Enkel inloggning och Webex Control Hub

Single Sign-on (SSO) är en sessions-eller användarautentisering som gör det möjligt för användare att ange inloggnings uppgifter för att få åtkomst till ett eller flera program. Processer autentiserar användare för alla de program som de tilldelas rättigheter till. Den eliminerar ytterligare uppmaningar när användare växlar program under en särskild session.

Federations protokollet Security Assertion Markup Language (SAML 2,0) används för att tillhandahålla SSO autentisering mellan Cisco Webex Cloud och din identitets leverantör (IdP).

Profil

Cisco Webex Teams stöder endast webbläsaren SSO profil. Cisco Webex Teams har stöd för följande bindningar i webbläsaren SSO profil:

  • SP initierad efter > efter bindning

  • SP initierad omdirigering – > efter bindning

NameID-format

SAML 2,0-protokollet har stöd för flera NameID-format för att kommunicera om en specifik användare. Cisco Webex Teams har stöd för följande NameID-format.

  • urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: Ospecificerat

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: emailAddress

I metadata som du laddar från din IdP är den första posten konfigurerad för användning i Cisco Webex.

SingleLogout

Cisco Webex Teams stöder den enskilde utloggnings profilen. En användare kan logga ut från programmet i Cisco Webex Teams-appen, vilket använder SAML ett enskilt utloggnings protokoll för att avsluta sessionen och bekräfta att logga ut med din IdP. Se till att din IdP är konfigurerad för SingleLogout.

Integrera Cisco Webex Control Hub med PingFederate för enkel inloggning


Konfigurations guiderna visar ett specifikt exempel för SSO integrering, men ger ingen uttömmande konfiguration för alla möjligheter. T. ex. integrerings stegen för NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig är dokumenterat. Andra format, t. ex. urn: Oasis: Names: TC: SAML: 1.1: NameID-format: Ospecificerat eller urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fungerar för SSO integrering, men är utanför räckvidden för vår dokumentation.

Konfigurera den här integreringen för användare på din Cisco Webex-organisation (inklusive Cisco Webex Teams, Cisco Webex Meetings och andra tjänster som administreras i Cisco Webex Control Hub). Om din Webex webbplats är integrerad med Cisco Webex Control Hub ärver Webex-webbplatsen användar hantering. Om du inte kan komma åt Cisco Webex Meetings på detta sätt och det inte hanteras i Cisco Webex Control Hub, måste du göra en separat integrering för att aktivera SSO för Cisco Webex Meetings. (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i Webbplatsadministration.)

Innan du börjar

För SSO och Cisco Webex Control Hub måste IdPs överensstämma med SAML 2,0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:
  • Ställ in NameID-format-attributet på urn: Oasis: Names: TC: SAML: 2.0: NameID-format:tillfällig

  • Konfigurera ett anspråk på IdP så att det inkluderar UID- attributnamn med ett värde som är mappat till attributet som har valts i Cisco kataloganslutning eller det användarattribut som matchar det som har valts i Cisco Webex identitetstjänst. (Det här attributet kan vara E-post-adresser eller användar huvud namn, till exempel.) Mer information om anpassad attributinformation finns i https://www.Cisco.com/go/Hybrid-Services-Directory .

  • Använd en webbläsare som stöds: Vi rekommenderar den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.

Hämta Cisco Webex metadata till ditt lokala system

1

Från kund visaren i https://admin.webex.comgår du till inställningaroch bläddrar sedan till autentisering.

2

Klicka på ändra, klicka på integrera en identitets leverantör i tredje part. (Avancerat)och klicka sedan på Nästa.

3

Hämta metadatafilen.

Cisco Webex metadata-filnamn är IDB-meta-<org-ID>-sp. xml.

Konfigurera en ny tjänsteleverantör anslutning

1

Går du till din PingFederate administrations portal (https://<FQDN of="" PingFederate="">: 9999/PingFederate/app).

2

Under SP-anslutningar väljer du Skapa ny.

3

Välj Använd inte en mall för den här anslutnings radioknapp och välj sedan Nästa.

4

Välj webbläsarens SSO profileroch klicka sedan på Nästa.

5

Välj fliken Importera metadata .

6

Klicka på Välj fil om du vill Bläddra till och importera metadatafilen som du hämtade från Cisco Webex Control Hub och klicka sedan på Nästa.

7

Granska informationen på fliken Allmän information och klicka sedan på klar.

Konfigurera webb läsar inloggning

1

Från PingFederate administrations Portal väljer du Konfigurera webb läsar SSO.

2

Markera kryss rutan SP-initierad SSO och klicka sedan på Nästa.

3

Välj Konfigurera kontroll som har skapats.

  1. Ändra NameID-format till tillfällig och markera kryss rutan inkludera attribut utöver den tillfälliga identifieraren .

