Tek oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onayı İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex bulutu ile kimlik sağlayıcı (IdP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması yalnızca web tarayıcısı SSO profilini destekler. Web tarayıcısı SSO profilinde Webex App aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

Ad Kimliği biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulaması, aşağıdaki Ad Kimliği biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nizden yüklediğiniz meta verilerde, ilk giriş Webex kullanılmak üzere yapılandırılır.

Çoklu Oturum Kapatma

Webex Uygulaması, çoklu oturum kapatma profilini destekler. Webex Uygulamasında, bir kullanıcı uygulamada oturumu kapatabilir. Bunun için oturumu sonlandırmak ve IdP’nizle oturumu kapatmayı onaylamak için SAML çoklu oturum kapatma protokolü kullanılır. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı F5 Big-IP ile Entegre Etme


 

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient belgelendirilmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ve urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer biçimler, urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SSO entegrasyonu için kullanılabilir ancak belgelerimiz kapsamında yer verilmemiştir.

Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu ayarlayın ( Webex Uygulaması, Webex Meetings ve Control Hub'da yönetilen diğer hizmetler dahil). Webex siteniz Control Hub'a entegre edilmişse Webex sitesi , kullanıcı yönetimini devralır. Webex Meetings bu şekilde erişemiyorsanız ve Control Hub'da yönetilmiyorsa, Webex Meetings için SSO etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

Başlamadan önce

SSO ve Control Hub için, IdP’lerin SAML 2.0 spesifikasyonuna uyması gerekir. Ek olarak, IdP’ler aşağıdaki şekilde yapılandırılmalıdır:

Webex meta verilerini yerel sisteminize indirin

1

Müşteri görünümündenhttps://admin.webex.com , git Yönetim > Organizasyon Ayarları öğesine gidin ve ardından kimlik doğrulama ve ardından Tek oturum açma Kurulum sihirbazını başlatmak için ayar.

2

Kuruluşunuz için sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı —Bu seçimi öneriyoruz. Sertifikayı biz imzalayalım, böylece her beş yılda bir yenilemeniz yeterli.
  • Genel bir sertifika yetkilisi tarafından imzalanmış —Daha güvenlidir ancak meta verileri sık sık güncellemeniz gerekir (IdP satıcınız güven bağlantılarını desteklemediği sürece).

 

Güven çapaları, bir dijital imzanın sertifikasını doğrulamak için bir otorite görevi gören ortak anahtarlardır. Daha fazla bilgi için IDP belgelerinize bakın.

3

Meta veri dosyasını indirin.

Webex meta veri dosya adı: idb-meta-<org-ID> -SP.xml .

Harici hizmet sağlayıcıyı ve kimlik sağlayıcıyı yapılandırın

1

BIG-IP F5 yönetim arayüzünden şuraya gidin: Erişim Politikası > SAML > IdP olarak BIG-IP.

2

Harici SP Bağlayıcılarından, seçin Oluştur > Meta Verilerden.

3

Hizmet sağlayıcı adı için <yourorganizationname>.ciscowebex.com gibi anlamlı bir ad girin.

4

Güvenlik Ayarları altında, aşağıdaki onay kutularını işaretleyin:

  • Yanıt imzalanmalıdır
  • Onaylama imzalanmalı
5

şirketine dön Erişim Politikası > SAML > IdP olarak BIG-IP ve ardından yeni bir kimlik sağlayıcı (IdP) hizmeti oluşturun.

6

CI gibi IdP hizmet adı için anlamlı bir ad girin.

7

IdP Varlık Kimliği için, önünde bir şey olan Big-IP sunucusunun FQDN'sini kullanın - örneğin, https://bigip0a.uc8sevtlab13.com/CI.

8

Onaylama Ayarları altında, Onaylama Konu Türü için Geçici Tanımlayıcı'yı seçin.

9

Onaylama Konusu Değeri için, %{session.ad.last.attr.mail} kullanıcısının e-posta değerini döndürün.

10

Öznitelikler posta ve kullanıcı kimliğini%{session.ad.last.attr.mail} değeriyle döndürün.

11

Güvenlik Ayarları altında, onaylamayı imzalamak için bir sertifika seçin.

12

Değişikliklerinizi kaydedin ve ardından oluşturduğunuz hizmet sağlayıcıyı ve kimlik sağlayıcısını bağlayın.

