Çoklu oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onaylama İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex SSO bulut ve kimlik sağlayıcınız (IdP) arasında kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması, yalnızca web tarayıcısı ve SSO destekler. Web tarayıcısı ağ SSO, Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

AdKimlik biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulama aşağıdaki NameID biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nize yükleyebilirsiniz, ilk giriş bu özellik üzerinde kullanım içinWebex.

Çoklu Oturum Kapatma

Webex Uygulaması, tek oturum açma profilini destekler. Uygulama Webex bir kullanıcı oturumu sona erdirecek ve IdP'niz ile oturumun çıkışını onaylamak için SAML tek oturum açma protokolünü kullanan uygulamada oturumu sona erebilir. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Çoklu Oturum Açma için Control Hub'ı PingFederate ile Entegre Edin


Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Bu entegrasyonu kullanıcı için Webex ayarla (Webex Uygulaması , Webex Meetings ve Control Hub'da yönetilendiğer hizmetler dahil). Site Webex Control Hub'a entegre edilmişse yeni Webex kullanıcı yönetimini devralr. Yönetime bu şekilde Webex Meetings ve Control Hub'da yönetilmiyorsa için hızlı erişim iznini etkinleştirmek üzere ayrı bir SSO entegrasyon Webex Meetings. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

Başlamadan önce

Standart SSO Control Hub içinIdPs'in SAML 2.0 spesifikasyonuna uygun olması gerekir. Ayrıca IdPs'ler aşağıdaki şekilde yapılandırıldığında gerekir:

Meta verileri Webex sisteminize indirin

1

yapılandırma sihirbazını başlatmak için üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları 'nı seçin ve Kimlik Doğrulama ' ya gidin ve çoklu oturum açma ayarını https://admin.webex.com değiştirin.

2

Organizasyonun sertifika türünü seçin:

  • Cisco tarafından otomatik olarak imzalanan—Bu seçeneği öneriyoruz. Sertifikayı imzalamamız gerekiyor, bu nedenle bunu yalnızca beş yılda bir yenilemelisiniz.
  • Genel sertifika yetkilisi tarafından imzalanmış -Daha güvenli, ancak meta verileri sık bir şekilde güncellemeniz gerekir (IdP satıcınızgüven çıpalarını desteklemediği sürece).

 

Güven çıpaları, dijital imzanın sertifikasını doğrulama yetkisi olarak çalışan genel anahtarlardır. Daha fazla bilgi için IdP belgelerinize başvurun.

3

Meta veri dosyasını indirin.

Meta Webex dosya adıidb-meta-<org-ID>-SP.xmlbiçimindedir.

Yeni bir hizmet sağlayıcı bağlantısı yapılandır

1

PingFederate Yönetim portalınıza gidin ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2

SP CONNECTIONS altında Yeni Oluştur öğesiniseçin.

3

Bu bağlantı bağlantısı bağlantısı için bir şablon kullanma radyo düğmesi seçeneğini ve ardından Sonraki seçeneğiniseçin.

4

Tarayıcı ve SSO Profiller'iseçin ve ardından Sonraki seçeneğini tıklayın.

5

Meta Verileri İçe Aktar sekmesini seçin.

6

Control Hub'dan indirdiğiniz meta veri dosyasına göz atmak ve içe almak için Dosya Seç'e tıklayın ve ardından Sonraki seçeneğinitıklayın.

7

Genel Bilgi sekmesinde bilgileri gözden geçirin ve Bitti 'ye tıklayın.

Tarayıcı tek oturum açmasını yapılandır

1

PingFederate Yönetim portalında, Tarayıcı Ayarlarını Yapılandır'ıSSO.

2

SP-Başlatılan E-posta SSO kutusunu işaretleyin ve ardından Sonraki seçeneğini tıklayın.

3

Yapılandırma Onaylama Oluşturma öğesiniseçin.

  1. NameID biçimini Geçici olarak değiştir ve Geçici tanımlayıcıya ek olarak öznitelikleri dahil edin onay kutusunu işaretleyin.

  2. mail ve uid özniteliklerini urn:oasis:names:tc:SAML:2.0:attrname-format-basicbiçiminde ekleyerek sözleşme öznitelikleriniuzatın.

  3. Kimlik doğrulama mekanizmasını seçmek için Yeni Bağdaştırıcı Örneğini Eşle'yi seçin. BAĞDAŞTıRıCı ÖRNEĞI açılır listesinden, daha önce yapılandırılan kimlik doğrulama mekanizmalarından birini seçin ve ardından Sonraki seçeneğini tıklatın.

  4. Bir eşleştirme dosyasını kullanarak birden fazla veri depodan ek öznitelikleri al'ı radyo düğmesi ve ardından Next (Sonraki) öğesini tıklayın.

