Single sign-on (SSO) omogućava korisnicima da se bezbedno prijave na Veцek-u autentifikaцijom zajedničkom provajderu identiteta vaše organizaцije. Provajder identiteta (IdP) sigurno čuva i upravlja digitalnim identitetima vaših korisnika i pruža uslugu autentifikacije korisnika za vaše korisnike Vek-a.

Zašto vam je možda potrebno više IDP-ova

Mnoge velike kompanije prolaze kroz spajanja i akvizicije, a ove kompanije retko imaju istu IT infrastrukturu i provajdere identiteta. Vladine institucije imaju različite organizacije i agencije pod njima. Često, ove organizacije imaju jednu adresu e-pošte za svoje IT odeljenja i infrastrukturu, respektivno. Glavne obrazovne institucije imaju centralno odeljenje za nabavku, ali različiti univerziteti i fakulteti sa različitim IT organizacijama i odeljenjima.

Uobičajeno je videti da se IdP-ovi i pružaoci usluga (SP) međusobno federiraju. IdP je odgovoran za autentifikaciju akreditiva vaših korisnika, a SP veruje autentifikaciji koju je izvršio IdP. Ovo omogućava vašim korisnicima da pristupe različitim SaaS aplikacijama i uslugama koristeći isti digitalni identitet. Ali, ako iz nekog razloga vaša organizacija ne može da se udruži između IdP-ova, onda Veks pruža rešenje za podršku višestrukim IdP-ovima. Iz ovih razloga, dajemo vam mogućnost da konfigurišete SSO za više IdP-ova u Vek-u i pojednostavite proces autentifikacije vaših korisnika.

Ograničenja

  • Svi korisnici moraju biti obezbeđeni pomoću Directori Connector-a ako koristite Directori Connector u vašoj organizaciji. Pogledajte vodič za raspoređivanje konektora direktorijuma za više informacija.
  • Trenutno podržavamo samo SAML, OpenID Connect i Webex Identiti kao provajdere identiteta.

Van opsega

  • Konfigurišite grupne zadatke.

Ovaj odeljak pokriva kako možete integrisati svoje provajdere identiteta (IdP) sa vašom Webex organizacijom. Možete odabrati IdP-ove koji najbolje odgovaraju zahtevima vaše organizacije.

Ako tražite SSO integraciju sajta za sastanke Vek-a (upravlja se u administraciji sajta), pogledajte Konfigurišite jedinstveno prijavljivanje za administraciju vebek-a.

Preduslovi

Pre nego što počnete

Uverite se da su ispunjeni sledeći uslovi:

    • Morate imati punu administratorsku ulogu u Control Hub-u.
    • Datoteka metapodataka iz IdP-a koja se daje Veek-u i datoteka metapodataka iz Vebek-a, koja će dati IdP-u. Za više informacija, pogledajte Single Sign-On integracija u Control Hub. Ovo se primenjuje samo na SAML konfiguraciju.
    • Trebalo bi da planirate ponašanje pravila rutiranja pre nego što postavite više IDP-ova.

    Podrazumevano pravilo rutiranja se primenjuje kada konfigurišete početni IdP. Ali možete podesiti još jedan IdP kao podrazumevani. Pogledajte Dodavanje ili uređivanje pravila rutiranja na kartici Pravila rutiranja u ovom članku.

Konfigurišite SAML
1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta i kliknite na dugme Aktivirajte DZS.

4

Izaberite SAML kao svoj IdP i kliknite na dugme Dalje.

5

Odaberite tip sertifikata:

  • Samostalno potpisano od strane Cisco - Preporučujemo ovaj izbor. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Potpisano od strane javnog autoriteta za sertifikaciju—Sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš IdP dobavljač ne podržava sidra poverenja).

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

6

Kliknite na Preuzmi metapodatke i kliknite na Dalje.

Ime datoteke metapodataka aplikacije Webex je idb-meta-<org-ID>-SP.xml.

7

Otpremite datoteku metapodataka IdP-a ili popunite obrazac za konfiguraciju.

