Центр єдиного входу та керування

Єдиний вхід (SSO) - це сеанс або процес автентифікації користувача, який дозволяє користувачеві надавати облікові дані для доступу до однієї або декількох програм. Процес автентифікації користувачів для всіх додатків, на які їм надані права. Це виключає подальші підказки, коли користувачі змінюють програми під час певного сеансу.

Протокол Федерації мови розмітки тверджень безпеки (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником ідентифікаційних даних (IdP).

Профілі

Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера додаток Webex підтримує такі прив 'язки:

  • SP ініціював ПОСТ -> зв 'язування ПОСТІВ

  • SP ініціював ПЕРЕНАПРАВЛЕННЯ -> прив 'язка до ПУБЛІКАЦІЇ

Формат NameID

Протокол SAML 2.0 підтримує декілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує наступні формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

У метаданих, які ви завантажуєте з вашого IdP, перший запис налаштовано для використання в Webex.

Єдиний вихід

Програма Webex підтримує профіль єдиного виходу. У програмі Webex користувач може вийти з програми, яка використовує протокол єдиного виходу SAML, щоб завершити сеанс і підтвердити вихід за допомогою вашого IdP. Переконайтеся, що ваш IdP налаштований для єдиного виходу.

Інтегруйте Control Hub з PingFederate


 

У посібниках із налаштування не описується налаштування всіх можливих конфігурацій, а наведено лише конкретний приклад інтеграції SSO. Наприклад, задокументовано дії для інтеграції nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Інші формати, як-от urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, використовуються для інтеграції SSO, але їх не охоплено в нашій документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetings та інші служби, адмініструвані в Control Hub). Якщо ваш сайт Webex інтегрований в Control Hub, сайт Webex успадковує управління користувачами. Якщо ви не можете отримати доступ до Webex Meetings таким чином, і він не керується в Control Hub, ви повинні зробити окрему інтеграцію, щоб увімкнути SSO для Webex Meetings. (Див. Налаштування єдиного входу для Webex для отримання додаткової інформації про інтеграцію SSO в Адміністрацію сайту.)

Перш ніж почати

У разі використання SSO й Control Hub IdP мають відповідати вимогам специфікації SAML 2.0. Крім того, потрібно виконати налаштування IdP з урахуванням наведеного нижче.

Завантажте метадані Webex у локальну систему

1.

У вікні клієнта перейдіть до розділу https://admin.webex.com" Керування" > "Параметри організації", а потім перейдіть до пункту "Аутентифікація", а потім увімкніть параметр "Єдиний вхід", щоб запустити майстер налаштування.

2.

Виберіть тип сертифіката для вашої організації:

  • Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
  • Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

 

Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

3.

Завантажте файл метаданих.

Назва файлу метаданих Webex - idb-meta-<org-ID>-SP.xml.

Налаштуйте підключення нового постачальника послуг

1.

Перейдіть на портал адміністрування PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2.

Під ПІДКЛЮЧЕННЯ SP , виберіть Створити новий .

3.

Виберіть Не використовуйте шаблон для цього підключення перемикач, а потім виберіть Далі .

4.

Виберіть Профілі SSO браузера , потім клацніть Далі .

5.

Виберіть Імпортувати метадані вкладка.

6.

Клацніть Виберіть «Файл». для пошуку та імпорту файлу метаданих, завантаженого з Control Hub, а потім клацніть Далі .

7.

Перегляньте інформацію на вкладці «Загальна інформація», а потім клацніть Готово .

Налаштуйте єдиний вхід у браузері

1.

На порталі адміністрування PingFederate виберіть Налаштуйте SSO браузера .

2.

Перевірте SSO, ініційований SP прапорець, а потім клацніть Далі .

3.

Виберіть Налаштуйте створення тверджень .

  1. Змініть формат ідентифікатора імені на Перехідний процес і перевірте Включіть атрибути на додаток до ідентифікатора тимчасового елемента прапорець.

  2. Розширте атрибути контракту, додавши пошти і uid атрибути у форматі urn:oasis:names:tc:SAML:2.0:attrname-format-basic, потім клацніть Далі .

  3. Виберіть Зіставте новий екземпляр адаптера щоб вибрати механізм автентифікації. З ПРИКЛАДНИК АДАПТЕРА виберіть один із раніше налаштованих механізмів автентифікації, а потім клацніть Далі .

  4. Виберіть Отримайте додаткові атрибути з кількох сховищ даних за допомогою одного зіставлення перемикач, а потім клацніть Далі .