F5 Big-IP meta verilerini indirin

1

IDP Hizmetini Dışa Aktar seçeneğini seçin.

2

Sign Metadata değerinin Evet olduğundan emin olun.

3

Meta veri dosyasını masaüstünüze veya bulmanız kolay bir konuma indirin.

Bir erişim politikası ekle

1

Erişim Politikası > Erişim Profilleri > SAML’ye gidin ve oluşturduğunuz IdP için bir SAML Kaynağı oluşturun.

2

Erişim Profilinize gidin ve WebEx Messenger CAS için kullandığınız erişim politikasını düzenleyin.

3

Logon sekmesine Logon Page adıyla yeni bir öğe ekleyin ve varsayılan değerleri bırakın.

4

Kimlik Doğrulama sekmesine AD Auth adıyla yeni bir öğe ekleyin ve sunucu olarak Active Directory’nizi belirtin.

5

Başarılı dalda, Kimlik Doğrulama sekmesinden AD Sorgusu ekleyin

6

Şube Kuralları bölümüne gidin ve AD Sorgusu olarak değiştirin.

7

AD Sorgusunun başarılı dalına Atama sekmesinden Gelişmiş Kaynak Atama ekleyin.

8

Ekle/Sil seçeneğine tıklayın ve oluşturduğunuz tüm SAML kaynakları ve Webtop ile birlikte iki kaynak SAML ekleyin.

9

Sonlanmayı Seç için Izin Ver seçeneğini belirleyin.

Erişim politikası şu ekran görüntüsü gibi görünmelidir:

Erişim profilini sanal sunucu ile ilişkilendirme

Erişim profilini oluşturduğunuz sanal sunucuyla ilişkilendirmeniz gerekir.

1

Şuraya gidin: Yerel Trafik > Sanal Sunucular.

2

Hiçbir sanal sunucunun profille ilişkilendirilmediğini onaylamak için Erişim Profillerini açın.

3

Gelişmiş Kaynak Atama öğesini seçin.

4

Yeni SAML kaynağını eklemek için Ekle/sil seçeneğini seçin.

5

Erişim Politikası tasarım pencerelerini kapatın ve yeni erişim politikasını uygulayın.

IdP meta verilerini içe aktarın ve bir testten sonra tekli oturum açma etkinleştirin

Webex meta verilerini dışa aktardıktan, IdP'nizi yapılandırdıktan ve IdP meta verilerini yerel sisteminize indirdikten sonra bunları Control Hub'dan Webex kuruluşunuza aktarmaya hazırsınız.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Control Hub – sertifika seçim sayfasına dönün ve ardından Sonraki .
  • Control Hub, tarayıcı sekmesinde artık açık değilse,https://admin.webex.com , git Yönetim > Organizasyon Ayarları , kaydır kimlik doğrulama seçin ve ardından Eylemler > Meta Verileri İçe Aktar .
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

kullanmalısın Daha güvenli seçenek, eğer yapabilirsen. Bu, yalnızca IdP'niz meta verilerini imzalamak için genel bir CA kullandıysa mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçenek. Bu, meta verilerin imzalanmamış, kendinden imzalı veya özel bir CA tarafından imzalanmamış olup olmadığını içerir.


 

Okta meta verileri imzalamaz, bu nedenle Daha az güvenli Okta SSO entegrasyonu için.

3

Seç SSO kurulumunu test edin ve yeni bir tarayıcı sekmesi açıldığında, oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Webex Uygulaması hatası, genellikle SSO kurulumuyla ilgili bir sorun anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.


 

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu adım, oturum açmanızdan sonra mevcut bir oturumda olabilecek bir erişim belirteci nedeniyle yanlış pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılıysa, öğesini seçin. Başarılı test. SSO aç ve tıklayın Sonraki .
  • Test başarısız olursa, öğesini seçin. Başarısız test. SSO kapat ve tıklayın Sonraki .

 

İlk radyo düğmesi seçip SSO etkinleştirmediğiniz sürece, SSO yapılandırması kuruluşunuzda etkili olmaz.

Sonraki işlemler

içindeki prosedürleri kullanın. Okta Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

içindeki prosedürleri kullanın. Azure Active Directory Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Azure AD'den Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

adresindeki prosedürü takip edebilirsiniz. Otomatik E-postaları Engelle kuruluşunuzdaki yeni Webex Uygulaması kullanıcılarına gönderilen e-postaları devre dışı bırakmak için. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.