Prilikom otpremanja datoteke metapodataka, postoje dva načina za potvrđivanje metapodataka iz IdP-a klijenta:

  • IdP kupca pruža potpis u metapodacima koji je potpisao javni vrhovni CA.
  • IdP kupca pruža samopotpisani privatni CA ili ne obezbeđuje potpis za svoje metapodatke. Ova opcija je manje bezbedna.
Inače, u formularu za konfiguraciju, unesite informacije o IdP-u.

Kliknite na Dalje.

8

(Opciono) Možete da promenite ime SAML atributa za Vebek korisničko ime ili primarnu adresu e-pošte od uid do nečega što je dogovoreno sa IdP menadžerom, kao što je email, upnitd.

9

(Opciono) Konfigurišite postavke Just In Time (JIT) i odgovor na mapiranje SAML-a.

Pogledajte Konfigurisanje Just In Time (JIT) i SAML mapiranje na kartici Upravljanje IDP-ovima u ovom članku.
10

Kliknite na dugme Test DZS podešavanje, a kada se otvori nova kartica pretraživača, autentifikovati sa IdP tako što ćete se prijaviti.

Testirajte SSO vezu pre nego što je omogućite. Ovaj korak funkcioniše kao suvo pokretanje i ne utiče na postavke vaše organizacije dok ne omogućite SSO u sledećem koraku.

Ako primite grešku u autentifikaciji, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste videli DZS prijavljivanje iskustvo, preporučujemo da kliknete na dugme Kopiraj URL u ostavu sa ovog ekrana i nalepite ga u prozoru privatnog pretraživača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

11

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Aktivirajte DZS i IdP i kliknite na dugme Aktiviraj.
  • Ako test nije uspeo, izaberite Neuspešni test. Vratite se na prethodne korake da biste popravili greške.

DZS konfiguracija ne stupa na snagu u vašoj organizaciji, osim ako ne izaberete prvi radio dugme i aktivirate DZS.

Šta je sledeće

Možete podesiti pravilo rutiranja. Pogledajte Dodavanje ili uređivanje pravila rutiranja na kartici Pravila rutiranja u ovom članku.

Možete pratiti proceduru u Suzbijanje automatskih e-poruka da biste onemogućili e-poštu poslatu novim korisnicima Webex aplikacije u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.

Konfigurišite OpenID Connect

Kada podešavate OpenID Connect sa Entra ID-om ili IdP-om gde e-pošta nije trajni identifikator, preporučujemo da koristite externalId atribut povezivanja za mapiranje na jedinstveni identifikator. Za Entra ID, predlažemo mapiranje OIDC na externalId. Ako utvrdimo da e-pošta ne odgovara atributu povezivanja, od korisnika se traži da potvrdi svoj identitet ili kreira novog korisnika sa ispravnom adresom e-pošte.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta i kliknite na dugme Aktivirajte DZS.

4

Izaberite OpenID Connect kao svoj IdP i kliknite na dugme Dalje.

5

Unesite svoje podatke o IDP-u.

  • Ime—Ime za identifikaciju vašeg IdP-a.
  • ID klijenta—Jedinstveni ID za identifikaciju vas i vašeg IdP-a.
  • Tajna klijenta – Lozinka koju vi i vaš IdP znate.
  • Opsezi - Opsezi koji će biti povezani sa vašim IdP-om.

6

(Opciono) Toggle Dozvoli Dokaz ključ za razmenu koda (PKCE) konfiguracija na da podesite svoj OIDC IdP sa ovim bezbednosnim proširenjem.

Ovo jača sigurnost klijentskih aplikacija i obezbeđuje kompatibilnost sa korisnicima koji to zahtevaju.

7

Izaberite kako da dodate krajnje tačke. Ovo se može uraditi automatski ili ručno.

  • Koristite URL za otkrivanje da biste automatski dodali krajnje tačke.

    • Unesite URL za otkrivanje vašeg IdP-a. Ovaj URL će automatski popuniti neophodne krajnje tačke za OIDC single logout (SLO).
    • Uključite Dozvolite sesiji da se automatski odjavi kako bi se osiguralo da su korisnici odjavljeni u svim povezanim aplikacijama i uslugama kada se odjave iz Vebek-a.

