Єдиний вхід і центр керування

Єдиний вхід (SSO) – це процес автентифікації сеансу або користувача, який дає змогу надати облікові дані для доступу до однієї або кількох програм. Процес автентифікує користувачів для всіх додатків, на які їм надаються права. Він усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол федерації «Мова розмітки тверджень безпеки» (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником посвідчень (IdP).

Профілі

Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера Webex App підтримує такі прив'язки:

  • ІП ініціював прив'язку POST -> POST

  • СП ініціював ПЕРЕНАПРАВЛЕННЯ -> прив'язка ПОСТ

Формат nameID

Протокол SAML 2.0 підтримує кілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує такі формати NameID.

  • urn: oasis: names: tc: SAML: 2. 0: назва- формат: transient

  • urn: oasis: names: tc: SAML: 1. 1: назва- формат: не заданий

  • urn:oasis:names:tc:SAML:1. 1:ім’я- формат:електронна адреса

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовується для використання в Webex.

Інтегрувати центр керування з Microsoft Azure

Webex підтримує лише один IdP для кожного запиту автентифікації. Процес автентифікації такий: Користувач > автентифікація Webex > IdP 1 > Автентифікація Webex > Користувач. Це означає, що хоча різні користувачі можуть автентифікуватися за допомогою різних IdP, користувач не може перемикатися між кількома IdP протягом одного процесу автентифікації. Будь-які додаткові кроки, як-от MFA, необхідно інтегрувати з єдиним IdP, що використовується для цього конкретного запиту.

Посібники з конфігурації показують конкретний приклад інтеграції SSO, але не надають вичерпної конфігурації для всіх можливостей. Наприклад, задокументовані кроки інтеграції для іменного формату urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Інші формати, такі як урна:oasis:names:tc:SAML:1.1:nameid-format:unspecified або urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress працюватиме для інтеграції SSO, але виходить за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetingsта інші служби, що адмініструються в Control Hub). Якщо ваш вебекс-сайт інтегровано в Control Hub, веб-сайт успадковує керування користувачами. Якщо ви не можете отримати доступ до вебекс-зустрічей таким чином, а керування ними не здійснюється в Центрікерування, необхідно виконати окрему інтеграцію, щоб увімкнути єдиний вхід для вебекс-зустрічей. (Див. Налаштуйте єдиний вхід для Webex для отримання додаткової інформації про інтеграцію єдиного входу в адміністрування сайту.)

Перш ніж почати

У разі використання SSO й Control Hub IdP мають відповідати вимогам специфікації SAML 2.0. Крім того, потрібно виконати налаштування IdP з урахуванням наведеного нижче.

У Azure Active Directory забезпечення підтримується лише в ручному режимі. Цей документ охоплює лише інтеграцію з єдиним входом (SSO).

Завантажте метадані Webex у свою локальну систему

1

У поданні клієнта перейдіть https://admin.webex.comдо розділу Керування > Параметриорганізації, а потім прокрутіть до пункту Автентифікація, а потім перемкніть параметр Єдиний вхід , щоб запустити майстер настроювання.

2

Виберіть тип сертифіката для своєї організації:

  • Самопідписаний Cisco — ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації. Більш безпечний, але вам доведеться часто оновлювати метадані (якщо ваш постачальник IdP не підтримує прив’язки довіри).

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

3

Завантажте файл метаданих.

Ім’я файлу метаданих Webex — idb-meta--SP.xml.

Налаштування параметрів програми SSO в Azure

Перш ніж почати

  • Див. розділ Що таке Azure Active Directory, щоб дізнатися про можливості IdP в Azure Active Directory.

  • Налаштування Azure Active Directory.

  • Створення локальних користувачів або синхронізація з локальною активною системою каталогів.

  • Відкрийте файл метаданих Webex, який ви завантажили з Control Hub.

  • На сайті документації Microsoft є пов 'язаний посібник.

1

Увійдіть на портал Azure за https://portal.azure.com допомогою облікових даних адміністратора.

2

Якщо піктограма Azure Active Directory не відображається, натисніть Інші служби.

3

Перейдіть до Azure Active Directory для своєї організації.

4

Перейдіть до розділу Корпоративні програми, а потім натисніть Додати.

