Єдиний вхід і центр керування

Єдиний вхід (SSO) – це процес автентифікації сеансу або користувача, який дає змогу надати облікові дані для доступу до однієї або кількох програм. Процес автентифікує користувачів для всіх додатків, на які їм надаються права. Він усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол федерації «Мова розмітки тверджень безпеки» (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником посвідчень (IdP).

Профілі

Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера Webex App підтримує такі прив'язки:

  • ІП ініціював прив'язку POST -> POST

  • СП ініціював ПЕРЕНАПРАВЛЕННЯ -> прив'язка ПОСТ

Формат nameID

Протокол SAML 2.0 підтримує кілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує такі формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовується для використання в Webex.

Інтеграція Центру керування з Microsoft Entra ID

Webex підтримує лише одного постачальника ідентифікаційних даних для кожного запиту на автентифікацію. Процес автентифікації виглядає наступним чином: Користувач > Автентифікація Webex > Постачальник ідентифікаційних даних 1 > Автентифікація Webex > Користувач. Це означає, що хоча різні користувачі можуть автентифікуватися за допомогою різних постачальників ідентифікаційних даних, користувач не може перемикатися між кількома постачальниками ідентифікаційних даних під час одного процесу автентифікації. Будь-які додаткові кроки, такі як багатофакторна автентифікація (MFA), мають бути інтегровані з єдиним постачальником ідентифікаційних даних (IdP), який використовується для цього конкретного запиту.

У посібниках із налаштування не описується налаштування всіх можливих конфігурацій, а наведено лише конкретний приклад інтеграції SSO. Наприклад, кроки інтеграції для nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient задокументовані. Інші формати, такі як urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, працюватимуть для інтеграції SSO, але вони виходять за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetingsта інші служби, що адмініструються в Control Hub). Якщо ваш вебекс-сайт інтегровано в Control Hub, веб-сайт успадковує керування користувачами. Якщо ви не можете отримати доступ до вебекс-зустрічей таким чином, а керування ними не здійснюється в Центрікерування, необхідно виконати окрему інтеграцію, щоб увімкнути єдиний вхід для вебекс-зустрічей.

Перш ніж почати

У разі використання SSO й Control Hub IdP мають відповідати вимогам специфікації SAML 2.0. Крім того, потрібно виконати налаштування IdP з урахуванням наведеного нижче.

  • В Entra ID налаштування підтримується лише в ручному режимі. У цьому документі описано лише інтеграцію системи єдиного входу (SSO).
  • Існуючі клієнти Webex із попередніми конфігураціями федерації можуть зіткнутися з проблемами зі стандартним шаблоном Entra ID Webex через зміни в атрибутах SAML. Ми рекомендуємо налаштувати власну федерацію Entra ID, щоб вирішити цю проблему, використовуючи ваші попередні налаштування SAML. Переконайтеся, що ви провели тест єдиного входу в Control Hub, щоб забезпечити сумісність та усунути будь-які розбіжності.

Завантажте метадані Webex у свою локальну систему

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних та натисніть Активувати єдиний вхід.

4

Виберіть постачальника ідентифікаційних даних.

5

Виберіть тип сертифіката для своєї організації:

  • Самопідписано Cisco— Ми рекомендуємо цей варіант. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано публічним центром сертифікації— Безпечніше, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує довірчі якорі).

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

6

Завантажте файл метаданих.

Ім'я файлу метаданих Webex — idb-meta-<org-ID>-SP.xml.

Налаштуйте параметри програми SSO в Entra ID

Перш ніж почати

  • Див. Що таке Microsoft Entra?, щоб зрозуміти можливості постачальника ідентифікаційних даних в Entra ID.

  • Налаштуйте ідентифікатор Microsoft Entra.

  • Створюйте локальних користувачів або синхронізуйте їх із локальною системою Entra ID.

  • Відкрийте файл метаданих Webex, який ви завантажили з Центру керування.

  • На сайті документації Microsoft є пов 'язаний посібник.

1

Увійдіть до центру адміністрування Microsoft Entra.

2

Якщо ви не бачите піктограму Microsoft Entra ID, натисніть Інші послуги.

3

Перейдіть до розділу Microsoft Entra ID для вашої організації.

4

Перейдіть до розділу Корпоративні програми, а потім натисніть Додати.