  • Ako više volite da ručno dodate sve informacije o krajnjoj tački, dodajte sledeće detalje.

    • Izdavač—Unesite URL izdavača kao što je navedeno od strane vašeg IdP-a.
    • Krajnja tačka autorizacije – Unesite URL za krajnju tačku autorizacije.
    • Krajnja tačka tokena – Unesite URL za krajnju tačku tokena.
    • JWKS endpoint—Unesite URL JSON Web Key Set (JWKS).
    • Userinfo endpoint – Unesite URL za krajnju tačku korisničkih informacija.
    • Ako je uključena opcija Dozvoli sesiji da se automatski odjavi, onda morate da unesete URL krajnje tačke sesije da biste omogućili jedinstveno odjavljivanje (SLO) u svim povezanim aplikacijama.
    Za više informacija, pogledajte OpenID Connect vodič za konfiguraciju.

8

(Opciono) Konfigurišite postavke Just In Time (JIT).

Pogledajte Konfigurisanje Just In Time (JIT) i SAML mapiranje na kartici Upravljanje IDP-ovima u ovom članku.
9

Kliknite na dugme Test DZS podešavanje, a kada se otvori nova kartica pretraživača, autentifikovati sa IdP tako što ćete se prijaviti.

Testirajte SSO vezu pre nego što je omogućite. Ovaj korak funkcioniše kao suvo pokretanje i ne utiče na postavke vaše organizacije dok ne omogućite SSO u sledećem koraku.

Ako primite grešku u autentifikaciji, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste videli DZS prijavljivanje iskustvo, preporučujemo da kliknete na dugme Kopiraj URL u ostavu sa ovog ekrana i nalepite ga u prozoru privatnog pretraživača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

10

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Aktivirajte DZS i IdP i kliknite na dugme Aktiviraj.
  • Ako test nije uspeo, izaberite Neuspešni test. Vratite se na prethodne korake da biste popravili greške.

DZS konfiguracija ne stupa na snagu u vašoj organizaciji, osim ako ne izaberete prvi radio dugme i aktivirate DZS.

Šta je sledeće

Možete podesiti pravilo rutiranja. Pogledajte Dodavanje ili uređivanje pravila rutiranja na kartici Pravila rutiranja u ovom članku.

Možete pratiti proceduru u Suzbijanje automatskih e-poruka da biste onemogućili e-poštu poslatu novim korisnicima Webex aplikacije u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.

Konfigurišite Vebek identitet
1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta i kliknite na dugme Aktivirajte DZS.

4

Izaberite Webex kao svoj IdP i kliknite na dugme Dalje.

5

Proverite da li sam pročitao i razumeo kako funkcioniše Vebex IdP i kliknite na dugme Dalje.

6

Podesite pravilo rutiranja.

Pogledajte Dodavanje ili uređivanje pravila rutiranja na kartici Pravila rutiranja u ovom članku.

Kada dodate pravilo rutiranja, vaš IdP se dodaje i prikazuje se na kartici Provajder identiteta.

Šta dalje

Možete pratiti proceduru u Suzbijanje automatskih e-poruka da biste onemogućili e-poštu koja se šalje novim korisnicima Webex aplikacije u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.

Pravila rutiranja primenjuju se prilikom postavljanja više od jednog IdP-a. Pravila rutiranja omogućavaju Veek-u da identifikuje koji IdP da pošalje svoje korisnike kada ste konfigurisali više IdP-ova.

Kada podešavate više od jednog IdP-a, možete definisati pravila rutiranja u čarobnjaku za konfiguraciju DZS. Ako preskočite korak pravila rutiranja, onda Control Hub dodaje IdP, ali ne aktivira IdP. Morate dodati pravilo rutiranja da biste aktivirali IdP.

Dodajte ili izmenite pravila rutiranja
1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idi na karticu Pravila rutiranja.

Kada konfigurišete svoj prvi IdP, pravilo rutiranja se automatski dodaje i postavlja se kao podrazumevano pravilo. Možete da izaberete drugi IdP da podesite kao podrazumevano pravilo kasnije.

4

Kliknite na dugme Dodaj novo pravilo rutiranja.

