Çoklu oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onaylama İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex SSO bulut ve kimlik sağlayıcınız (IdP) arasında kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması, yalnızca web tarayıcısı ve SSO destekler. Web tarayıcısı SSO, Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

AdKimlik biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulama aşağıdaki NameID biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nize yüklemekte olduğu meta veride, ilk giriş bu özellik üzerinde kullanım içinWebex.

Çoklu Oturum Kapatma

Webex Uygulaması, tekli oturum açma profilini destekler. Uygulama Webex bir kullanıcı oturumu sona erdirecek ve IdP'niz ile oturumun çıkış işlemini onaylamak için SAML tek oturum açma protokolünü kullanan uygulamada oturumu çıkışlayabilir. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı F5 Büyük IP ile Entegre Edin

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Bu entegrasyonu kullanıcı için Webex ayarla(Control Hub'Webex Uygulaması , Webex Meetings ve diğer hizmetlerdahil). Kullanıcı Webex Control Hub'a entegre edilmişse yeni Webex kullanıcı yönetimini devralr. Bu şekilde erişim s Webex Meetings ve Control Hub'da yönetilmiyorsa için hızlı erişim iznini etkinleştirmek üzere ayrı bir SSO gerekir Webex Meetings. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

Başlamadan önce

Standart SSO Control Hub içinIdPs'in SAML 2.0 spesifikasyonuna uygun olması gerekir. Ayrıca IdPs'ler aşağıdaki şekilde yapılandırıldığında gerekir:

Meta verileri Webex sisteminize indirin

1

yapılandırma sihirbazını başlatmak için üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları 'nı seçin ve Kimlik Doğrulama ' ya gidin ve çoklu oturum açma ayarını https://admin.webex.com değiştirin.
2

Organizasyonun sertifika türünü seçin:

  • Cisco tarafından otomatik olarak imzalanan—Bu seçeneği öneriyoruz. Sertifikayı imzalamamız gerekiyor, bu nedenle bunu yalnızca beş yılda bir yenilemelisiniz.
  • Genel sertifika yetkilisi tarafından imzalanmış -Daha güvenli, ancak meta verileri sık bir şekilde güncellemeniz gerekir (IdP satıcınızgüven çıpalarını desteklemediği sürece).

 

Güven çıpaları, dijital imzanın sertifikasını doğrulama yetkisi olarak çalışan genel anahtarlardır. Daha fazla bilgi için IdP belgelerinize başvurun.
3

Meta veri dosyasını indirin.

Meta Webex dosya adı idb-meta-<org-ID>-SP.xmlbiçimindedir.

Harici hizmet sağlayıcıyı ve kimlik sağlayıcıyı yapılandır

1

BIG-IP F5 yönetim arayüzünden, IdP olarak BÜYÜK IP olan SAML > erişim ilkesine > gidin.
2

Harici SP Bağlayıcıları seçeneğindenMeta Verilerden>'iseçin.
3

.ciscowebex.com gibi hizmet sağlayıcı adı <yourorganizationname>için anlamlı bir adciscowebex.com.
4

Güvenlik Ayarlarıaltında, aşağıdaki onay kutularını işaretleyin:

  • Yanıtın imzalanmış olması gerekir
  • Onaylamanın imzası gerekir
5

SAML tarafından IDP olarak > IP> erişim ilkesine geri dön ve ardından yeni bir kimlik sağlayıcı (IdP) hizmeti oluşturun.
6

CI gibi IdP hizmet adı için anlamlı bir ad girin.
7

IdP Varlık Kimliği için Büyük IP FQDN sunucusunun ön tarafta bir şeyleriyle birlikte kullanın. https://bigip0a.uc8sevtlab13.com/CI
8

Onaylama Ayarlarıaltında, Onaylama Konu Türü için Geçici Tanımlayıcı öğesiniseçin.
9

Onaylama Konu Değeri için%{session.ad.last.attr.mail} kullanıcı e-posta değerinigirin.
10

Öznitelikler posta ve uid değerini%{session.ad.last.attr.mail} değeriyle geridöndürebilirsiniz.
11

Güvenlik Ayarlarıaltında, onaylamayı imzalamak için bir sertifika seçin.
12

Değişikliklerinizi kaydedin ve ardından oluşturduğunuz hizmet sağlayıcı ve kimlik sağlayıcısını bağlayın.

