Enkel inloggning och Control Hub

Enkel inloggning (SSO) är en session eller användarautentiseringsprocess som gör det möjligt för en användare att ange autentiseringsuppgifter för att få åtkomst till ett eller flera program. Processen autentiserar användare för alla program som de har behörighet till. Den eliminerar ytterligare uppmaningar när användare byter program under en viss session.

Saml 2.0 Federation Protocol (Security Assertion Markup Language) används för att tillhandahålla SSO verifiering mellan Webex-molnet och din identitetsleverantör (IdP).

Profiler

Webex-appen har endast stöd för SSO webbläsarprofil. I webbläsarens profil SSO stödjer Webex-appen följande bindningar:

  • SP-initierad POST -> POST-bindning

  • SP–initierad OMDIRIGERING -> POST-bindning

NameID-format

SAML 2.0-protokollet stöder flera NameID-format för kommunikation om en specifik användare. Webex-appen har stöd för följande NameID-format.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadatan som du laddar från din IdP är den första posten konfigurerad för användning i Webex.

Enkel utloggning

Webex-appen har stöd för profilen för enkel utloggning. I Webex-appenkan en användare logga ut från programmet som använder SAML-protokollet för enkel utloggning för att avsluta sessionen och bekräfta att logga ut med din IdP. Se till att din IdP har konfigurerats för enskild utloggning.

Integrera Control Hub med PingFederate

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Till exempel är integrationsstegen för nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenterade. Andra format som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integration men ligger utanför vår dokumentations omfattning.

Konfigurera den här integreringen för användare i din Webex-organisation ( inklusive Webex-appen, Webex Meetingsoch andra tjänster som administreras i Control Hub). Om din Webex-webbplats är integrerad i Control Hubärver Webex-webbplatsen användarhanteringen. Om du inte kan komma Webex Meetings åtkomst på detta sätt och den inte hanteras i Control Hub, måste du göra en separat integrering för att aktivera SSO för Webex Meetings.

Innan du börjar

För SSO och Control Hub måste IdP:er följa SAML 2.0-specifikationen. Dessutom måste IdP:er konfigureras på följande sätt:

Hämta Webex metadata till ditt lokala system

1

Logga in på Control Hub.

2

Gå till Ledning > Säkerhet > Autentisering.

3

Gå till fliken Identitetsleverantör och klicka på Aktivera SSO.

4

Välj en IdP.

5

Välj certifikattyp för din organisation:

  • Självsignerad av Cisco— Vi rekommenderar detta alternativ. Låt oss signera certifikatet så att du bara behöver förnya det en gång var femte år.
  • Signerad av en offentlig certifikatutfärdare—Säkrare men du måste uppdatera metadata ofta (såvida inte din IdP-leverantör stöder förtroendeankare).

Betrodda ankare är offentliga nycklar som kan verifiera en digital signaturs certifikat. Se din IdP-dokumentation för mer information.

6

Hämta metadatafilen.

Webex-metadatafilnamnet är idb-meta-<org-ID>-SP.xml.

Konfigurera en ny tjänsteleverantörsanslutning

1

Gå till din PingFederate-administrationsportal (https://:9999/pingfederate/app).

2

Under SP-ANSLUTNINGAR väljer du Skapa ny .

3

Välj använd inte någon mall för den här radioknapp och välj sedan Nästa .

4

Välj Webbläsare SSO Profiler och klicka sedan på Nästa .

5

Välj fliken Importera metadata.

6

Klicka på Välj fil för att bläddra till och importera metadatafilen som du laddade ner från Control Hub och klicka sedan på Nästa.

7

Granska informationen på fliken Allmän info och klicka sedan på Klar.

Konfigurera webbläsarens enkel inloggning (SSB)

1

Från PingFederate Administrationsportal väljer du Konfigurera webbläsare SSO.

2

Markera kryssrutan SP-initierad SSO och klicka sedan på Nästa .

3

Välj Konfigurera skapande av kontroll.

  1. Ändra NameID-formatet till Transient och markera kryssrutan Inkludera attribut utöver den övergående identifieraren.

  2. Utöka kontraktsattributen genom att lägga till attributen mail och uid i formatet urn:oasis:names:tc:SAML:2.0:attrname-format-basicoch klicka sedan på Nästa.

  3. Välj Mappa ny adapterinstans för att välja en verifieringsmekanism. I den nedrullningsna menyn ADAPTER INSTANCE väljer du någon av de tidigare konfigurerade verifieringsmekanismerna och klickar sedan på Nästa .

  4. Välj Hämta ytterligare attribut från flera datalager med hjälp av en mappning radioknapp och klicka sedan på Nästa.

  5. Välj Lägg till attributkälla för att lägga Active Directory för domänen och klicka sedan på Nästa.

  6. Ange bas-DN och välj rotobjektsklassen <Show All Attributes>. I textrutan Filtrera anger du LDAP-filtret och klickar sedan på Nästa.

