Jedno prijavljivanje i kontrolno čvorište

Jedinstveno prijavljivanje (SSO) je proces sesije ili potvrde identiteta korisnika koji omogućava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces daje potvrdu identiteta korisnicima za sve aplikacije kojima su data prava. Ona eliminiše dodatna odziva kada korisnici zamene aplikacije tokom određene sesije.

Protokol Federacije bezbednosnih oznaka (SAML 2.0) koristi se za obezbeđivanje SSO potvrde identiteta između Webex cloud-a i dobavljača identiteta (IdP).

Profili

Webex aplikacija podržava samo SSO profil Veb pregledača. U SSO profilu Veb pregledača, Webex Aplikacija podržava sledeće poveze:

  • SP inicirala post -> POST binding

  • SP pokrenuo REDIRECT -> POST binding

ID format imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikacija podržava sledeće ID formate imena.

  • URL:oaza:names:tc:SAML:2.0:nameid-format:transient

  • URL:oaza:imena:tc:SAML:1.1:nameid-format:nespecifikovano

  • URL:oaza:imena:tc:SAML:1.1:nameid-format:emailAdresa

U metapodacima koje učitavate iz IdP-a, prva stavka je konfigurisana za korišćenje u webexu .

Jednostrukilog

Webex aplikacija podržava profil za jedinstveno odjavljivanje. U aplikaciji Webexkorisnik može da se odjavi iz aplikacije, koja koristi SAML protokol za jedinstveno odjavljivanje da bi završio sesiju i potvrdio to odjavljivanje pomoću IdP-a. Uverite se da je vaš IdP konfigurisan za singleLogout.

Integrisanje kontrolnog čvorišta pomoću PingFederate

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne obezbeđuju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije.

Podesite ovu integraciju za korisnike u Vašoj Webex organizaciji (uključujući Webex App, Webex meetingsi druge usluge administrirane u kontrolnom čvorištu). Ako je Vaša Webex lokacija integrisana u kontrolno čvorište , Webex lokacija nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex sastancima na ovaj način, a njime se ne upravlja u kontrolnom čvorištu, morate da uradite posebnu integraciju da biste omogućili SSO za Webex sastanke. (Vidite Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administraciji lokacije.)

Pre nego što počneš

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

Preuzimanje Webex metapodataka na lokalni sistem

1

Iz prikaza klijenta u programu https://admin.webex.com, idite na "Management > Organization Settings", a zatim se pomerite do potvrde identiteta, a zatim se prebacite na postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za instalaciju.

2

Odaberite tip certifikata za vašu organizaciju:

  • Samopotpisano od strane kompanije Cisco – Preporučujemo ovaj izbor. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Potpisao javni autoritet za sertifikaciju – Bezbednije, ali moraćete često da ažurirate metapodatke (osim ako vaš dobavljač IdP ne podržava sidra pouzdanosti).

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

3

Preuzmite datoteku metapodataka.

Ime Webex datoteke metapodataka je idb-meta--SP.xml.

Konfigurisanje nove veze dobavljača usluga

1

Idite na portal za administraciju PingFederate (https://:9999/pingfederate/app).

2

U okviru SP VEZEizaberite stavku Kreiraj novo.

3

Izaberite opciju Ne koristi predložak za ovo radio dugme za povezivanje, a zatim kliknite na dugme Dalje.

4

Izaberite SSO profile pregledača , azatim kliknite na dugme Dalje.

5

Izaberite karticu Uvoz metapodataka.

6

Kliknite na Izaberi datoteku da biste pregledali i uvezli datoteku metapodataka koju ste preuzeli sa platforme Control Hub, a zatim kliknite na Sledeće.

7

Pregledajte informacije na kartici Opšte informacije, a zatim kliknite na dugme Gotovo.

Konfigurisanje jednog prijavljivanja pregledača

1

Sa portala Administracija PingFederate izaberite opciju Konfiguriši SSOpregledača .

2

Potvrdite izbor u SSO-u koji je pokrenuo SP, a zatim kliknite na dugme Dalje.

3

Izaberite konfiguriši kreiranje tvrdnji.

  1. Promenite ID-format imena u Prolazan i proverite da li je polje za potvrdu Uključi atribute pored prolaznog identifikatora.

  2. Proširite atribute ugovora dodavanjem atributa pošte i uid-a u formatu urne:oaza:names:tc:SAML:2.0:attrname-format-basic , azatim kliknite na dugme Dalje.

  3. Izaberite stavku Mapiraj novu instancu adaptera da biste izabrali mehanizam potvrde identiteta. U padajućem meniju INSTANCE ADAPTERA izaberite jedan od prethodno konfigurisanih mehanizama potvrde identiteta, a zatim kliknite na dugme Dalje.

