У вікні клієнта перейдіть до розділу https://admin.webex.com" Керування" > "Параметри організації", а потім перейдіть до пункту "Аутентифікація", а потім увімкніть параметр "Єдиний вхід", щоб запустити майстер налаштування.

Виберіть тип сертифіката для вашої організації:

• Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
• Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

Завантажте файл метаданих.

Увійдіть на сервер ADFS з дозволами адміністратора.

Відкрийте консоль керування ADFS і перейдіть до Довірчі відносини > Довіри надійної сторони > Додайте довіру перевіряючої сторони .

З Додати майстер довіри перевіряючої сторони вікно, виберіть Почати .

Для Виберіть Джерело даних виберіть Імпортуйте дані про перевіряючу сторону з файлу , перейдіть до файлу метаданих Control Hub, який ви завантажили, і виберіть Далі .

Для Укажіть відображуване ім’я , створіть відображуване ім’я для цієї довіри перевіряючої сторони, наприклад Webex і виберіть Далі .

Для Виберіть Правила авторизації випуску , виберіть Дозволити всім користувачам доступ до цієї довіреної сторони і виберіть Далі .

Для Готово додати довіру , виберіть Далі і завершите додавання повіреної довіри до ADFS.

На головній панелі ADFS виберіть довірчі відносини, які ви створили, а потім виберіть Змінити правила запиту . На вкладці Правила перетворення випуску виберіть Додати правило .

На кроці Вибрати тип правила виберіть Надіслати атрибути LDAP як вимоги , а потім виберіть Далі .

1. Введіть a Ім’я правила запиту .

2. Виберіть Active Directory як сховище атрибутів.

3. Зіставте Адреси електронної пошти Атрибут LDAP для uid тип вихідної вимоги.

   Це правило вказує ADFS, які поля зіставити з Webex для ідентифікації користувача. Напишіть типи вихідних заяв точно так, як показано.

4. Збережіть зміни.

Виберіть Додати правило знову, виберіть Надсилайте запити за допомогою користувацького правила , а потім виберіть Далі .

1. Відкрийте текстовий редактор і скопіюйте наведений далі контент.

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

   Замініть URL1 і URL2 в тексті таким чином:

   • URL1 є ідентифікатором запису із завантаженого файлу метаданих ADFS.

     Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

     Скопіюйте лише ідентифікатор запису з файлу метаданих ADFS і вставте його в текстовий файл, щоб замінити URL1

   • URL2 у першому рядку завантаженого файлу метаданих Webex.

     Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

     Скопіюйте лише ідентифікатор запису з файлу метаданих Webex і вставте його в текстовий файл, щоб замінити URL2.

2. За допомогою оновлених URL-адрес скопіюйте правило з текстового редактора (починаючи з "c:") і вставте його в поле користувацького правила на сервері ADFS.

   Завершене правило має виглядати так:

   

3. Виберіть Завершити , щоб створити правило, а потім закрийте вікно «Змінити правила заявки».

Виберіть Довіра перевіряючої сторони в головному вікні, а потім виберіть Властивості на правій панелі.

Коли з’явиться вікно властивостей, перейдіть до розділу Розширений вкладка, SHA-256 а потім виберіть OK , щоб зберегти зміни.

Щоб завантажити файл, перейдіть за такою URL-адресою на внутрішньому сервері ADFS: https://< AD_ FS_ Сервер >/FederationMetadata/2007-06/FederationMetadata.xml

Можливо, вам доведеться клацнути правою кнопкою миші на сторінці та переглянути джерело сторінки, щоб отримати файл XML у належному форматі.

Збережіть файл на локальному комп’ютері.

Виберіть один із варіантів:

• Поверніться на сторінку вибору сертифіката Control Hub у веб-переглядачі, а потім натисніть кнопку Далі.
• Якщо Центр керування більше не відкривається на вкладці браузера, перейдіть у розділ " https://admin.webex.comКерування" > "Параметри організації", перейдіть до пункту "Автентифікація", а потім виберіть " Дії" > "Імпортувати метадані".

На сторінці Імпорт метаданих IdP або перетягніть файл метаданих IdP на сторінку, або скористайтеся параметром переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати більш безпечний варіант, якщо ви можете. Це можливо лише в тому випадку, якщо ваш IdP використовував публічний ЦС для підписання своїх метаданих.

У всіх інших випадках ви повинні використовувати менш безпечний варіант. Це включає випадки, коли метадані не підписані, самопідписані або підписані приватним ЦС.

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

Виберіть Test SSO setup (Тестування налаштування SSO), а коли відкриється нова вкладка браузера, аутентифікуйтеся за допомогою IdP, увійшовши в обліковий запис.

Якщо ви отримали помилку автентифікації, може виникнути проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу. Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові позитивні результати через маркер доступу, який може бути в існуючому сеансі від входу в систему.

Поверніться на вкладку браузера Control Hub.

• Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть SSO і натисніть кнопку Далі.
• Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть SSO і натисніть Далі.

Конфігурація SSO не набуває чинності у вашій організації, якщо ви не виберете першу перемикач і не активуєте SSO.

Увійдіть на сервер ADFS з дозволами адміністратора.

Завантажте файл метаданих SAML з Webex до тимчасової локальної папки на сервері ADFS, наприклад. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

Відкрийте Powershell.

Виконайте команду Get-AdfsRelyingPartyTrust читати всі довірені сторони.

Виконайте команду Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Переконайтеся, що ім 'я файлу та ім' я цілі замінено правильними значеннями з вашого середовища.

Див https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust..

Якщо ви завантажили сертифікат Webex SP 5 year і увімкнули функцію відкликання сертифіката підпису або шифрування, вам потрібно виконати ці дві команди: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

Увійдіть в Control Hub, а потім перевірте інтеграцію SSO:

1. Перейдіть до меню Керування > Параметри організації, перейдіть до пункту Автентифікація та ввімкніть параметр єдиного входу, щоб запустити майстер налаштування.

2. Клацніть Next (Далі), щоб пропустити сторінку Import IdP Metadata (Імпорт метаданих IdP).

   Вам не потрібно повторювати цей крок, оскільки ви раніше імпортували метадані IdP.

3. Перевірте з 'єднання SSO, перш ніж ввімкнути його. На цьому кроці виконується пробний запуск, що не впливає на налаштування вашої організації, поки не буде ввімкнено SSO на наступному кроці.

   Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

4. Увійдіть, щоб завершити тест.