    Posten måste innehålla det attribut som du förväntar dig att användaren ska tillhandahålla. Den behöver också innehålla värdet som den mappar till i LDAP-källorna. Om din Active Directory exempelvis är inställd att filtrera efter Windows inloggningsattribut anger du sAMAccountName=${Användarnamn}.

  7. Välj källa och värde för att mappa kontrollattributen med de attribut som tillhandahålls av AD-datalagringen. (Ange inget som uppfyller kriterierna för det här villkoret.)

  8. Verifiera att kontrollkonfigurationen har identitetsmappning inställd på Transient , attributkontrakt inställt på uidoch adapterinstanser inställda på 1.

    UID-attributet ska mappa till användarens e-postadress.

4

Välj Konfigurera protokollinställningar.

  1. För Tillåtna SAML-bindningar ska du endast markera kryssrutorna POST och Redirect.

  2. För Signaturpolicy väljer du Signera alltid SAML-försäkran.

    Protokollinställningarna bör se ut som följande.

  3. Välj Konfigurera autentiseringsuppgifter för att konfigurera certifikatet för kontrollen.

  4. Välj certifikatet som redan skapades för SAML-försäkran.

5

På skärmbilden Aktivering och Sammanfattning anger du anslutningsstatusen som Aktiv.

Exportera metadata från PingFederate

1

På huvudskärmen klickar du på Hantera allaSP.

2

Hitta anslutningen som du just skapade och klicka på Exportera metadata.

3

Välj vilket certifikat som ska användas för att signera den exporterade filen från rullgardingsrutan.

4

Klicka på Rapporter

Importera IdP-metadata och aktivera enkel inloggning (SSO) efter ett test

När du har exporterat Webex-metadata , konfigurerat din IdP och hämtat IdP-metadata till ditt lokala system är du redo att importera dem till din Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO-integrering från gränssnittet för identitetsleverantören (IdP). Vi har endast stöd för att använda tjänsteleverantör initierade (SP-initierade) flöden, vilket innebär att du måste Använd Control Hub SSO test för denna integrering.

1

Välj ett alternativ:

  • Gå tillbaka till Control Hub – sidan för val av certifikat i din webbläsare och klicka sedan på Nästa.
  • Öppna Control Hub igen om det inte längre är öppet i din webbläsarflik. Från kundvyn i Control Hub, gå till Hantering > Säkerhet > Autentisering, välj IdP och välj sedan Åtgärder > Importera metadata.
2

På sidan Importera IdP-metadata drar och släpper du antingen IdP-metadatafilen till sidan eller använder filhanteraren för att hitta och ladda upp metadatafilen. Klicka på Nästa.

Du bör använda alternativet Säkrare , om du kan. Detta är endast möjligt om din IdP använde en offentlig CA för att signera dess metadata.

I alla andra fall måste du använda alternativet Mindre säkert. Detta inbegriper om metadatan inte är signerad, själv signerad eller signerad av en privat CA.

Okta signerar inte metadatan, så du måste välja Mindre säkert för en Okta SSO integration.

3

Välj Testa SSO-inställningaroch när en ny webbläsarflik öppnas, autentisera med IdP:n genom att logga in.

Om du får ett autentiseringsfel kan det uppstå ett problem med autentiseringsuppgifterna. Kontrollera användarnamnet och lösenordet och försök igen.

Ett Fel i Webex-appen innebär vanligtvis att ett problem SSO installationen. I det här fallet går du igenom stegen igen, särskilt de steg där du kopierar och klistrar in metadata för Control Hub i IdP-konfigurationen.

Om du vill se SSO-inloggningsupplevelsen direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Det här steget stoppar falskt positivt eftersom det kan finnas en åtkomsttoken i en befintlig session från den som du är inloggad på.

4

Återgå till webbläsarfliken Control Hub.

  • Om testet lyckades väljer du Framgångsrikt test. Sätt på SSO och klicka på Nästa.
  • Om testet misslyckades väljer du Misslyckat test. Stäng av SSO och klicka på Nästa.

Konfigurationen SSO inte gälla i din organisation om du inte först väljer radioknapp och aktiverar SSO.

Nästa steg

Använd procedurerna i Synkronisera Okta-användare till Cisco Webex Control Hub du vill tillhandahålla användare från Okta i Webex-molnet.

Använd procedurerna i Synkronisera Azure Active Directory till Cisco Webex Control Hub användare om du vill tillhandahålla användare med Azure AD i Webex-molnet.

Du kan följa proceduren i Undertryck automatiserade e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex-appanvändare i din organisation. Dokumentet innehåller även bästa praxis för att skicka ut kommunikation till användare i din organisation.