Єдиний вхід і центр керування

Єдиний вхід (SSO) – це процес автентифікації сеансу або користувача, який дає змогу надати облікові дані для доступу до однієї або кількох програм. Процес автентифікує користувачів для всіх додатків, на які їм надаються права. Він усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол федерації «Мова розмітки тверджень безпеки» (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником посвідчень (IdP).

Профілі

Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера Webex App підтримує такі прив'язки:

  • ІП ініціював прив'язку POST -> POST

  • СП ініціював ПЕРЕНАПРАВЛЕННЯ -> прив'язка ПОСТ

Формат nameID

Протокол SAML 2.0 підтримує кілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує такі формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовується для використання в Webex.

SingleLogout

Webex App підтримує єдиний профіль виходу. У Webex Appкористувач може вийти з програми, яка використовує протокол єдиного виходу SAML для завершення сеансу та підтвердження виходу за допомогою idP. Переконайтеся, що ваш IdP налаштовано для SingleLogout.

Інтеграція диспетчерського хаба з PingFederate

Посібники з конфігурації показують конкретний приклад інтеграції SSO, але не надають вичерпної конфігурації для всіх можливостей. Наприклад, задокументовані кроки інтеграції для іменного формату urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Інші формати, такі як урна:oasis:names:tc:SAML:1.1:nameid-format:unspecified або urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress працюватиме для інтеграції SSO, але виходить за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetingsта інші служби, що адмініструються в Control Hub). Якщо ваш вебекс-сайт інтегровано в Control Hub, веб-сайт успадковує керування користувачами. Якщо ви не можете отримати доступ до вебекс-зустрічей таким чином, а керування ними не здійснюється в Центрікерування, необхідно виконати окрему інтеграцію, щоб увімкнути єдиний вхід для вебекс-зустрічей. (Див. Налаштуйте єдиний вхід для Webex для отримання додаткової інформації про інтеграцію єдиного входу в адміністрування сайту.)

Перш ніж почати

Для центру єдиного входу та контролюВПО повинні відповідати специфікації SAML 2.0. Крім того, ВПО повинні бути налаштовані таким чином:

Завантажте метадані Webex у свою локальну систему

1.

У поданні клієнта перейдіть https://admin.webex.comдо розділу Керування > Параметриорганізації, а потім прокрутіть до пункту Автентифікація, а потім перемкніть параметр Єдиний вхід , щоб запустити майстер настроювання.
2.

Виберіть тип сертифіката для своєї організації:

  • Сам підписаний компанією Cisco— Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації– безпечніше, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує прив'язки довіри).

 

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.
3.

Завантажте файл метаданих.

Ім'я файлу метаданих Webexidb-meta-<org-ID>-SP.xml.

Настроювання нового підключення постачальника послуг

1.

Перейдіть на портал адміністрування PingFederate ( https://<FQDN of PingFederate>:9999/pingfederate/app).

2.

У розділі ПІДКЛЮЧЕННЯ SPвиберіть створити новий.

3.

Натисніть кнопку Не використовувати шаблон для цього радіозв'язку , а потім натисніть кнопку Далі.
4.

Виберіть « Профілі єдиного входу браузера»,а потім натисніть « Далі».
5.

Виберіть вкладку Імпорт метаданих .
6

Натисніть кнопку Вибрати файл , щоб перейти до файлу метаданих, завантаженого з Центрукерування, та імпортувати його, а потім натисніть кнопку Далі.
7

Перегляньте відомості на вкладці Загальні відомості та натисніть кнопку Готово.

Настроювання єдиного входу в браузер

1.

На порталі адміністрування PingFederate виберіть Налаштувати SSOбраузера.
2.

Установіть прапорець Єдиний вхід , ініційований SP, а потім натисніть кнопку Далі.
3.

Виберіть Налаштувати створеннятверджень.

  1. Змініть формат NameID на Перехідний і встановіть прапорець Включити атрибути додатково до перехідного ідентифікатора .

  2. Подовжте атрибути контракту, додавши атрибути пошти та uid у форматі urn:oasis:names:tc:SAML:2.0:attrname-format-basic, а потім натисніть Кнопку Далі.

  3. Виберіть пункт Підключити новий екземпляр адаптера, щоб вибрати механізм автентифікації. У розкривному списку SERVER INSTANCE виберіть один із попередньо налаштованих механізмів автентифікації, а потім натисніть кнопку Далі.

