Можна настроїти інтеграцію єдиного входу (SSO) між Control Hub і розгортанням, яке використовує F5 Big-IP як постачальника посвідчень (IdP).
Єдиний вхід і центр керування
Єдиний вхід (SSO) – це процес автентифікації сеансу або користувача, який дає змогу надати облікові дані для доступу до однієї або кількох програм. Процес автентифікує користувачів для всіх додатків, на які їм надаються права. Він усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.
Протокол федерації «Мова розмітки тверджень безпеки» (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником посвідчень (IdP).
Профілі
Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера Webex App підтримує такі прив'язки:
ІП ініціював прив'язку POST -> POST
СП ініціював ПЕРЕНАПРАВЛЕННЯ -> прив'язка ПОСТ
Формат nameID
Протокол SAML 2.0 підтримує кілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує такі формати NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовується для використання в Webex.
SingleLogout
Webex App підтримує єдиний профіль виходу. У Webex Appкористувач може вийти з програми, яка використовує протокол єдиного виходу SAML для завершення сеансу та підтвердження виходу за допомогою idP. Переконайтеся, що ваш IdP налаштовано для SingleLogout.
Інтеграція центру управління з F5 Big-IP
Посібники з конфігурації показують конкретний приклад інтеграції SSO, але не надають вичерпної конфігурації для всіх можливостей. Наприклад, задокументовані кроки інтеграції для іменного формату urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Інші формати, такі як урна:oasis:names:tc:SAML:1.1:nameid-format:unspecified або urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress працюватиме для інтеграції SSO, але виходить за рамки нашої документації. |
Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetingsта інші служби, що адмініструються в Control Hub). Якщо ваш вебекс-сайт інтегровано в Control Hub, веб-сайт успадковує керування користувачами. Якщо ви не можете отримати доступ до вебекс-зустрічей таким чином, а керування ними не здійснюється в Центрікерування, необхідно виконати окрему інтеграцію, щоб увімкнути єдиний вхід для вебекс-зустрічей. (Див. Налаштуйте єдиний вхід для Webex для отримання додаткової інформації про інтеграцію єдиного входу в адміністрування сайту.)
Перш ніж почати
Для центру єдиного входу та контролюВПО повинні відповідати специфікації SAML 2.0. Крім того, ВПО повинні бути налаштовані таким чином:
Завантажте метадані Webex у свою локальну систему
1. | У поданні клієнта перейдіть https://admin.webex.comдо організації, а потім прокрутіть до пункту Автентифікація, а потім перемкніть параметр Єдиний вхід , щоб запустити майстер настроювання. |
||
2. | Виберіть тип сертифіката для своєї організації:
|
||
3. | Завантажте файл метаданих. Ім'я файлу метаданих Webex — idb-meta-<org-ID>-SP.xml. |
Настроювання зовнішнього постачальника послуг і постачальника посвідчень
1. | З інтерфейсу адміністрування BIG-IP F5 перейдіть до |
2. | У зовнішніх з'єднувачах SP виберіть " Створити |
3. | Введіть зрозуміле ім'я для імені постачальника послуг, наприклад <yourorganizationname>.ciscowebex.com. |
4. | У розділі Настройкибезпеки встановіть такі прапорці:
|
5. | Поверніться до , а потім створіть нову службу постачальника посвідчень (IdP). |
6 | Введіть зрозуміле ім'я для назви служби IdP, наприклад CI. |
7 | Для ідентифікатора сутності IdP використовуйте FQDN сервера Big-IP з чимось попереду, наприклад. https://bigip0a.uc8sevtlab13.com/CI |
8 | У розділі Налаштуваннятверджень виберіть Перехідний ідентифікатор для типусуб'єкта твердження. |
9 | Для параметра Assertion Subject Valueповерніть значення електронної пошти користувача %{session.ad.last.attr.mail}. |
10 | Поверніть атрибути mail і uid зі значенням %{session.ad.last.attr.mail}. |
11 | У розділі Настройкибезпеки виберіть сертифікат для підпису твердження. |
12 | Збережіть зміни, а потім зв'яжіть постачальника послуг і постачальника посвідчень, якого ви створили. |
Завантажити метадані F5 Big-IP
1. | Виберіть Експортувати службуIDP. |
2. | Переконайтеся, що значення метаданих підпису – Так. |
3. | Завантажте файл метаданих на робочий стіл або в розташування, яке вам легко знайти. |
Додавання політики доступу
1. | Перейдіть до політики доступу > профілі доступу > SAML і створіть ресурс SAML для створеного вами ідентифікатора. |
2. | Перейдіть до свого профілю доступу та відредагуйте політику доступу, яку ви використовуєте для WebEx Messenger CAS. |
3. | Додайте новий елемент на вкладці "Вхід " з ім'ям Logon Page і залиште значення за замовчуванням. |
4. | Додайте новий пункт на вкладці Автентифікація з ім'ям AD Auth і вкажіть ваш Active Directory як сервер. |
5. | На успішній гілці додайте AD-запит на вкладці Автентифікація |
6 | Перейдіть до Правил філії та змініть його на Запит AD – Пройдено. |
7 | У успішній гілці AD-запиту додайте Додаткове призначення ресурсу на вкладці Призначення . |
8 | Натисніть Додати /Видалити та додайте два ресурси SAML з усіма ресурсами SAML та веб-вершиною , яку ви створили. |
9 | Для параметра "Виділити закінчення" виберіть " Дозволити". Політика доступу повинна виглядати так скриншот: ![]() |
Зв'яжіть профіль доступу з віртуальним сервером
Профіль доступу необхідно пов'язати зі створеним вами віртуальним сервером.
1. | Перейдіть до |
2. | Відкрийте профілі Access, щоб переконатися, що з профілем не пов'язано жодного віртуального сервера. |
3. | Виберіть елемент Додаткове призначенняресурсу. |
4. | Виберіть «Додати/видалити », щоб додати новий ресурс SAML. |
5. | Закрийте вікна конструктора політики доступу та застосуйте нову політику доступу. |
Імпорт метаданих IdP та ввімкнення єдиного входу після тесту
Після експорту метаданих Webex , настроювання ідентифікатора та завантаження метаданих IdP до локальної системи можна імпортувати їх до своєї організації Webex із Центрукерування.
Перш ніж почати
Не тестуйте інтеграцію SSO з інтерфейсу постачальника посвідчень (IdP). Ми підтримуємо потоки, ініційовані лише постачальником послуг (ініційовані SP), тому для цієї інтеграції необхідно використовувати тест SSO Control Hub .
1. | Виберіть один із варіантів:
|
||||
2. | На сторінці "Імпорт метаданих idP" перетягніть файл метаданих IdP на сторінку або скористайтеся параметром файлового браузера, щоб знайти та завантажити файл метаданих. Клацніть Далі. Ви повинні використовувати опцію «Більш безпечний », якщо можете. Це можливо лише в тому випадку, якщо ваш IdP використовував загальнодоступний ЦС для підпису своїх метаданих. У всіх інших випадках необхідно використовувати опцію «Менш безпечний ». Це стосується випадків, коли метадані не підписані, не підписані самостійно або не підписані приватним ЦС. |
||||
3. | Виберіть елемент Перевірити настроювання єдиного входу, а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою ідентифікатора, увійшовши в систему.
|
||||
4. | Поверніться на вкладку браузера Control Hub .
|
Що далі
Ви можете виконати процедуру заборонити автоматичні електронні листи , щоб вимкнути електронні листи, які надсилаються новим користувачам Webex App у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.