5

Unesite detalje za pravilo rutiranja:

  • Naziv pravila—Unesite naziv za pravilo rutiranja.
  • Izaberite vrstu rutiranja – Izaberite domen ili grupu.
  • Ako su ovo vaši domeni/grupe—Unesite domene/grupe unutar vaše organizacije.
  • Zatim koristite ovog provajdera identiteta—Izaberite IdP.

6

Izaberite metod višefaktorske autentifikacije (MFA):

  • Zadrži trenutni MFA status—Omogućava vam da zadržite postojeći MFA metod bez pravljenja izmena.
  • Premosti trenutni MFA status—Omogućava vam da promenite postojeći MFA metod u novu konfiguraciju.
  • Dozvoli MFA samo za ovo pravilo—Uključi da omogući MFA posebno za trenutno pravilo rutiranja.

Za više informacija o konfigurisanju MFA za vašu organizaciju, pogledajte Omogućite integraciju višefaktorske autentifikacije u Control Hub-u.

7

Kliknite na dugme Dodaj.

8

Izaberite novo pravilo rutiranja i kliknite na dugme Aktiviraj.

Možete da promenite redosled prioriteta pravila rutiranja ako imate pravila rutiranja za više IdP.

Deaktivirajte ili izbrišite pravila rutiranja
1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idi na karticu Pravila rutiranja.

4

Izaberite pravilo rutiranja.

5

Izaberite da li želite da Deaktivirate ili Obrišite pravilo rutiranja.

Preporučuje se da imate još jedno aktivno pravilo rutiranja za IdP. U suprotnom, možete naići na probleme sa prijavom DZS.

Podrazumevano pravilo ne može biti deaktivirano ili izbrisano, ali možete da izmenite usmereni IdP.

Upravljajte sertifikatima provajdera identiteta (IdP)

Pre nego što počnete

S vremena na vreme možete dobiti obaveštenje putem e-pošte ili videti obaveštenje u kontrolnom čvorištu da će IdP certifikat isteći. Pošto IdP prodavci imaju svoju specifičnu dokumentaciju za obnavljanje certifikata, pokrivamo ono što je potrebno u kontrolnom čvorištu , zajedno sageneričkim koracima za preuzimanje ažuriranih IdP metapodataka i otpremanje u kontrolno čvorište radi obnavljanja certifikata.

Ovo se primenjuje samo na SAML konfiguraciju.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Idite na IdP, kliknite Otpremanje i izaberite Upload Idp metapodataka.

Da biste preuzeli datoteku metapodataka, kliknite Preuzmi i izaberite Preuzmi Idp metapodatke.
5

Dođite do IdP interfejsa za upravljanje da biste preuzeli novu datoteku metapodataka.

6

Vratite se u Control Hub i prevucite i ispustite datoteku metapodataka IDP-a u oblast za otpremanje ili kliknite na dugme Izaberite datoteku da biste otpremili metapodatke.

7

Izaberite Manje bezbedno (samopotpisano) ili Sigurnije (potpisano od strane javnog CA), u zavisnosti od toga kako su potpisani vaši IdP metapodaci i kliknite na dugme Sačuvaj.

8

Konfigurišite postavke Just In Time (JIT) i odgovor na mapiranje SAML-a.

Pogledajte Konfigurisanje Just In Time (JIT) i SAML mapiranje na kartici Upravljanje IDP-ovima u ovom članku.
9

Kliknite na dugme Test DZS podešavanje, a kada se otvori nova kartica pretraživača, autentifikovati sa IdP tako što ćete se prijaviti.

Testirajte SSO vezu pre nego što je omogućite. Ovaj korak funkcioniše kao suvo pokretanje i ne utiče na postavke vaše organizacije dok ne omogućite SSO u sledećem koraku.

Ako primite grešku u autentifikaciji, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste videli DZS prijavljivanje iskustvo, preporučujemo da kliknete na dugme Kopiraj URL u ostavu sa ovog ekrana i nalepite ga u prozoru privatnog pretraživača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

10

Kliknite na Sačuvaj.

Upravljajte sertifikatima provajdera usluga (SP)

Pre nego što počnete

Preporučuje se da ažurirate sve svoje IdP-ove u vašoj organizaciji prilikom obnavljanja SP sertifikata.

