У вікні клієнта перейдіть до розділу https://admin.webex.com" Керування" > "Параметри організації", а потім перейдіть до пункту "Аутентифікація", а потім увімкніть параметр "Єдиний вхід", щоб запустити майстер налаштування.

Виберіть тип сертифіката для вашої організації:

• Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
• Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

Завантажте файл метаданих.

Перейдіть до каталогу /opt/shibboleth-idp/conf щоб отримати доступ до файлів прикладів.

Вирішіть, який метод авторизації використовувати, наприклад, прив’язку LDAP до Active Directory.

Змініть обробник.xml файл у такий спосіб:

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>

Заповніть відомості про Active Directory, щоб дозволити автентифікацію. Надайте конфігурацію до файлу login.config .

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Додайте файл, завантажений із Webex SP, до каталогу /opt/shibboleth-idp/metadata .

Змініть довірена сторона.xml файл; після тегу DefaultRelyingParty додайте відомості твердження SAML для Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Усередині тегу метаданих:провайдер метаданих додайте розташування файлу:

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

У розділі з’єднувача даних укажіть, де отримати атрибути користувачів.

Active Directory з ідентифікатором MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>

У розділі Визначення атрибута збережіть те, що вже є в конфігурації для ідентифікатора переходу.

Додайте додатковий атрибут, який очікує SP, і визначте, з чим він зіставляється у джерелі атрибута.

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

Визначте, який атрибут надавати до кожної угоди SP у атрибут-фільтр.xml файл.

Відпустіть атрибут uid для угоди SP із Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

Правило, яке ви створили в атрибут-роздільник.xml має мати політику для вивільнення атрибута mail-attr для ідентифікатора запису, який збігається з Webex.

Завантажте файл метаданих із сервера Shibboleth /opt/shibboleth-idp/metadata . Ім’я файлу: idp-метадані.xml .

Виберіть один із варіантів:

• Поверніться на сторінку вибору сертифіката Control Hub у веб-переглядачі, а потім натисніть кнопку Далі.
• Якщо Центр керування більше не відкривається на вкладці браузера, перейдіть у розділ " https://admin.webex.comКерування" > "Параметри організації", перейдіть до пункту "Автентифікація", а потім виберіть " Дії" > "Імпортувати метадані".

На сторінці Імпорт метаданих IdP або перетягніть файл метаданих IdP на сторінку, або скористайтеся параметром переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати більш безпечний варіант, якщо ви можете. Це можливо лише в тому випадку, якщо ваш IdP використовував публічний ЦС для підписання своїх метаданих.

У всіх інших випадках ви повинні використовувати менш безпечний варіант. Це включає випадки, коли метадані не підписані, самопідписані або підписані приватним ЦС.

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

Виберіть Test SSO setup (Тестування налаштування SSO), а коли відкриється нова вкладка браузера, аутентифікуйтеся за допомогою IdP, увійшовши в обліковий запис.

Якщо ви отримали помилку автентифікації, може виникнути проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу. Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові позитивні результати через маркер доступу, який може бути в існуючому сеансі від входу в систему.

Поверніться на вкладку браузера Control Hub.

• Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть SSO і натисніть кнопку Далі.
• Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть SSO і натисніть Далі.

Конфігурація SSO не набуває чинності у вашій організації, якщо ви не виберете першу перемикач і не активуєте SSO.