כניסה יחידה

Webex SSO משתמש במזהה ייחודי אחד כדי לאפשר לאנשים בארגון שלך לגשת לכל היישומים הארגוניים. מנהלי מערכת יכולים להשתמש ב- Webex Administration כדי להגדיר SSO עבור יישומי Webex .


 

כניסה יחידה היא תכונה אופציונלית שיש להקצות לאתר. פנה תמיכה של Cisco למידע נוסף.

הגדר SSO

השתמש בנוהל הבא להגדרת SSO ו-SAML 2.0.

לפני שתתחיל

השג והגדר את הדרישות הבאות.

  • ספק זהות (IdP) תואם SAML 2.0 או WS Federate 1.0, כגון CA SiteMinder, ADFS ו-Ping Identity.


     

    SAML 1.1 ו-WS Federate 1.0 הוצאו משימוש ואינם נתמכים עוד עם Cisco Webex.

  • תעודת מפתח ציבורי מסוג X.509 ברמה ארגונית מרשות Certificate Authority מהימנה, כגון VeriSign ו-Thawte.

  • IdP מוגדר לספק הצהרות SAML עם פרטי חשבון משתמש ומזהי מערכת SAML .

  • קובץ IdP XML.

  • URL של שירות IAM ארגוני.

1

היכנס ל- Webex Administration ועבור אל תצורה > הגדרות אתר נפוצות > תצורת SSO .

2

מהרשימה הנפתחת פרוטוקול איחוד, בחר SAML 2.0.

אם יש תצורה קיימת, חלק מהשדות אולי יהיו מאוכלסים.

3

בחר את הקישור מנהל תעודות אתר.

4

בחלון מנהל תעודות אתר, בחר עיון ואז נווט אל המיקום של קובץ ה-CER של תעודת X.509.

5

בחר את קובץ ה-CER ובחר אישור.

6

בחר סגור.

7

הזן את המידע הנדרש בדף תצורת SSO ובחר את האפשרויות שברצונך להפעיל.

8

בחר עדכן.

הדף 'תצורת SSO'

הטבלה הבאה מפרטת ומתארת את השדות והאפשרויות בדף תצורת SSO.


 

המידע שבו אתה משתמש במהלך קביעת התצורה חייב להיות מדויק. אם אתה זקוק להבהרות נוספות לגבי המידע הנדרש לקביעת התצורה של SSO באתר, פנה לספק הזהויות.

טבלה 1. שדות ואפשרויות של דף תצורת SSO

שדה או אפשרות

תיאור

AuthnContextClassRef

הצהרת SAML המתארת את האימות ב-IdP. היא חייבת להתאים לתצורת IAM. דוגמאות של ADFS: urn:federation:authentication:windows או urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping דוגמה: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

כדי להשתמש ביותר מערך אחד של AuthnContextClassRef, הוסף תו ";". לדוגמה: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

יצירת חשבונות אוטומטית (אופציונלי)

בחר ליצור חשבון משתמש. שדות UID, דוא"ל ושדות פרטיים ושם משפחה חייבים להיות נוכחים בהצהרה.

עדכון חשבונות אוטומטי (אופציונלי)

ניתן לעדכן חשבונות Webex עם נוכחות של תכונת updateTimeStamp ב- t כאשר מתבצעים שינויים ב-IdP, חותמת הזמן החדשה נשלחת אתר Webex, עם כל תכונה שנשלחת SAML .

URL של שגיאת SSO של לקוח (אופציונלי)

אם אירעה שגיאה, מפנה מחדש ל-URL הזה עם קוד השגיאה מצורף ל-URL.

URL של כניסה לשירות SSO של לקוח

URL של שירותי הכניסה היחידה של הארגון שלך. לרוב, המשתמשים נכנסים באמצעות ה-URL הזה. זה נמצא בקובץ IdP XML (לדוגמה: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL של דף יעד המהווה ברירת מחדל של Webex (אופציונלי)

בעת האימות, מציג דף יעד שהוקצה ליישום האינטרנט בלבד.

יבא מטה-נתונים של SAML (קישור)

לחץ כדי לפתוח את תיבת הדו-שיח תצורת SSO מקוונת מאוחדת – מטה-נתונים של SAML. שדות מטה-נתונים מיובאים כוללים את הפרטים הבאים:

  • יעד AuthnRequestSigned

  • מנפיק SAML (מזהה IdP)

  • URL של כניסה לשירות SSO של לקוח

מנפיק SAML (מזהה IdP)

URI מזהה באופן ייחודי את ה-IdP. התצורה חייבת להתאים להגדרה שב-IAM של הלקוח. זה נמצא בקובץ IdP XML (לדוגמה: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

תבנית NameID

חייב להתאים לתצורת IdP, כאשר הפורמטים הבאים נתמכים:

  • לא צוין

  • כתובת דוא"ל

  • שם נושא X509

  • מזהה ישות

  • מזהה מתמשך

הסר סיומת דומיין של UID עבור Active Directory UPN

מסיר את הדומיין של Active Directory מהשם העיקרי של המשתמש (UPN) בעת הבחירה.

