Єдиний вхід

Webex SSO використовує єдиний унікальний ідентифікатор для надання користувачам вашої організації доступу до всіх корпоративних програм. Адміністратори можуть використовувати адміністрування Webex для налаштування SSO для програм Webex.


 

Єдиний вхід — це додаткова функція, яку потрібно підготувати для вебсайту. Для отримання додаткової інформації зверніться до служби підтримки Cisco.

Налаштування SSO

Щоб налаштувати SSO й SAML 2.0, виконайте наведену нижче процедуру.

Перш ніж почати

Отримайте й налаштуйте наведені далі вимоги.

  • Стандартний SAML 2.0 або WS Federate 1.0 сумісний постачальник ідентифікації (IdP), такий як CA SiteMinder, ADFS та Ping Identity.


     

    SAML 1.1 і WS Federate 1.0 є застарілими і більше не підтримуються Cisco Webex.

  • Корпоративний сертифікат відкритого ключа X.509 від довіреного центру сертифікації, як-от VeriSign і Thawte.

  • IdP, налаштований на надання тверджень SAML з інформацією про обліковий запис користувача та ідентифікаторами системи SAML.

  • Файл XML постачальника посвідчень.

  • URL для корпоративної служби IAM.

1.

Увійдіть в систему адміністрування Webex і виберіть Configuration > Common Site Settings > SSO Configuration.

2.

У розкривному списку Протокол федерації виберіть SAML 2.0.

Якщо конфігурація існує, деякі поля вже може бути заповнено.

3.

Клацніть посилання Диспетчер сертифікатів вебсайту.

4.

У вікні Диспетчер сертифікатів вебсайту виберіть Пошук і перейдіть до розташування файлу CER для сертифіката X.509.

5.

Виберіть файл CER і натисніть кнопку OK.

6.

Натисніть кнопку Закрити.

7.

Уведіть потрібну інформацію на сторінці Конфігурація SSO й виберіть параметри, які потрібно ввімкнути.

8

Виберіть Оновити.

Сторінка конфігурації SSO

У таблиці нижче наведено та описано поля і параметри, представлені на сторінці Конфігурація SSO.


 

Під час установлення конфігурації потрібно використовувати точну інформацію. Якщо вам потрібні додаткові роз’яснення щодо інформації, необхідної для налаштування SSO для вашого вебсайту, зверніться до свого постачальника посвідчень.

Таблиця 1. Поля та параметри сторінки налаштування SSO

Поле або параметр

Опис

AuthnContextClassRef

Оператор SAML, який описує автентифікацію в постачальника посвідчень. Має збігатися з конфігурацією IAM. Приклади ADFS: urn:federation:authentication:windows або urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping приклад: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

Щоб використовувати кілька значень AuthnContextClassRef, додайте «;». Приклад: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Автоматичне створення облікових записів (додатково)

Виберіть, щоб створити обліковий запис користувача. UID, електронна пошта, поля імені та прізвища повинні бути присутніми твердженнями.

Автоматичне оновлення облікових записів (додатково)

Облікові записи Webex можуть оновлюватися за наявності атрибута updateTimeStamp в t Коли в IdP вносяться зміни, нова позначка часу надсилається на сайт Webex, w account з будь-яким атрибутом, надісланим в твердженні SAML.

URL помилки SSO клієнта (додатково)

У разі помилки перенаправляє на цю URL, додавши до неї код помилки.

URL входу до служби SSO клієнта.

URL для служб вашого підприємства з єдиним входом. Користувачі зазвичай виконують вхід, використовуючи цю URL. Розташовується у файлі XML постачальника посвідчень (наприклад, <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL цільової сторінки Webex за замовчуванням (додатково)

Після автентифікації відображає цільову сторінку, призначену лише для вебпрограми.

Імпорт метаданих SAML (посилання)

Клацніть, щоб відкрити діалогове вікно Конфігурація SSO федерації для інтернет-рішень — метадані SAML. Імпортовані поля метаданих охоплюють наведену нижче інформацію.

  • Призначення AuthnRequestSigned.

  • Постачальник SAML (ідентифікатор постачальника посвідчень).

  • URL входу до служби SSO клієнта.

Постачальник SAML (ідентифікатор постачальника посвідчень).

URI однозначно визначає постачальника посвідчень. Конфігурація повинна збігатися з налаштуваннями, зазначеними в системі IAM клієнта. Розташовується у файлі XML постачальника посвідчень (наприклад, entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Формат NameID

Має відповідати конфігурації IdP, з підтримкою наступних форматів:

  • Не вказано.

  • Адреса електронної пошти

  • Назва суб’єкта X509.

  • Ідентифікатор об’єкта.