  4. Виберіть елемент Отримати додаткові атрибути з кількох сховищ даних за допомогою однієї зіставної перемикача, а потім натисніть кнопку Далі.

  5. Виберіть « Додати джерело атрибутів», щоб додати контролер домену Active Directory для домену, а потім натисніть кнопку Далі.

  6. Вкажіть Базовий DN та виберіть клас <Show All="" Attributes="">кореневих об'єктів . У текстовому полі Фільтр введіть LDAP-фільтр і натисніть кнопку Далі.

    Запис повинен містити атрибут, який ви очікуєте від користувача. Він також повинен містити значення, яке він відображає в джерелах LDAP. Наприклад, якщо у вашому активному каталозі встановлено фільтрування за атрибутом входу в Windows, введіть sAMAccountName=${Username}.

  7. Виберіть джерело та значення, щоб зіставити атрибути твердження з атрибутами, наданими сховищем даних AD. (Не вводьте нічого для критеріїв видачі.)

  8. Переконайтеся, що для конфігурації assertion mapping встановлено значення Перехідний, для параметра Контракт атрибута встановлено значення uid, а для екземплярів адаптера встановлено значення 1.


     

    Атрибут uid повинен співвідноситися з адресою електронної пошти користувача.
4.

Виберіть Налаштувати параметри протоколу.

  1. Для допустимих прив'язок SAML установіть прапорці лише POST та Redirect .

  2. Для «Політики підпису» виберіть « Завжди підписувати твердженняSAML».

    Налаштування протоколу повинні виглядати наступним чином.

  3. Виберіть Настроїти облікові дані , щоб настроїти сертифікат для затвердження.

  4. Виберіть сертифікат, який уже створено для тверджень SAML.
5.

На екрані Активація й зведення встановіть для параметра Стан підключення значення Активний.

Експорт метаданих з PingFederate

1.

На головному екрані виберіть пункт Керування всіма ПЗ.
2.

Знайдіть щойно створене підключення та натисніть кнопку Експортувати метадані.
3.

Виберіть сертифікат, який потрібно використовувати для підписування експортованого файлу, з розкривного списку.
4.

Натисніть кнопку Експорт.

Імпорт метаданих IdP та ввімкнення єдиного входу після тесту

Після експорту метаданих Webex , настроювання ідентифікатора та завантаження метаданих IdP до локальної системи можна імпортувати їх до своєї організації Webex із Центрукерування.

Перш ніж почати

Не тестуйте інтеграцію SSO з інтерфейсу постачальника посвідчень (IdP). Ми підтримуємо потоки, ініційовані лише постачальником послуг (ініційовані SP), тому для цієї інтеграції необхідно використовувати тест SSO Control Hub .

1.

Виберіть один із варіантів:

  • Поверніться на сторінку вибору сертифіката Control Hub у браузері та натисніть кнопку Далі.
  • Якщо центр керування більше не відкритий на вкладці браузера, у поданні клієнта в https://admin.webex.com, перейдіть до розділу Керування > Параметриорганізації, прокрутіть до пункту Автентифікація, а потім виберіть Дії > Імпортувати метадані.
2.

На сторінці "Імпорт метаданих idP" перетягніть файл метаданих IdP на сторінку або скористайтеся параметром файлового браузера, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечний », якщо можете. Це можливо лише в тому випадку, якщо ваш IdP використовував загальнодоступний ЦС для підпису своїх метаданих.

У всіх інших випадках необхідно використовувати опцію «Менш безпечний ». Це стосується випадків, коли метадані не підписані, не підписані самостійно або не підписані приватним ЦС.
3.

Виберіть елемент Перевірити настроювання єдиного входу, а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою ідентифікатора, увійшовши в систему.


 

Якщо з'являється повідомлення про помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

 

Щоб безпосередньо побачити можливість входу в єдиний вхід, можна також натиснути кнопку Копіювати URL-адресу до буфера обміну на цьому екрані та вставити її в приватне вікно браузера. Звідти ви можете пройти через вхід за допомогою єдиного входу. Цей крок зупиняє помилкові спрацьовування через маркер доступу, який може бути в наявному сеансі від входу.
4.

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть єдиний вхід і натисніть Кнопку Далі.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть єдиний вхід і натисніть кнопку Далі.

 

Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Що далі

Ви можете виконати процедуру заборонити автоматичні електронні листи , щоб вимкнути електронні листи, які надсилаються новим користувачам Webex App у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.