פרופיל SSO

ציין איך המשתמשים ניגשים לאתר Webex. בחר ביוזמת SP אם המשתמשים מתחילים באתר הפגישות של Webex ומופנים מחדש למערכת IdP הארגונית לצורך אימות. בחר ביוזמת IdP אם המשתמשים ניגשים לאתר Webex באמצעות מערכת IAM הארגונית.

אימות SSO למשתתפים

התכונה הזו מספקת רמות נוספות של אחריות לאימות המשתמשים דרך הצהרת SAML עבור משתתפים פנימיים המשתמשים ב-Webex Meetings, ב-Webex Training וב-Webex Events. כשהיא מופעלת, התכונה הזו מקבלת עדיפות על פני התכונה "הצג תג משתמש פנימי ברשימת המשתתפים" של Webex Meetings.

אלגוריתם חתימה עבור AuthnRequest

לשיפור האבטחה, ניתן עכשיו לייצר תעודות חתומות מסוג SHA-1, ‏SHA-256 או SHA-512.

התנתקות יחידה (אופציונלי)

סמן כדי לדרוש יציאה ולהגדיר את ה-URL של ההתנתקות.


 

אין תמיכה בהתנתקות יחידה ביוזמת IdP.

מנפיק SAML של Webex (מזהה SP)

ה- URI מזהה את שירות Webex Messenger כ-SP. התצורה חייבת להתאים להגדרות שבמערכת ניהול הזהויות והגישה של הלקוח. מוסכמות מתן שמות מומלצות: עבור Webex Meetings, הזן את ה-URL של אתר Webex Meetings. עבור שירות Webex Messenger, השתמש בתבנית "לקוח-דומיין-שם" (לדוגמה: IM-Client-ADFS-WebexEagle-Com).

יש לך אפשרות לייצא קובץ תצורה של Webex של מטה-נתונים של SAML

יש לך אפשרות לייצא כמה מטה-נתונים, שלאחר מכן ניתן יהיה לייבא בעתיד. שדות מטה-נתונים מיוצאים כוללים את הפרטים הבאים:

  • יעד AuthnRequestSigned

  • מנפיק SAML (מזהה IdP)

  • URL של כניסה לשירות SO של לקוח

חידוש אישורים שפג תוקפם

לפני שתתחיל

תכונה זו מיועדת רק למנהלי מערכת שהגדרת SSO ב- Webex Administration ואשר עדיין לא מנהלים את האתרים שלהם ב-Control Hub.


 

אנו ממליצים לעדכן את האישור לספק הזהות שלך (IdP) לפני נובמבר 2022. אם האישור יפוג, ייתכן שהמשתמשים לא יוכלו להיכנס בהצלחה.

1

היכנס ל- Webex Administration ועבור אל תצורה > הגדרות אתר נפוצות > תצורת SSO .

2

גלול מטה אל מנהל אישורי אתר SP .

מוצגים פרטי התעודה שפג תוקף ופרטי האישור החדש (מספר סידורי, תאריך תפוגה, פרטי מפתח, סטטוס ופעולה). האישור שנמצא כעת בשימוש מסומן כפעיל.

3

עבור אל התעודה החדשה ולחץ אישור יצוא .

אתה יכול גם ללחוץ ייצוא מטא נתונים בתחתית המסך כדי להוריד את המטא נתונים עם האישור החדש.


 

קובץ האישורים החדש יפוג בעוד שנה. מנהלי מערכת יצטרכו לשים לב לכל הודעות התראה.

4

העלה את קובץ האישור החדש לספק הזהות שלך (IdP).

5

בחר את פעיל לחצן בחירה בחירה לתעודה החדשה.

6

לחץ עדכון .

התעודה החדשה פעילה כעת.

7

בדוק את התעודה החדשה.

שאלות נפוצות בעת עדכון תעודות

ש. האם כל מנהלי המערכת מושפעים מהתכונה הזו?

א. לא, רק מנהלי מערכת שהגדירו SSO בניהול Webex מושפעים.

ש. מה קורה אם מנהל המערכת לא מעדכן את האישור לפני תאריך היעד?

א. האישור יפוג וייתכן שהמשתמשים שלך לא יוכלו להיכנס ל- Webex בהצלחה. מומלץ לעדכן את התעודה לפני אוקטובר 2023.

אם תוקף האישור יפוג, עדיין תוכל להיכנס לניהול ניהול אתר כדי לעדכן ולהפעיל את האישור החדש לספק הזהות המתאים שלך. אם אתה נתקל בבעיה כלשהי בעת עדכון האישור, צור קשר עם צוות התמיכה של Webex שלך.

ש. לכמה זמן תקפה תעודה חדשה?

א. התעודה החדשה תקפה למשך כשנה. צוות התפעול של Webex מייצר תעודה חדשה חודשיים לפני שהאישור הקיים יפוג. זה מספק לך זמן לתכנן ולעדכן את האישור לפני תאריך היעד.