F5 Büyük IP meta verilerini indir

1

IdP Hizmetini Dışa Aktar öğesiniseçin.
2

Meta Verileri İmzala değerinin Evet olduğundan emin olun.
3

Meta veri dosyasını masaüstünüze veya kolayca bulmanız için bir konuma indirin.

Erişim ilkesi ekle

1

SAML'de > Profillerine Erişim > gidin ve oluşturduğunuz IdP için bir SAML Kaynağı oluşturun.
2

Erişim Profilinize gidin ve Messenger CAS için kullanın erişim Webex düzenleyin.
3

Oturum Aç sekmesinde Oturum Açma Sayfası adıyla yeni bir öğe ekleyin ve varsayılan değerleri bırakın.
4

Ad Auth ad ile kimlik doğrulaması sekmesine yeni bir öğe ekleyin ve sunucu Active Directory olarak belirtin.
5

Başarılı şubede, Kimlik Doğrulaması sekmesinden AD Query ekleyin
6

Şube Kuralları'nı gidin ve AD Sorgusu olarak değiştirdiysseGeçirildi.
7

AD Sorgunun başarılı dalında, Atama sekmesinden Gelişmiş Kaynak Ataması ekleyin.
8

Ekle/Sil'e tıklayın ve oluşturduğunuz tüm SAML kaynakları ve Webtop ile iki kaynak SAML ekleyin.
9

Bitiş'i seçmek için İzin Ver öğesiniseçin.

Erişim politikası şu ekran görüntüsüne benzer:

Erişim profilini sanal sunucuyla ilişkilendirme

Erişim profilini, oluşturduğunuz sanal sunucuyla ilişkilendirmelisiniz.

1

Sanal Sunucular için Yerel > gidin.
2

Profille ilişkili sanal sunucunun olmadığını onaylamak için Erişim Profillerini açın.
3

Gelişmiş Kaynak Ata öğesiniseçin.
4

Yeni SAML kaynağını eklemek için Ekle/sil'i seçin.
5

Erişim İlkesi tasarım pencerelerini kapatın ve yeni erişim politikasını uygula.

IdP meta verilerini içe aktarın ve çoklu oturum açma bir testi etkinleştir

Meta verileri dışa aktardikten Webex IdP'nizi yapılandırın ve IdP meta verilerini yerel sisteminize indirdikten sonra, Control Hub'dan Webex organizasyona aktarmaya hazıroluruz.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızdaki Control Hub – sertifika seçim sayfasına geri dönmek ve ardından Sonraki seçeneğini tıklayın.
  • Control Hub artık tarayıcı sekmesinde açıksa, üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları seçeneğine gidin, Kimlik Doğrulama 'ya kaydırın ve ardından Meta Verileri İçe https://admin.webex.com>seçin.
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Varsa Daha güvenli seçeneğini kullanabilirsiniz. Bu, ancak IdP'niz meta verilerini imzalamak için genel bir CA kullandı ise mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçeneğini kullanabilirsiniz. Meta verilerin imzalanmaz, otomatik olarak imzalanmaz veya özel bir CA ile imzalanmazsa bu bilgiler dahildir.
3

Kurulum SSO öğesini seçin ve yeni bir tarayıcı sekmesi açıldığında oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Uygulama Webex hatası, genellikle kurulum sırasında SSO anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.

 

Doğrudan oturum açma SSO görmek için URL'yi bu ekrandan panoya kopyala öğesini tıklayıp özel bir tarayıcı penceresine yapıştırabilirsiniz. Bu oturumdan, oturum açma ve kayıt SSO. Bu adım, oturum aken mevcut bir oturumda olabileceğiniz bir erişim belirteci nedeniyle false pozitifleri durdurur.
4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılı olmuşsa Test başarılı'ı seçin. Başka bir SSO 'ye tıklayın .
  • Test başarısız olmuşsa Başarısız test'i seçin. Başlat seçeneğini SSO ve Next (Sonraki) öğesini tıklayın.

 

Ağ SSO yapılandırma, ilk olarak Etkinleştir'i seçmedikçe radyo düğmesi içinde SSO.

Sonraki adım

Organizasyon sisteminiz için yeni Uygulama kullanıcılarına gönderilen e-postaları devre dışı bırakmak Webex E-postaları Bastır'daki prosedürü takip edin. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.