Conectare unică și Control Hub

Autentificarea unică (SSO) este un proces de autentificare a sesiunii sau a utilizatorului care îi permite unui utilizator să furnizeze date de autentificare pentru a accesa una sau mai multe aplicații. Procesul autentifică utilizatorii pentru toate aplicațiile pentru care li se acordă drepturi. Elimină solicitările suplimentare atunci când utilizatorii comută între aplicații în timpul unei anumite sesiuni.

Protocolul de federație pentru Security Assertion Markup Language (SAML 2.0) este utilizat pentru a furniza autentificare SSO între cloud-ul Webex și furnizorul dvs. de identitate (IdP).

Profiluri

Aplicația Webex acceptă numai profilul SSO al browserului web. În profilul SSO al browserului web, aplicația Webex acceptă următoarele conexiuni:

  • SP a inițiat legarea POST -> POST

  • SP a inițiat legarea REDIRECT -> POST

Format NameID

Protocolul SAML 2.0 acceptă mai multe formate NameID pentru comunicarea despre un anumit utilizator. Aplicația Webex acceptă următoarele formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

În metadatele pe care le încărcați din IdP, prima intrare este configurată pentru utilizare în Webex.

Integrați Control Hub cu Okta


 

Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate precum urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vor funcționa pentru integrarea SSO, dar nu intră în domeniul de aplicare al documentației noastre.

Configurați această integrare pentru utilizatorii din organizația dvs. Webex (inclusiv aplicația Webex , Webex Meetings și alte servicii administrate în Control Hub). Dacă site- Site Webex este integrat în Control Hub, Site Webex moștenește gestionarea utilizatorilor. Dacă nu puteți accesa Webex Meetings în acest mod și nu este gestionat în Control Hub, trebuie să efectuați o integrare separată pentru a activa SSO pentru Webex Meetings. (A se vedea Configurați Single Sign-On pentru Webex pentru mai multe informații despre integrarea SSO în Administrarea site-ului.)

Înainte de a începe

  • Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:

Descărcați metadatele Webex în sistemul dvs. local

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , apoi derulați la Autentificare , apoi comutați pe Conectare unică pentru a porni expertul de configurare.

2

Alegeți tipul de certificat pentru organizația dvs.:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

 

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Descărcați fișierul cu metadate.

Numele fișierului cu metadate Webex este idb-meta-<org-ID> -SP.xml .

Configurați Okta pentru serviciile Webex

1

Conectați-vă la Okta Tenant ( example.okta.com, unde example este numele companiei sau organizației dvs.) ca administrator, accesați Aplicații , apoi faceți clic Adăugare aplicație .

2

Căutați Cisco Webex și adăugați aplicația la clientul dvs.

3

Faceți clic pe Înainte și apoi faceți clic pe SAML 2.0.

4

În browserul dvs., deschideți fișierul de metadate pe care l-ați descărcat din Control Hub. Copiați URL-urile pentru entityID (în partea de sus a fișierului) și locația ConsumerService (în partea de jos a fișierului).

Exemplu de identificator de drepturi evidențiat în fișierul metadate Control Hub

Exemplu de Afirmație EvidențiatConsumerService locație în Fișier Metadate Control Hub

5

Pe fila Cisco Webex din Okta, derulați la Setări avansate, apoi lipiți valorile Entity ID și Assertion Consumer Service pe care le-ați copiat din fișierul metadate Control Hub și apoi salvați modificările.

6

Faceți clic pe Conectare și apoi descărcați fișierul de metadate Okta din care veți importa acest fișier înapoi în instanța Control Hub.

7

Faceți clic pe Atribuții, alegeți toți utilizatorii și toate grupurile relevante pe care doriți să le asociați cu aplicațiile și serviciile gestionate în Control Hub, faceți clic pe Atribuire și apoi faceți clic pe Efectuare.

Puteți aloca un utilizator sau un grup. Nu omiteți acest pas; în caz contrar, integrarea dvs. Control Hub și Okta nu va funcționa.

Importați metadatele IdP și activați conectare singură după un test

După ce exportați metadatele Webex , configurați IdP și descărcați metadatele IdP în sistemul dvs. local, sunteți gata să le importați în organizația Webex din Control Hub.

Înainte de a începe

Nu testați integrarea SSO din interfața furnizorului de identitate (IdP). Acceptăm numai fluxurile inițiate de furnizorul de servicii (inițiate de SP), așa că trebuie să utilizați testul SSO Control Hub pentru această integrare.

1

Alegeți una:

  • Reveniți la pagina de selecție a certificatului Control Hub din browserul dvs., apoi faceți clic În continuare .
  • Dacă Control Hub nu mai este deschis în fila browserului, din clientul vizualizați înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Import metadate .
2

Pe pagina Import metadate furnizor de identități , fie glisați și plasați fișierul cu metadate IdP pe pagină, fie utilizați opțiunea browser fișier pentru a localiza și încărca fișierul cu metadate. Faceți clic pe Înainte.

Ar trebui să utilizați Mai sigur opțiune, dacă puteți. Acest lucru este posibil numai dacă IdP a utilizat un CA public pentru a-și semna metadatele.

În toate celelalte cazuri, trebuie să utilizați Mai puțin sigure opțiune. Aceasta include dacă metadatele nu sunt semnate, autosemnate sau semnate de un CA privat.


 

Okta nu semnează metadatele, așa că trebuie să alegeți Mai puțin sigure pentru o integrare Okta SSO .

3

Selectați Testați configurarea SSO , iar când se deschide o nouă filă de browser, autentificați-vă la IdP prin conectare.


 

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu datele de autentificare. Verificați numele de utilizator și parola și încercați din nou.

O eroare în aplicația Webex înseamnă de obicei o problemă cu configurarea SSO . În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurația IdP.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest pas oprește rezultatele fals pozitive din cauza unui token de acces care s-ar putea afla într-o sesiune existentă din momentul în care sunteți conectat.

4

Reveniți la fila browserului Control Hub.

  • Dacă testul a reușit, selectați Test reușit. Activați SSO și faceți clic În continuare .
  • Dacă testul nu a reușit, selectați Test nereușit. Dezactivați SSO și faceți clic În continuare .

 

Configurația SSO nu are efect în organizația dvs. decât dacă alegeți primul buton de radio și activați SSO.

Ce este de făcut în continuare

Utilizați procedurile din Sincronizați utilizatorii Okta în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Okta în cloud-ul Webex .

Utilizați procedurile din Sincronizați utilizatorii Azure Active Directory în Cisco Webex Control Hub dacă doriți să efectuați configurarea utilizatorilor din Azure AD în Webex .

Puteți urma procedura în Eliminați e-mailurile automate pentru a dezactiva e-mailurile care sunt trimise către noii utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.