5

Натисніть Додати програму з галереї.

6

У вікні пошуку введіть Cisco Webex.

7

На панелі результатів виберіть Cisco Webex, а потім натисніть Створити, щоб додати програму.

8

Щоб переконатися, що додана програма Webex для єдиного входу не відображається на порталі користувачів, відкрийте нову програму. У розділі "Керувати" натисніть "Властивості" та встановіть для параметра "Видимий для користувачів?" значення "Ні".

Ми не підтримуємо можливість зробити застосунок Webex видимим для користувачів.

9

Налаштувати єдиний вхід:

  1. У розділі "Керування" натисніть "Єдиний вхід", а потім у розділі "Вибрати метод єдиного входу" виберіть SAML.

  2. Натисніть Завантажити файл метаданих, а потім виберіть файл метаданих, який ви завантажили з Control Hub.

    Імпортувати файл метаданих в Azure

    Деякі поля автоматично заповнюються для вас.

  3. У розділі "Керування" натисніть "Налаштувати єдиний вхід за допомогою SAML", натисніть значок "Редагувати", щоб відкрити базову конфігурацію SAML.

  4. Скопіюйте значення URL-адреси відповіді та вставте його в URL-адресу входу, а потім збережіть зміни.

10

Перейдіть до Керування > Користувачі та групи, а потім виберіть відповідних користувачів і групи, яким потрібно надати доступ до застосунку Webex.

11

На сторінці Налаштування єдиного входу за допомогою SAML у розділі Сертифікат підпису SAML натисніть Завантажити, щоб завантажити XML-файл метаданих федерації та зберегти його на комп 'ютері.

Імпорт метаданих IdP та ввімкнення єдиного входу після тесту

Після експорту метаданих Webex , настроювання ідентифікатора та завантаження метаданих IdP до локальної системи можна імпортувати їх до своєї організації Webex із Центрукерування.

Перш ніж почати

Не тестуйте інтеграцію SSO з інтерфейсу постачальника посвідчень (IdP). Ми підтримуємо потоки, ініційовані лише постачальником послуг (ініційовані SP), тому для цієї інтеграції необхідно використовувати тест SSO Control Hub .

1

Виберіть один із варіантів:

  • Поверніться на сторінку вибору сертифіката Центру керування у вашому браузері та натисніть Далі.
  • Знову відкрийте Центр керування, якщо він більше не відкритий у вкладці браузера. З перегляду клієнта в Control Hub перейдіть до розділу Керування > Безпека > Автентифікація, виберіть постачальника ідентифікаційних даних, а потім виберіть Дії > Імпорт метаданих.
2

На сторінці «Імпорт метаданих постачальника ідентифікаційних даних» перетягніть файл метаданих постачальника ідентифікаційних даних на сторінку або скористайтеся опцією браузера файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечний », якщо можете. Це можливо лише в тому випадку, якщо ваш IdP використовував загальнодоступний ЦС для підпису своїх метаданих.

У всіх інших випадках необхідно використовувати опцію «Менш безпечний ». Це стосується випадків, коли метадані не підписані, не підписані самостійно або не підписані приватним ЦС.

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

3

Виберіть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Якщо з'являється повідомлення про помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові спрацьовування через маркер доступу, який може бути в наявному сеансі від входу.

4

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть єдиний вхід і натисніть Кнопку Далі.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть єдиний вхід і натисніть кнопку Далі.

Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Що далі

Використовуйте процедури, описані в розділі Синхронізація користувачів Okta з Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Okta в хмару Webex.

Використовуйте процедури, описані в розділі Синхронізація користувачів Microsoft Entra ID з Cisco Webex Control Hub, якщо ви хочете виконувати налаштування користувачів з Entra ID у хмарі Webex.

Ви можете виконати процедуру, описану в розділі Придушення автоматичних електронних листів, щоб вимкнути електронні листи, що надсилаються новим користувачам програми Webex у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Виправлення неполадок інтеграції Entra ID

При виконанні тесту SAML, переконайтеся, що ви використовуєте Mozilla Firefox і ви встановлюєте SAML Tracer з https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Перевірте твердження, яке надходить від Entra ID, щоб переконатися, що воно має правильний формат nameid та має атрибут uid, який відповідає користувачеві в застосунку Webex.