tc:SAML:2.0:attrname-format-basic, zatim kliknite na "Dalje".

  3. Izaberite " Mapiraj instancu novog adaptera" da biste izabrali mehanizam za potvrdu identiteta. U padajućoj listi ADAPTER INSTANCE izaberite jedan od prethodno konfigurisanih mehanizama potvrde identiteta, a zatim kliknite na "Dalje ".

  4. Izaberite preuzimanje dodatnih atributa iz više skladišta podataka koristeći jedno mapiranje dugme za opciju, a zatim kliknite na " Dalje".

  5. Izaberite opciju "Dodaj izvor atributa " da biste dodali Active Directory kontrolera domena, a zatim kliknite na "Dalje ".

  6. Navedite osnovnu DN i izaberite klasu osnovnog objekta<Show All="" Attributes="">. U prozoru Filter tekstualno polje unesite LDAP filter, a zatim kliknite na dugme Dalje.

    Unos mora da sadrži atribut koji očekujete od korisnika. Takođe mora da sadrži vrednost na koju se mapira u izvorima LDAP izvorima. Na primer, ako je vaš aktivni direktorijum podešen da filtrira na Windows atributu za prijavljivanje, unesite sAMAccountName=${Username}.

  7. Izaberite izvor i vrednost za mapiranje atributa za tvrdnju sa atributima koje je obezbedio AD datastore. (Nemojte unositi ništa za kriterijume za davanje potvrde.)

  8. Proverite da li konfiguracija tvrdnje ima podešeno mapiranje identiteta na "Transient", "Ugovor atributa" podešen na UID i instance adaptera podešene na 1.


     

    UID atribut treba da se mapira e-adresa na korisnika.

4

Izaberite opciju "Konfiguriši podešavanja protokola".

  1. Za dozvoljena SAML povezivanja proverite samo polja za potvrdu POST i Preusmeravanje.

  2. Za politiku potpisa izaberite "Uvek potpiši SAML tvrdnju".

    Podešavanja protokola treba da izgledaju kao sledeće.

  3. Izaberite "Konfiguriši akreditive " da biste konfigurisali sertifikat za tvrdnju.

  4. Izaberite sertifikat koji je već kreiran za SAML tvrdnje.

5

Na ekranu za aktivaciju i rezime podesite status veze na "Aktivno".

Izvezi metapodatke iz PingFederate

1

Na glavnom ekranu kliknite na "Upravljanje svim SP uslugama".

2

Pronađite vezu koju ste upravo kreirali i kliknite na "Izvezi metapodatke".

3

Odaberite sertifikat koji će se koristiti za potpisivanje izvezene datoteke sa padajuće liste.

4

Kliknite na dugme Izvezi.

Uvezite IdP metapodatke i omogućite jedna prijava nakon testa

Kada izvezete Webex metapodatke, konfigurišite IdP i preuzmite IdP metapodatke na lokalni sistem, spremni ste da ih uvezete u svoju Webex organizaciju iz Control Hub.

Pre nego što počnete

Nemojte testirati SSO integraciju od dobavljača identiteta (IdP) interfejsa. Podržavamo samo tokove dobavljača usluga koje je pokrenuo SP, tako da morate da koristite test Control Hub SSO za ovu integraciju.

1

Odaberite jednu:

  • Vratite se na stranicu Control Hub – stranica za izbor sertifikata u pregledaču, a zatim kliknite na "Dalje ".
  • Ako control Hub više nije otvoren na kartici pregledača, https://admin.webex.comiz prikaza korisnika u , idite na "Upravljanje > Podešavanja organizacije", pomerite se do stavke "Potvrda identiteta", a zatim izaberite stavku Radnje > Uvezi metapodatke.
2

Na stranici "IdP metapodaci uvoz", prevucite i otpustite IdP datoteku metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na Dalje.

Trebalo bi da koristite bezbednije opciju, ako možete. Ovo je moguće samo ako vaš IdP koristi javni CA za potpisivanje metapodataka.

U svim drugim slučajevima, morate da koristite opciju Manje bezbedno . To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.


 

Okta ne potpisivanje metapodataka, tako da morate da izaberete Manje bezbedno za Okta SSO integraciju.

3

Izaberite Testiraj SSO podešavanje i kada se otvori nova kartica pregledača, potvrdite identitet pomoću IdP-a prijavljivanjem.


 

Ako dobijete grešku prilikom potvrde identiteta možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška Webex aplikacije obično znači problem sa SSO podešavanjem. U ovom slučaju, ponovo hodajte kroz korake, posebno za korake gde kopirate i nalepite metapodatke platforme Control Hub u IdP podešavanje.


 

Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovaj korak zaustavlja netačne pozitivne informacije zbog tokena za pristup koji može biti u postojećoj sesiji od kada ste prijavljeni.

4

Vratite se na karticu pregledača Control Hub.

  • Ako je test bio uspešan, izaberite "Uspešan test". Uključite SSO i kliknite na dugme Dalje.
  • Ako test nije uspeo, izaberite "Neuspešan test". Isključite SSO i kliknite na dugme Dalje.

 

SSO konfiguracija ne stupi na snagu u vašoj organizaciji, osim ako ne izaberete prvi dugme za opciju i ne aktivirate SSO.

Šta je sledeće

Koristite procedure u sinhronizaciji korisnika usluge Okta u Cisco Webex Control Hub želite da dodelite privilegije za korisnike iz usluge Okta u Webex oblaku.

Koristite procedure u sinhronizaciji Azure Active Directory korisnika u Cisco Webex Control Hub ako želite da uradite dodelu privilegija za korisnike iz Azure AD-a u Webex oblak.

Možete da pratite proceduru u suzbijanju automatske e-pošte da biste onemogućili e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacija korisnicima u vašoj organizaciji.