  5. Виберіть Додати джерело атрибута щоб додати контролер домену Active Directory для домену, а потім клацніть Далі .

  6. Укажіть Базовий DN і виберіть кореневий клас об’єкта<Show All="" Attributes=""> . У текстовому полі «Фільтр» введіть фільтр LDAP, а потім клацніть Далі .

    Запис має містити атрибут, який ви очікуєте надати користувач. Він також повинен містити значення, з яким він зіставлений у джерелах LDAP. Наприклад, якщо для активного каталогу налаштовано фільтрування за атрибутом входу Windows, введіть sAMAccountName=${Username} .

  7. Виберіть джерело та значення, щоб зіставити атрибути твердження з атрибутами, наданими сховищем даних AD. (Не вводьте нічого для критеріїв видачі.)

  8. Переконайтеся, що конфігурація тверджень має Зіставлення ідентифікаційних даних встановлено на Перехідний процес , Договір атрибута встановлено на uid , і Екземпляри адаптера встановлено на 1 .


     

    Атрибут uid має зіставлятися з адресою електронної пошти користувача.

4.

Виберіть Налаштуйте параметри протоколу .

  1. Для дозволених прив’язок SAML встановіть прапорець лише POST і Переспрямування прапорці.

  2. Для політики підпису виберіть Завжди підписуйте твердження SAML .

    Налаштування протоколу мають виглядати так.

  3. Виберіть Налаштуйте облікові дані щоб налаштувати сертифікат для твердження.

  4. Виберіть сертифікат, який уже створено для тверджень SAML.

5.

На екрані "Активація та зведення" встановіть Стан підключення до Активний .

Експортуйте метадані з PingFederate

1.

На головному екрані клацніть Керування всіма SP .

2.

Знайдіть щойно створене підключення та клацніть Експортувати метадані .

3.

У розкривному меню виберіть сертифікат, який використовуватиметься для підпису експортованого файлу.

4.

Натисніть Експорт.

Імпортуйте метадані IdP та увімкніть єдиний вхід після тесту

Після експорту метаданих Webex, налаштування вашого IdP та завантаження метаданих IdP до вашої локальної системи, ви готові імпортувати їх до вашої організації Webex з Control Hub.

Перш ніж почати

Не перевіряйте інтеграцію SSO з інтерфейсом постачальника ідентифікаційних даних (IdP). Ми підтримуємо лише потоки, ініційовані постачальником послуг (SP-ініційовані), тому ви повинні використовувати тест SSO Control Hub для цієї інтеграції.

1.

Виберіть один із варіантів:

  • Поверніться на сторінку вибору сертифіката Control Hub у веб-переглядачі, а потім натисніть кнопку Далі.
  • Якщо Центр керування більше не відкривається на вкладці браузера, перейдіть у розділ " https://admin.webex.comКерування" > "Параметри організації", перейдіть до пункту "Автентифікація", а потім виберіть " Дії" > "Імпортувати метадані".
2.

На сторінці Імпорт метаданих IdP або перетягніть файл метаданих IdP на сторінку, або скористайтеся параметром переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати більш безпечний варіант, якщо ви можете. Це можливо лише в тому випадку, якщо ваш IdP використовував публічний ЦС для підписання своїх метаданих.

У всіх інших випадках ви повинні використовувати менш безпечний варіант. Це включає випадки, коли метадані не підписані, самопідписані або підписані приватним ЦС.


 

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

3.

Виберіть Test SSO setup (Тестування налаштування SSO), а коли відкриється нова вкладка браузера, аутентифікуйтеся за допомогою IdP, увійшовши в обліковий запис.


 

Якщо ви отримали помилку автентифікації, може виникнути проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.


 

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові позитивні результати через маркер доступу, який може бути в існуючому сеансі від входу в систему.

4.

Поверніться на вкладку браузера Control Hub.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть SSO і натисніть кнопку Далі.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть SSO і натисніть Далі.

 

Конфігурація SSO не набуває чинності у вашій організації, якщо ви не виберете першу перемикач і не активуєте SSO.

Що далі

Використовуйте процедури синхронізації користувачів Okta в Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Okta в хмарі Webex.

Використовуйте процедури синхронізації користувачів Azure Active Directory в Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Azure AD до хмари Webex.

Щоб вимкнути електронні листи, які надсилаються новим користувачам додатка Webex у вашій організації, виконайте процедуру, описану в розділі Придушити автоматизовані електронні листи. Документ також містить найкращі практики для розсилки повідомлень користувачам у вашій організації.