5

Натисніть Додати програму з галереї.

6

У вікні пошуку введіть Cisco Webex.

7

На панелі результатів виберіть Cisco Webex, а потім натисніть Створити, щоб додати програму.

8

Щоб переконатися, що додана програма Webex для єдиного входу не відображається на порталі користувачів, відкрийте нову програму. У розділі "Керувати" натисніть "Властивості" та встановіть для параметра "Видимий для користувачів?" значення "Ні".

Ми не підтримуємо показ додатка Webex користувачам.

9

Налаштувати єдиний вхід:

  1. У розділі "Керування" натисніть "Єдиний вхід", а потім у розділі "Вибрати метод єдиного входу" виберіть SAML.

  2. Клацніть Передати файл метаданих , а потім виберіть файл метаданих, який завантажено з Control Hub.

    Імпортувати файл метаданих в Azure

    Деякі поля автоматично заповнюються для вас.

  3. У розділі "Керування" натисніть "Налаштувати єдиний вхід за допомогою SAML", натисніть значок "Редагувати", щоб відкрити базову конфігурацію SAML.

  4. Скопіюйте значення URL-адреси відповіді та вставте його в URL-адресу входу, а потім збережіть зміни.

10

Перейдіть до розділу Керування > Користувачі та групи, а потім виберіть відповідних користувачів і групи, яким ви хочете надати доступ до програми Webex.

11

На сторінці Налаштування єдиного входу за допомогою SAML у розділі Сертифікат підпису SAML натисніть Завантажити, щоб завантажити XML-файл метаданих федерації та зберегти його на комп 'ютері.

Імпорт метаданих IdP та ввімкнення єдиного входу після тесту

Після експорту метаданих Webex , настроювання ідентифікатора та завантаження метаданих IdP до локальної системи можна імпортувати їх до своєї організації Webex із Центрукерування.

Перш ніж почати

Не тестуйте інтеграцію SSO з інтерфейсу постачальника посвідчень (IdP). Ми підтримуємо потоки, ініційовані лише постачальником послуг (ініційовані SP), тому для цієї інтеграції необхідно використовувати тест SSO Control Hub .

1

Виберіть один із варіантів:

  • Поверніться на сторінку вибору сертифіката в браузері, а потім клацніть Далі.
  • Якщо Control Hub більше не відкривається в вкладці браузера, з подання клієнта в https://admin.webex.com перейдіть до Керування > Налаштування організації, прокрутіть до Автентифікація, а потім виберіть Дії > Імпорт метаданих.
2

На сторінці "Імпорт метаданих idP" перетягніть файл метаданих IdP на сторінку або скористайтеся параметром файлового браузера, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечний », якщо можете. Це можливо лише в тому випадку, якщо ваш IdP використовував загальнодоступний ЦС для підпису своїх метаданих.

У всіх інших випадках необхідно використовувати опцію «Менш безпечний ». Це стосується випадків, коли метадані не підписані, не підписані самостійно або не підписані приватним ЦС.

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

3

Виберіть Тестове налаштування SSO й, коли відкриється нова вкладка браузера, автентифікуйтеся за допомогою IdP, увійшовши.

Якщо з'являється повідомлення про помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові спрацьовування через маркер доступу, який може бути в наявному сеансі від входу.

4

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть єдиний вхід і натисніть Кнопку Далі.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть єдиний вхід і натисніть кнопку Далі.

Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Що далі

Використовуйте процедури, описані в розділі Синхронізація користувачів Okta з Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Okta в хмару Webex.

Використовуйте процедури, описані в розділі Синхронізація користувачів Azure Active Directory з Cisco Webex Control Hub, якщо потрібно виконати підготовку користувачів з Azure AD у хмарі Webex.

Щоб вимкнути електронні листи, які надсилаються новим користувачам програми Webex у вашій організації, можна виконати процедуру в розділі Блокувати автоматизовані електронні листи . Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Усунення несправностей інтеграції Azure

При виконанні тесту SAML, переконайтеся, що ви використовуєте Mozilla Firefox і ви встановлюєте SAML Tracer з https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Перевірте твердження від Azure, щоб переконатися, що воно має правильний формат ідентифікатора імені та атрибут uid, який відповідає користувачу в програмі Webex.