  2. Utöka kontraktmallar genom att lägga till e-post och UID i formatet urn: Oasis: Names: TC: SAML: 2.0: attrname-format-grundläggandeoch klicka sedan på Nästa.

  3. Välj Mappa ny kort förekomst för att välja en autentiseringsmekanism. Från den nedrullningsbara kort instansen väljer du en av de tidigare konfigurerade autentiseringsmetoderna och klickar sedan på Nästa.

  4. Välj Hämta ytterligare attribut från flera data lager med en mappning radioknapp och klicka sedan på Nästa.

  5. Välj Lägg till källattribut om du vill lägga till Active Directory domänkontrollant för domänen och klicka sedan på Nästa.

  6. Ange bas-DN och välj rot objekts klass <Show All="" Attributes="">. I text rutan Filter anger du LDAP-filtret och klickar sedan på Nästa.

    Posten måste innehålla attributet som du vill att användaren ska ange. Det måste även innehålla värdet som det mappas till i LDAP-källorna. Om din Active Directory t. ex. är inställt på ett filter på Windows-inloggningen anger du sAMAccountName = $ {username}.

  7. Välj källa och värde för att mappa attributen till attributen som tillhandahålls av annons data lagret. (Ange inte något för kriterier för utfärdande.)

  8. Kontrol lera att identitets konfigurationen är inställd på tillfällig, Attribute-kontrakt som är inställd på UIDoch att kort instanserna är inställda på 1.


     

    UID-attributet ska mappas till användarens e-postadress.

4

Välj Konfigurera protokoll inställningar.

  1. För tillåtna SAML-bindningar markerar du endast kryss rutorna publicera och dirigera om .

  2. För signaturinställningar väljer du alltid signera SAML-försäkran.

    Protokoll inställningarna bör se ut på följande sätt:

  3. Välj Konfigurera inloggnings uppgifter för att konfigurera certifikatet för försäkran.

  4. Välj det certifikat som redan har skapats för SAML-kontroller.

5

På skärmen aktiveringen och Summary anger du anslutnings status till aktiv.

Exportera PingFederate metadata

1

Klicka på hantera alla SP. i huvud fönstret.

2

Leta upp den anslutning som du just har skapat och klicka på Exportera metadata.

3

Välj det certifikat som ska användas för att signera den exporterade filen från den nedrullningsbara listan.

4

Klicka på Rapporter

Importera IdP metadata och aktivera enkel inloggning efter ett test

När du har exporterat Cisco Webex metadata, konfigurerar din IdP och hämtar IdP metadata till ditt lokala system är du redo att importera den till din Cisco Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO integrering från identitets leverantörens gränssnitt (IdP). Vi har endast stöd för att använda tjänsteleverantör initierade (SP-initierade) flöden, vilket innebär att du måste Använd Control Hub SSO test för denna integrering.

1

Välj ett alternativ:

  • Återgå till sidan Cisco Webex Control Hub – exportera katalogens metadata i din webbläsare och klicka sedan på Nästa.
  • Om Control Hub inte längre är öppet på webbläsaren, https://admin.webex.comgår du till inställningar, bläddrar till autentisering, väljer integrera en identitets leverantör för tredje part (avancerat)och klickar sedan på Nästa på sidan betrodd metadatafil (eftersom du redan har gjort det).
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafil på sidan eller använda fil läsar alternativet för att leta upp och överföra metadatafilen. Klicka på Nästa.

Om metadata inte är signerade är signerade med ett självsignerat certifikat eller är registrerat med en privat företags certifikat utfärdare (CA) rekommenderar vi att du använder Kräv certifikat som signerats av en certifikat utfärdare i metadata (säkrare). Om certifikatet är självsignerat måste du välja alternativet mindre säker .

3

Välj test SSO anslutning, och när en ny flik öppnas, autentisera med IdP genom att logga in.


 

Om du får ett autentiseringsfel kan det bero på ett problem med inloggnings uppgifterna. Kontrol lera användar namnet och lösen ordet och försök igen.

Ett Webex Teams fel innebär vanligt vis ett problem med SSO-konfigurationen. I så fall kan du gå igenom stegen igen, särskilt stegen där du kopierar och klistrar in kontrollens metadata i IdP-konfigurationen.

4

Återgå till fliken Control Hub-webbläsare.

  • Om testet lyckades väljer du det här testet. Aktivera alternativet enkel inloggning och klicka sedan på Nästa.
  • Om testet misslyckades väljer du det här testet misslyckades. Inaktivera alternativet SSO (Single Sign-on ) och klicka på Nästa.

Och sedan då?

Du kan följa proceduren i Dölj automatiska e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex Teams användare i din organisation. Dokumentet innehåller också bästa praxis för att skicka meddelanden till användare inom din organisation.