Ovo se primenjuje samo na SAML konfiguraciju.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Idite na IdP i kliknite na .

5

Kliknite na dugme Pregledajte sertifikate i datum isteka.

Ovo vas vodi do prozora sertifikata provajdera usluga (SP).
6

Kliknite na dugme Obnovi sertifikat.

7

Izaberite vrstu IDP-a u vašoj organizaciji:

  • IdP koji podržava više sertifikata
  • IdP koji podržava jedan sertifikat
8

Odaberite tip certifikata za obnavljanje:

  • Samostalno potpisano od strane Cisco - Preporučujemo ovaj izbor. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Potpisano od strane javnog autoriteta za sertifikaciju – sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš IdP dobavljač ne podržava sidra poverenja).

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

9

Kliknite Preuzmi metapodatke or Preuzmi sertifikat da biste preuzeli kopiju ažurirane datoteke metapodataka ili sertifikata iz Vebex oblaka.

10

Idite na svoj interfejs za upravljanje IdP-om da biste otpremili novu datoteku ili sertifikat metapodataka Webex-a.

Ovaj korak možete da uradite putem kartice pregledača, protokola udaljene radne površine (RDP) ili putem određene podrške dobavljača oblaka, u zavisnosti od IdP instalacije i toga da li ste vi ili zaseban IdP administrator odgovorni za ovaj korak.

Za više informacija, pogledajte naše DZS integracija vodiči ili kontaktirajte svog IdP administratora za podršku. Ako ste na Active Directori Federation Services (AD FS), možete videti kako ažurirati Vebek metapodatke u AD FS-u

11

Vratite se na interfejs Control Hub i kliknite na dugme Dalje.

12

Izaberite Uspešno ažuriran sve IdPs i kliknite Dalje.

Ovo učitava datoteku ili sertifikat SP metapodataka svim IDP-ovima u vašoj organizaciji.

13

Kliknite na dugme Završi obnovu.

Testirajte SSO podešavanje

Pre nego što počnete

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Idite na IdP i kliknite na Meni „Još“.

5

Izaberite Test IdP.

6

Kliknite na dugme Test DZS podešavanje, a kada se otvori nova kartica pretraživača, autentifikovati sa IdP tako što ćete se prijaviti.

Ako primite grešku u autentifikaciji, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste videli DZS prijavljivanje iskustvo, preporučujemo da kliknete na dugme Kopiraj URL u ostavu sa ovog ekrana i nalepite ga u prozoru privatnog pretraživača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

7

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Aktivirajte DZS i IdP i kliknite na dugme Sačuvaj.
  • Ako test nije uspeo, izaberite Neuspešni test. Vratite se na prethodne korake da biste popravili greške.

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvo radio dugme i aktivirate SSO.

Konfigurišite Just In Time (JIT) i SAML mapiranje

Pre nego što počnete

Uverite se da su ispunjeni sledeći preduslovi:

  • SSO je već konfigurisan.

  • Domeni su već provereni.

  • Domeni se tvrde i uključuju. Ova funkcija osigurava da se korisnici iz vašeg domena kreiraju i ažuriraju svaki put kada se autentifikuju sa vašim IdP-om.

  • Ako su omogućeni DirSinc ili Entra ID, onda kreiranje ili ažuriranje SAML JIT neće raditi.

  • Omogućena je "Blokiraj ažuriranje korisničkog profila". MAPIRANJE SAML ispravki je dozvoljeno jer ova konfiguracija kontroliše mogućnost korisnika da uređuje atribute. Metodi kreiranja i ažuriranja pod kontrolom administratora su i dalje podržani.

Prilikom postavljanja SAML JIT-a sa Entra ID-om ili IdP-om gde e-pošta nije trajni identifikator, preporučujemo vam da koristite externalId atribut povezivanja za mapiranje na jedinstveni identifikator. Ako utvrdimo da e-pošta ne odgovara atributu povezivanja, od korisnika se traži da potvrdi svoj identitet ili kreira novog korisnika sa ispravnom adresom e-pošte.

