Tek oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onayı İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex bulutu ile kimlik sağlayıcı (IdP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması yalnızca web tarayıcısı SSO profilini destekler. Web tarayıcısı SSO profilinde Webex App aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

Ad Kimliği biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulaması, aşağıdaki Ad Kimliği biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nizden yüklediğiniz meta verilerde, ilk giriş Webex kullanılmak üzere yapılandırılır.

Çoklu Oturum Kapatma

Webex Uygulaması, çoklu oturum kapatma profilini destekler. Webex Uygulamasında, bir kullanıcı uygulamada oturumu kapatabilir. Bunun için oturumu sonlandırmak ve IdP’nizle oturumu kapatmayı onaylamak için SAML çoklu oturum kapatma protokolü kullanılır. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub’ı SimpleSAML ile Entegre Etme


 

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient belgelendirilmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ve urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer biçimler, urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SSO entegrasyonu için kullanılabilir ancak belgelerimiz kapsamında yer verilmemiştir.

Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu ayarlayın ( Webex Uygulaması, Webex Meetings ve Control Hub'da yönetilen diğer hizmetler dahil). Webex siteniz Control Hub'a entegre edilmişse Webex sitesi , kullanıcı yönetimini devralır. Webex Meetings bu şekilde erişemiyorsanız ve Control Hub'da yönetilmiyorsa, Webex Meetings için SSO etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

Başlamadan önce

SSO ve Control Hub için, IdP’lerin SAML 2.0 spesifikasyonuna uyması gerekir. Ek olarak, IdP’ler aşağıdaki şekilde yapılandırılmalıdır:

Webex meta verilerini yerel sisteminize indirin

1

Müşteri görünümündenhttps://admin.webex.com , git Yönetim > Organizasyon Ayarları öğesine gidin ve ardından kimlik doğrulama ve ardından Tek oturum açma Kurulum sihirbazını başlatmak için ayar.

2

Kuruluşunuz için sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı —Bu seçimi öneriyoruz. Sertifikayı biz imzalayalım, böylece her beş yılda bir yenilemeniz yeterli.
  • Genel bir sertifika yetkilisi tarafından imzalanmış —Daha güvenlidir ancak meta verileri sık sık güncellemeniz gerekir (IdP satıcınız güven bağlantılarını desteklemediği sürece).

 

Güven çapaları, bir dijital imzanın sertifikasını doğrulamak için bir otorite görevi gören ortak anahtarlardır. Daha fazla bilgi için IDP belgelerinize bakın.

3

Meta veri dosyasını indirin.

Webex meta veri dosya adı: idb-meta-<org-ID> -SP.xml .

Meta verileri dönüştür

1

Dışa aktarılan Webex meta veri dosyasını bir metin düzenleyicide açın.

2

Tarayıcınızda simpleSAML ana sayfasını açın ve yönetici kimlik bilgilerinizle oturum açın.

Ana sayfa konumu değişir, ancak genellikle bu örnek URL'ye benzer: https://yourcompany.yourdomain.com/simplesaml.

3

Ana sayfada düğmesine tıklayın Federasyon.

4

Araçlar altında, Basit SAML XML dönüştürmek için bir XML yapın.

5

Metin düzenleyicinizden Webex meta verilerini kopyalayın ve ardından XML dönüştürme alanına yapıştırın.

6

düğmesine tıklayın Ayrıştır.

Dönüştürülen meta veriler görünür. Bu verileri uzak SP metin dosyasına ekleyeceksiniz.

Uzak hizmet sağlayıcı meta veri dosyası oluştur

Bu adımlar örnek olarak verilmiştir. Meta veri dizini ve IdP ana bilgisayarı, istemci kurulumunuza bağlı olarak farklılık gösterir.

Başlamadan önce

Meta veri dosyasını düzenleyerek geçmeniz gereken öznitelikleri ve mapp buna göre saml20-idp-hosted.php. (Örneğin, uid, posta, e-posta vb.). Örnek meta verilere bakın: 

 'authproc' => array(
 // Convert LDAP names to oids.
 3 => array(
 'class' => 'saml:AttributeNameID',
 'attribute' => 'mail',
 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
 
 ),
 50 => array(
 'class' => 'core:AttributeMap',
 'attribute' => 'mail',
 'mail' => array('uid', 'email', 'mail'),
 'sn' => 'lastname',
 'givenName' => 'firstname',
 
 ),
 ),
1

Toplantı sahibindeki SimpleSAML yapılandırmasında meta veri dizinine gidin.

2

Bir metin düzenleyici kullanarak, ayrıştırılan verileri saml20-sp-remote.php sonuna yapıştırın ve dosyayı kaydedin.

3

SimpleSAML ön sayfasına dönün, Federasyon düğmesine tıklayın ve kimlik sağlayıcı için meta verileri gösterin.

4

Veriyi yeni bir metin dosyasına yapıştır.

5

Güncellenen dosyayı, simplesaml-metadata.xml gibi anlamlı bir adla masaüstünüze kaydedin.

IdP meta verilerini içe aktarın ve bir testten sonra tekli oturum açma etkinleştirin

Webex meta verilerini dışa aktardıktan, IdP'nizi yapılandırdıktan ve IdP meta verilerini yerel sisteminize indirdikten sonra bunları Control Hub'dan Webex kuruluşunuza aktarmaya hazırsınız.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Control Hub – sertifika seçim sayfasına dönün ve ardından Sonraki .
  • Control Hub, tarayıcı sekmesinde artık açık değilse,https://admin.webex.com , git Yönetim > Organizasyon Ayarları , kaydır kimlik doğrulama seçin ve ardından Eylemler > Meta Verileri İçe Aktar .
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

kullanmalısın Daha güvenli seçenek, eğer yapabilirsen. Bu, yalnızca IdP'niz meta verilerini imzalamak için genel bir CA kullandıysa mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçenek. Bu, meta verilerin imzalanmamış, kendinden imzalı veya özel bir CA tarafından imzalanmamış olup olmadığını içerir.


 

Okta meta verileri imzalamaz, bu nedenle Daha az güvenli Okta SSO entegrasyonu için.

3

Seç SSO kurulumunu test edin ve yeni bir tarayıcı sekmesi açıldığında, oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Webex Uygulaması hatası, genellikle SSO kurulumuyla ilgili bir sorun anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.


 

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu adım, oturum açmanızdan sonra mevcut bir oturumda olabilecek bir erişim belirteci nedeniyle yanlış pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılıysa, öğesini seçin. Başarılı test. SSO aç ve tıklayın Sonraki .
  • Test başarısız olursa, öğesini seçin. Başarısız test. SSO kapat ve tıklayın Sonraki .

 

İlk radyo düğmesi seçip SSO etkinleştirmediğiniz sürece, SSO yapılandırması kuruluşunuzda etkili olmaz.

Sonraki işlemler

içindeki prosedürleri kullanın. Okta Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

içindeki prosedürleri kullanın. Azure Active Directory Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Azure AD'den Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

adresindeki prosedürü takip edebilirsiniz. Otomatik E-postaları Engelle kuruluşunuzdaki yeni Webex Uygulaması kullanıcılarına gönderilen e-postaları devre dışı bırakmak için. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.