  5. Etki alanı için Active Directory Etki Alanı Denetleyicisini eklemek için Öznitelik Kaynağı Ekle'yi seçin ve ardından Sonraki seçeneğini tıklatın.

  6. Temel DN'yi belirtin ve kök nesne sınıfını <Show All="" Attributes="">seçin. Filtre metin kutusuna LDAP filtresini girin ve ardından Sonraki seçeneğini tıklayın.

    Giriş, kullanıcının sağlamayı beklediğiniz özniteliğini içermeli. Ayrıca LDAP kaynaklarında ile eşle değerini içermesi gerekir. Örneğin, active directory'niz Windows oturum açma özniteliğinde filtrelemek için ayarlanmışsa sAMAccountName=${Username}girin.

  7. Onaylama özniteliklerini AD veri mağaza tarafından sağlanan özniteliklerle eşlemek için kaynağı ve değeri seçin. (Verme Kriterleri için hiçbir şey girmeyin.)

  8. Onaylama Yapılandırması'nın Kimlik Eşlemesi'nin Geçici , Öznitelik Sözleşmesi olarak ayarlanmış uid ve Bağdaştırıcı Örnekleri'nin 1 olarak ayarlanmış olduğunudoğrulayın.


     

    uid özniteliği, kullanıcının e-posta adresiyle eşletir.

4

Protokol Ayarlarını Yapılandır öğesiniseçin.

  1. İzin Verilebilir SAML Bağlamaları için yalnızca POST ve Yeniden Yönlendirme onay kutularını işaretleyin.

  2. İmza İlkesi için SAML Onay öğesini her zaman imzala öğesiniseçin.

    Protokol ayarları aşağıdaki gibi olmalı.

  3. Onaylama için sertifikayı yapılandırmak üzere Kimlik Bilgilerini Yapılandır'ı seçin.

  4. SAML onayları için önceden oluşturulmuş sertifikayı seçin.

5

Etkinleştirme ve Özet ekranında Bağlantı Durumunu Etkin olarakayarlayın.

PingFederate'den meta verileri dışa aktar

1

Ana ekranda, Tüm SP'yi Yönet 'etıklayın.

2

Oluşturduğunuz bağlantıyı bulun ve Meta Verileri Dışa Aktar öğesinitıklatın.

3

Açılır dosyadan dışa aktarıldı dosyasını imzalamak için kullanmak istediğiniz sertifikayı seçin.

4

Dışa aktar’a tıklayın.

IdP meta verilerini içe aktarın ve çoklu oturum açma etkinleştir

Meta verileri dışa Webex, IdP'nizi yapılandırın ve IdP meta verilerini yerel sisteminize indirdikten sonra, Control Hub'dan Webex organizasyona aktarmaya hazıroluruz.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızdaki Control Hub – sertifika seçim sayfasına geri dönmek ve ardından Sonraki seçeneğini tıklayın.
  • Control Hub artık tarayıcı sekmesinde açıksa, üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları seçeneğine gidin, Kimlik Doğrulama 'ya kaydırın ve ardından Meta Verileri İçe https://admin.webex.com>seçin.
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Varsa Daha güvenli seçeneğini kullanabilirsiniz. Bu, ancak IdP'niz meta verilerini imzalamak için genel bir CA kullandı ise mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçeneğini kullanabilirsiniz. Meta verilerin imzalanmaz, otomatik olarak imzalanmaz veya özel bir sertifika yetkilisi tarafından imzalanmış olup olmadığını da içerir.

3

Kurulum SSO öğesini seçin ve yeni bir tarayıcı sekmesi açıldığında oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Uygulama Webex hatası, genellikle kurulumda bir SSO anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.


 

Doğrudan oturum açma SSO görmek için URL'yi bu ekrandan panoya kopyala öğesini tıklayıp özel bir tarayıcı penceresine yapıştırabilirsiniz. Bu oturumdan, oturum açma ve kayıt SSO. Bu adım, oturum aken mevcut bir oturumda olabileceğiniz bir erişim belirteci nedeniyle false pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılı olmuşsa Test başarılı'ı seçin. Aç ve SSO 'ye tıklayın.
  • Test başarısız oldusa, Başarısız test'i seçin. Başlat seçeneğini SSO ve Next (Sonraki) öğesini tıklayın.

 

Yeni SSO'i etkinleştirecek veya ilk olarak devre dışı radyo düğmesi yapılandırmanız SSO.

Sonraki adım

Organizasyon sisteminiz için yeni Uygulama kullanıcılarına gönderilen e-postaları devre dışı bırakmak için Otomatik E Webex e-postaları Bastır'daki prosedürü takip edin. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.