Novokreiranim korisnicima neće automatski biti dodeljene licence osim ako organizacija nema podešen automatski predložak licence.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Idite na IdP i kliknite na Meni „Još“.

5

Izaberite Izmeni SAML mapiranje.

6

Konfigurišite postavke Just-in-Time (JIT).

  • Kreirajte ili aktivirajte korisnika: ako se ne pronađe aktivan korisnik, onda Vebek Identiti kreira korisnika i ažurira atribute nakon što je korisnik autentifikovao sa IdP-om.
  • Ažurirajte korisnika SAML atributima: ako je korisnik sa e-adresom pronađen, Webex Identitet ažurira korisnika atributima mapiranim u SAML tvrdnji.
Potvrdite da korisnici mogu da se prijave sa drugom, neidentifikovanom adresom e-pošte.

7

Konfigurišite SAML mapiranje potrebnih atributa.

Tabela 1. Potrebni atributi

Ime atributa Webex identiteta

Ime SAML atributa

Opis atributa

Korisničko ime / Primarna e-adresa

Primer: uid

Mapirajte UID atribut e-adresi, UPN-u ili atributu eduPersonPrincipalName korisnika kom su dodeljene privilegije.

8

Konfigurišite atribute povezivanja.

Ovo bi trebalo da bude jedinstveno za korisnika. Koristi se za traženje korisnika tako da Webex može ažurirati sve atribute profila, uključujući e-poštu za korisnika.
Tabela 2. Atributi povezivanja

Ime atributa Webex identiteta

Ime SAML atributa

Opis atributa

spoljni ID

Primer: korisnik.objectid

U cilju razlikovanja ovog korisnika od drugih pojedinačnih profila. Ovo je neophodno u slučaju mapiranja između direktorijuma ili u slučaju promene drugih atributa profila.

broj zaposlenih

Primer: user.employeeid

Broj zaposlenog korisnika ili identifikacioni broj u njihovom HR sistemu. Imajte na umu da ovo nije za externalid, jer možete ponovo koristiti ili reciklirati employeenumber za druge korisnike.

Atribut proširenja 1

Primer: korisnik.extensionattribute1

Mapirajte ove prilagođene atribute na proširene atribute u Entra ID-u ili vašem direktorijumu, za kodove za praćenje.

Atribut proširenja 2

Primer: korisnik.extensionattribute2

Atribut proširenja 3

Primer: korisnik.extensionattribute3

Atribut proširenja 4

Primer: user.extensionlattribute4

Atribut proširenja 5

Primer: korisnik.extensionattribute5

9

Konfigurišite atribute profila.

Sto 3. Atributi profila

Ime atributa Webex identiteta

Ime SAML atributa

Opis atributa

spoljni ID

Primer: korisnik.objectid

U cilju razlikovanja ovog korisnika od drugih pojedinačnih profila. Ovo je neophodno u slučaju mapiranja između direktorijuma ili u slučaju promene drugih atributa profila.

broj zaposlenih

Primer: user.employeeid

Broj zaposlenog ovog korisnika ili identifikacioni broj u okviru svog HR sistema. Imajte na kraju da ovo nije za "eksterni", jer možete ponovo da koristite ili reciklirate "broj zaposlenih" za druge korisnike.

preferredLanguage

Primer: korisnik.preferredlanguage

Željeni jezik korisnika.

Lokalne

Primer: korisnik.locale

Primarna radna lokacija korisnika.

vremenska zona

Primer: korisnik.timezone

Primarna vremenska zona korisnika.

displayName

Primer: korisničko.displayname

Ime za prikaz korisnika u usluzi Webex.

ime.dato Ime

Primer: korisnik.givenname

Ime korisnika.

ime.familyName

Primer: korisnik.prezime

Prezime korisnika.

adrese.streetAddress

Primer: user.streetaddress

Ulica i broj njegove/njene primarne radne lokacije.

adrese.drzava

Primer: korisnik.stanje

Stanje njihove primarne radne lokacije.

adrese.region

Primer: korisnik.region

Region njegove/njene primarne radne lokacije.

adrese.poštanski broj

Primer: korisnički.poštanski broj

Poštanski broj njegove/njene primarne radne lokacije.