  • Постійний ідентифікатор.

Видалення суфікса домену UID для UPN в Active Directory

У разі вибору цього параметра домен Active Directory видаляється з імені учасника-користувача (UPN).

Профіль SSO

Задайте спосіб доступу користувачів до вебсайту Webex. Виберіть Ініціюється постачальником послуг, якщо користувачі заходять на вебсайт для нарад Webex і перенаправляються в корпоративну систему постачальника посвідчень для автентифікації. Виберіть Ініціюється постачальником посвідчень, якщо користувачі заходять на вебсайт Webex через корпоративну систему IAM.

Автентифікація SSO для відвідувачів

Ця функція забезпечує додаткові рівні звітності про автентифікацію користувачів на основі твердження SAML для внутрішніх відвідувачів, які використовують Webex Meetings, Webex Training і Webex Events. Якщо ввімкнути цю функцію, вона замінить функцію Webex Meetings «Відображати тег внутрішнього користувача в списку учасників».

Алгоритм підпису для AuthnRequest

З метою підвищення рівня безпеки тепер можна створювати сертифікати, підписані SHA-1, SHA-256 або SHA-512.

Єдиний вихід (додатково)

Установіть прапорець для виходу й зазначте URL виходу.


 

Єдиний вихід, що ініціюється постачальником посвідчень, не підтримується.

Постачальник SAML Webex (ідентифікатор постачальника послуг)

URI ідентифікує службу Webex Messenger як SP. Конфігурація повинна збігатися з налаштуваннями, зазначеними в системі керування ідентичностями та доступом клієнта. Рекомендовані правила іменування: для Webex Meetings уведіть URL вебсайту Webex Meetings; для служби Webex Messenger використовуйте формат «клієнт-домен-ім’я» (наприклад, IM-Client-ADFS-WebexEagle-Com).

Експорт файлу конфігурації метаданих SAML Webex

Ви маєте можливість експортувати деякі метадані, які в майбутньому можна буде імпортувати. Експортовані поля метаданих охоплюють наведене нижче.

  • Призначення AuthnRequestSigned.

  • Постачальник SAML (ідентифікатор постачальника посвідчень).

  • URL входу до служби SSO клієнта.

Поновити термін дії сертифікатів

Перш ніж почати

Ця функція призначена лише для адміністраторів, які налаштували SSO в Адміністрації Webex і які ще не керують своїми сайтами в Центрі керування.


 

Рекомендуємо оновити сертифікат постачальнику посвідчень особи (IdP) до листопада 2022 року. Якщо термін дії сертифіката закінчується, користувачі не зможуть успішно увійти в обліковий запис.

1.

Увійдіть в систему адміністрування Webex і виберіть Configuration > Common Site Settings > SSO Configuration.

2.

Прокрутіть униз до Site SP Certificate Manager .

Відображаються дані сертифіката, термін дії якого закінчується, та нові дані сертифіката (серійний номер, термін придатності, ключові дані, статус та дії). Сертифікат, який зараз використовується, позначено як активний.

3.

Перейдіть до нового сертифіката та натисніть Експортувати сертифікацію.

Ви також можете натиснути Експортувати метадані в нижній частині екрана, щоб завантажити метадані з новим сертифікатом.


 

Термін дії нового файлу сертифіката закінчується через рік. Адміністратори повинні будуть стежити за будь-якими сповіщеннями.

4.

Завантажте новий файл сертифіката до свого постачальника ідентифікаційних даних (IdP).

5.

Натисніть перемикач Active (Активний) для нового сертифіката.

6.

Натисніть Оновити .

Новий сертифікат тепер активний.

7.

Перевірте новий сертифікат.

Поширені запитання при оновленні сертифікатів

З. Чи всі адміністратори постраждали від цієї функції?

В. Ні, це стосується лише адміністраторів, які налаштували SSO в Адміністрації Webex.

З. Що станеться, якщо адміністратор не оновить сертифікат до встановленого терміну?

В. Термін дії сертифіката закінчується, і ваші користувачі не зможуть успішно увійти до Webex. Рекомендовано оновити сертифікат до жовтня 2023 року.

Якщо термін дії сертифіката закінчується, ви все одно можете увійти до Адміністрації сайту, щоб оновити та активувати новий сертифікат відповідному Постачальнику ідентифікаційних даних. Якщо під час оновлення сертифіката виникнуть проблеми, зверніться до служби підтримки Webex.

З. Як довго дійсний новий сертифікат?

В. Новий сертифікат дійсний приблизно один рік. Операційна група Webex генерує новий сертифікат за два місяці до закінчення терміну дії існуючого сертифіката. Це дає вам час для планування та оновлення сертифіката до встановленої дати.