  4. Izaberite stavku Preuzmi dodatne atribute iz više skladišta podataka pomoću jednog radio dugmeta za mapiranje, a zatim kliknite na dugme Dalje.

  5. Izaberite opciju Dodaj izvor atributa da biste dodali kontroler domena aktivnog direktorijuma za domen, a zatim kliknite na dugme Dalje.

  6. Navedite Bazu DN i izaberite klasu osnovnog objekta . U okvir za tekst "Filtriraj" unesite LDAP filter, a zatim kliknite na dugme Dalje.

    Stavka mora da sadrži atribut koji očekujete od korisnika. Takođe treba da sadrži vrednost na koju se mapira u LDAP izvorima. Na primer, ako je aktivni direktorijum podešen da filtrira atribut Windows prijavljivanja, unesite sAMAccountName=${Username}.

  7. Izaberite izvor i vrednost da biste mapirali atribute tvrdnje atributima koje obezbeđuje AD datastore. (Ne unosite ništa za kriterijume za iznošenje.)

  8. Proverite da li konfiguracija potvrde ima podešeno mapiranje identiteta na prolazni, ugovor o atributu podešen na uid, ainstance adaptera postavljene na 1.

    Atribut Uid bi trebalo da se mapira na e-adresu korisnika.

4

Izaberite opciju Konfiguriši postavkeprotokola .

  1. Za dozvoljene SAML poveze proverite samo polja za potvrdu POST i Preusmeravanje.

  2. Za smernice potpisa izaberite opciju Uvek potpiši SAML tvrdnju.

    Postavke protokola bi trebalo da izgledaju na sledeći način.

  3. Izaberite opciju Konfiguriši akreditive da biste konfigurisali certifikat za tvrdnju.

  4. Izaberite certifikat koji je već kreiran za SAML tvrdnje.

5

Na ekranu Aktivacija i rezime postavite status veze na aktivno .

Izvoz metapodataka iz PingFederate

1

Na glavnom ekranu kliknite na dugme Upravljaj svim SP.

2

Pronađite vezu koju ste upravo kreirali i kliknite na dugme Izvezi metapodatke.

3

Odaberite certifikat koji ćete koristiti za potpisivanje izvezene datoteke iz padajuće datoteke.

4

Kliknite na dugme Izvezi.

Uvoz IdP metapodataka i omogućavanje jedinstvenog prijavljivanja nakon testa

Kada izvezete Webex metapodatke, konfigurišete IdP i preuzmete IdP metapodatke u lokalni sistem, spremni ste da ga uvezete u Webex organizaciju iz kontrolnog čvorišta.

Pre nego što počneš

Nemojte testirati SSO integraciju iz interfejsa dobavljača identiteta (IdP). Mi podržavamo samo tokove koje je pokrenuo dobavljač usluga (SP) tako da za ovu integraciju morate da koristite SSO test kontrolnog čvorišta.

1

Odaberite jednu:

  • Vratite se na Control Hub – stranicu za izbor sertifikata u pregledaču, a zatim kliknite na Dalje.
  • Ako Control Hub nije više otvoren na kartici pregledača, iz prikaza kupca u https://admin.webex.com, idi na Upravljanje > Podešavanja organizacije, listaj do Autentifikacija, a zatim odaberite Опције > Uvezi metapodatke.
2

Na stranici "Uvoz IdP metapodataka" prevucite i otpustite datoteku IdP metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na dugme Dalje.

Trebalo bi da koristite bezbedniju opciju, ako možete. Ovo je moguće samo ako je vaš IDP koristio javni CA za potpisivanje metapodataka.

U svim ostalim slučajevima morate da koristite opciju "Manje bezbedno ". To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, tako da morate odabrati Manje bezbedne za Okta SSO integraciju.

3

Izaberite Testiraj SSOpodešavanje i kada se otvori nova kartica pregledača, potvrdite identitet sa IdP-om prijavljivanjem.

Ako dobijete grešku u potvrdi identiteta, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovaj korak zaustavlja lažne pozitivne stvari zbog oznake za pristup koja se možda nastaje u postojećoj sesiji od prijavljenog.

4

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Uključite SSO i kliknite na dugme Dalje .
  • Ako test nije uspeo, izaberite Neuspešni test. Isključite SSO i kliknite na dugme " Dalje".

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvo radio dugme i aktivirate SSO.

Šta dalje

Koristite procedure u sinhronizovanju okta korisnika u Cisco Webex kontrolno čvorište ako želite da izvršite korisničko obezbeđivanje iz Okte u Webex oblaku.

Koristite procedure u Sinhronizaciji Azure Active Directory korisnika u Cisco Webex Control Hub ako želite da pružate usluge korisnicima iz Azure AD u Webex cloud.

Postupak možete da pratite u odeljku Suzbijanje automatizovanih e-poruka da biste onemogućili e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.