adrese.zemlja

Primer: korisnik.zemlja

Zemlja njegove/njene primarne radne lokacije.

phoneNumbers.work

Primer: broj telefona na poslu

Poslovni broj telefona njegove/njene primarne radne lokacije. Koristite isključivo međunarodni format E.164 (najviše 15 cifara).

phoneNumbers.extension

Primer: broj mobilnog telefona

Poslovni lokal njegovog/njenog primarnog poslovnog broja telefona. Koristite isključivo međunarodni format E.164 (najviše 15 cifara).

zamenica

Primer: korisnik.pronoun

Zamenice korisnika. Ovo je opcionalan atribut i korisnik ili administrator mogu da ga ukaћu vidljivim na svom profilu.

naslov

Primer: user.jobtitle

Radno mesto korisnika.

department

Primer: user.department

Poslovno odeljenje ili poslovni tim korisnika.

zamenica

Primer: korisnik.pronoun

Ovo je zamenica korisnika. Vidljivost ovog atributa kontrolišu Admin i korisnik

manager

Primer: manager

Menadžer korisnika ili njihov tim vode.

centar troškova

Primer: centar troškova

Ovo je prezime korisnika poznato i kao prezime ili porodično ime

email.alternate1

Primer: korisničko.mailnickime

Alternativna e-adresa za korisnika. Ako želite da korisnik bude u mogućnosti da se prijavi koristeći ga, mapiraj ga na uid.

email.alternate2

Primer: korisnik.primaryauthoritativemail

Alternativna e-adresa za korisnika. Ako želite da korisnik bude u mogućnosti da se prijavi koristeći ga, mapiraj ga na uid.

email.alternate3

Primer: user.alternativeauthoritativemail

Alternativna e-adresa za korisnika. Ako želite da korisnik bude u mogućnosti da se prijavi koristeći ga, mapiraj ga na uid.

email.alternate4

Primer: korisnik.othermail

Alternativna e-adresa za korisnika. Ako želite da korisnik bude u mogućnosti da se prijavi koristeći ga, mapiraj ga na uid.

email.alternate5

Primer: korisnik.othermail

Alternativna e-adresa za korisnika. Ako želite da korisnik bude u mogućnosti da se prijavi koristeći ga, mapiraj ga na uid.
10

Konfigurišite atribute proširenja.

Mapirajte ove atribute na proširene atribute u Entra ID-u ili vašem direktorijumu, za kodove za praćenje.
Sto 4. Atributi proširenja

Ime atributa Webex identiteta

Ime SAML atributa

Atribut proširenja 1

Primer: korisnik.extensionattribute1

Atribut proširenja 2

Primer: korisnik.extensionattribute2

Atribut proširenja 3

Primer: korisnik.extensionattribute3

Atribut proširenja 4

Primer: korisnik.extensionattribute4

Atribut proširenja 5

Primer: korisnik.extensionattribute5

Atribut proširenja 6

Primer: korisnik.extensionattribute6

Atribut proširenja 7

Primer: korisnik.extensionattribute7

Atribut proširenja 8

Primer: korisnik.extensionattribute8

Atribut proširenja 9

Primer: korisnik.extensionattribute9

Atribut proširenja 10

Primer: korisnik.extensionattribute10

11

Konfigurišite atribute grupe.

  1. Kreirajte grupu u kontrolnom čvorištu i zabeležite ID Vebex grupe.
  2. Idite u svoj korisnički direktorijum ili IdP i podesite atribut za korisnike koji će biti dodeljeni ID-u Vebex grupe.
  3. Ažurirajte konfiguraciju vašeg IdP-a da biste uključili zahtev koji nosi ime ovog atributa zajedno sa ID-om Vebex grupe (npr. c65f7d85-b691-42b8-a20b-12345xxxx). Takođe možete koristiti spoljni ID za upravljanje promenama imena grupa ili za buduće scenarije integracije. Na primer, sinhronizacija sa Entra ID-om ili implementacija sinhronizacije SCIM grupe.
  4. Navedite tačan naziv atributa koji će biti poslat u SAML tvrdnji sa ID grupe. Ovo se koristi za dodavanje korisnika u grupu.
  5. Navedite tačno ime spoljnog ID-a objekta grupe ako koristite grupu iz vašeg direktorijuma za slanje članova u SAML Assertion.

Ako je korisnik A povezan sa groupID 1234, a korisnik B sa groupID 4567, oni su dodeljeni odvojenim grupama. Ovaj scenario ukazuje na to da jedan atribut omogućava korisnicima da se povežu sa više ID-ova grupa. Iako je ovo neuobičajeno, moguće je i može se smatrati dodatnom promenom. Na primer, ako se korisnik A prvobitno prijavi koristeći groupID 1234, oni postaju član odgovarajuće grupe. Ako se korisnik A kasnije prijavi koristeći groupID 4567, oni se takođe dodaju u ovu drugu grupu.

SAML JIT obezbeđivanje ne podržava uklanjanje korisnika iz grupa ili bilo kakvo brisanje korisnika.

Sto 5. Atributi grupe

Ime atributa Webex identiteta

Ime SAML atributa

Opis atributa

Sortiraj

Primer: Sortiraj

Mapirajte atribute grupe pružaoca usluge identiteta na atribute grupe Webex Identity u svrhu mapiranja tog korisnika grupi za uslugu licenciranja ili podešavanja.

fejssiting

Primer: fejssiting

Mapirajte atribute grupe pružaoca usluge identiteta na atribute grupe Webex Identity u svrhu mapiranja tog korisnika grupi za uslugu licenciranja ili podešavanja.

Listu atributa SAML potvrde za Webex sastanke pogledajte . https://help.webex.com/article/WBX67566

Izbrišite svog provajdera identiteta (IdP)

Pre nego što počnete

Preporučuje se da prvo deaktivirate ili izbrišete pravila rutiranja IdP-a pre nego što izbrišete IdP.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Idite na IdP i kliknite na Meni „Još“.

5

Izaberite izbriši.

1

Prijavite se u kontrolno čvorište.

2

Idi na Upravljanje > bezbednost > autentifikaciju.

3

Idite na karticu Provajdera identiteta.

4

Kliknite Deaktiviraj DZS.

Potvrdite DZS deaktivaciju.

Kada se potvrdi, DZS je deaktiviran za sve IdPs u vašoj organizaciji.

Primićete obaveštenja u kontrolnom čvorištu pre isteka certifikata, ali možete i proaktivno podesiti pravila upozorenja. Ova pravila vas unapred mogu obavestiti da će vaši SP ili IdP certifikati isteći. Ovo vam možemo poslati putem e-pošte, prostora u Webex aplikacijiili oboje.

Bez obzira na konfigurisani kanal isporuke, sva obaveštenja se uvek pojavljuju u kontrolnom čvorištu. Više informacija potražite u centru za obaveštenja u kontrolnom čvorištu.

1

Prijavite se u kontrolno čvorište.

2

Idi u centar za upozorenja.

3

Odaberite stavku Upravljanje onda sva pravila .

4

Sa liste Pravila odaberite bilo koje od SSO pravila koja želite da kreirate:

  • Isteka roka važenja SSO IDP certifikata
  • Isteka sertifikata SSO SP
5

U odeljku Kanal isporuke proverite izbor u polju za potvrdu Zae-poštu , Webexprostor ili oboje.

Ako odaberete email, unesite e-adresu koja bi trebalo da primi obaveštenje.

Ako odaberete opciju Webex prostora, automatski ćete biti dodati u prostor unutar Webex aplikacije i tamo isporučujemo obaveštenja.

6

Sačuvajte promene.

Šta dalje

Obaveštenja o isteku certifikata šaljemo jednom u 15 dana, počevši od 60 dana pre isteka roka važenja. (Možete očekivati upozorenja na dan 60, 45, 30, i 15.) Upozorenja se zaustavljaju kada obnovite sertifikat.

Ako naiđete na probleme sa prijavom na DZS, možete koristiti opciju SSO za samooporavak da biste dobili pristup vašoj Vebex organizaciji kojom se upravlja u Control Hub-u. Opcija samo oporavak vam omogućava da ažurirate ili onemogućite DZS u Control Hub.