Jednokrotne logowanie

Jednokrotne SSO Webex używa jednego unikalnego identyfikatora, aby zapewnić osobom w organizacji dostęp do wszystkich aplikacji korporacyjnych. Administratorzy mogą używać Webex Administration do konfigurowania SSO dla aplikacji Webex .


 

Logowanie jednokrotne to opcjonalna funkcja, którą należy udostępnić w witrynie. Aby uzyskać więcej informacji, skontaktuj się z pomocą techniczną Cisco .

Konfiguruj SSO

Użyj poniższej procedury, aby skonfigurować SSO i SAML 2.0.

Przed rozpoczęciem

Uzyskaj i skonfiguruj następujące wymagania.

  • Standardowy dostawca tożsamości (IdP) zgodny z SAML 2.0 lub WS Federate 1.0, taki jak CA SiteMinder, ADFS i Ping Identity.


     

    SAML 1.1 i WS Federate 1.0 są przestarzałe i nie są już obsługiwane przez Cisco Webex.

  • Korporacyjny certyfikat klucza publicznego X.509 wystawiony przez zaufany Certificate Authority, taki jak VeriSign i Thawte.

  • Dostawca tożsamości skonfigurowany do dostarczania potwierdzeń SAML z informacjami o koncie użytkownika i identyfikatorami systemu SAML .

  • Plik XML dostawcy tożsamości.

  • URL firmowej usługi uprawnień.

1

Zaloguj się do Webex Administration i przejdź do Konfiguracja > Wspólne ustawienia witryny > Konfiguracja SSO .

2

Od Protokół federacyjny z listy rozwijanej wybierz SAML 2.0 .

Jeśli istnieje konfiguracja, niektóre pola mogą być już wypełnione.

3

Wybierz Menedżer certyfikatów witryny łącze.

4

W Menedżer certyfikatów witryny okno, wybierz Przeglądaj , a następnie przejdź do lokalizacji pliku CER dla certyfikatu X.509.

5

Wybierz plik CER, a następnie wybierz OK .

6

Wybierz Zamknij .

7

Wprowadź wymagane informacje na Konfiguracja SSO stronę i wybierz opcje, które chcesz włączyć.

8

Wybierz Aktualizuj.

Strona konfiguracji SSO

W poniższej tabeli wymieniono i opisano pola oraz opcje na Konfiguracja SSO stronę.


 

Informacje używane podczas konfiguracji muszą być dokładne. Jeśli potrzebujesz dalszych wyjaśnień na temat informacji wymaganych do skonfigurowania SSO dla Twojej witryny, skontaktuj się z dostawcą tożsamości.

Tabela 1. Pola i opcje strony konfiguracji SSO

Pole lub opcja

Opis

AuthnContextClassRef

Instrukcja SAML opisująca uwierzytelnianie u dostawcy tożsamości. Musi być zgodny z konfiguracją uprawnień. Przykłady ADFS: urn:federation:authentication:windows lub urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping przykład: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

Aby użyć więcej niż jednej wartości AuthnContextClassRef, dodaj znak „;”. Na przykład: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Automatyczne tworzenie konta (opcjonalnie)

Wybierz, aby utworzyć konto użytkownika. Pola UID, adres e-mail oraz imię i nazwisko muszą być obecne.

Automatyczna aktualizacja konta (opcjonalnie)

Konta Webex można aktualizować za pomocą atrybutu updateTimeStamp w t Po wprowadzeniu zmian w dostawcy tożsamości nowy znacznik czasu jest wysyłany do witryny Webex , w przypadku konta z dowolnym atrybutem wysłanym w potwierdzeniu SAML .

URL błędu SSO klienta (opcjonalnie)

Jeśli wystąpi błąd, przekierowuje do tego URL z kodem błędu dołączonym do URL.

URL logowania do usługi SSO klienta

URL usług jednokrotnego logowania w przedsiębiorstwie. Użytkownicy zazwyczaj logują się przy użyciu tego URL. Znajduje się w pliku XML dostawcy tożsamości (przykład: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

Domyślny URL strony docelowej Webex (opcjonalnie)

Po uwierzytelnieniu wyświetla stronę docelową przypisaną tylko dla aplikacji internetowej.

Importuj metadane SAML (łącze)

Kliknij, aby otworzyć Konfiguracja federacyjnego SSO w sieci Web — metadane SAML okno dialogowe. Importowane pola metadanych obejmują:

  • AuthnRequestPodpisane miejsce docelowe

  • Wystawca SAML (identyfikator dostawcy tożsamości)

  • URL logowania do usługi SSO klienta

Wystawca SAML (identyfikator dostawcy tożsamości)

Identyfikator URI jednoznacznie identyfikuje dostawcę tożsamości. Konfiguracja musi być zgodna z ustawieniem w uprawnieniach klienta. Znajduje się w pliku XML dostawcy tożsamości (przykład: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Format identyfikatora nazwy

Musi być zgodny z konfiguracją dostawcy tożsamości, przy czym obsługiwane są następujące formaty:

  • Nieokreślony

  • Adres e-mail

  • Nazwa podmiotu X509

  • Identyfikator podmiotu

  • Trwały identyfikator

Usuń sufiks domeny z identyfikatorem użytkownika z nazwy UPN w usłudze Active Directory

Po wybraniu usuwa domenę Active Directory z głównej nazwy użytkownika (UPN).

Profil SSO

Określ, w jaki sposób użytkownicy uzyskują dostęp do witryny Webex . Wybierz Zainicjowano dostawcę usług jeśli użytkownicy rozpoczynają w witrynie spotkania Webex i są przekierowywani do korporacyjnego systemu dostawcy tożsamości w celu uwierzytelnienia. Wybierz Zainicjowano dostawcę tożsamości jeśli użytkownicy uzyskują dostęp do witryny Webex za pośrednictwem firmowego systemu uprawnień.

Uwierzytelnianie uczestników przy użyciu SSO

Ta funkcja zapewnia dodatkowe poziomy odpowiedzialności za uwierzytelnianie użytkownika SAML dla uczestników wewnętrznych korzystających z Webex Meetings, Webex Training i Webex Events. Po włączeniu zastępuje ona funkcję aplikacji Webex Meetings „Wyświetlaj znacznik użytkownika wewnętrznego na liście uczestników”.

Algorytm podpisu dla żądania uwierzytelnienia

W celu zwiększenia bezpieczeństwa można teraz generować certyfikaty podpisane SHA-1, SHA-256 lub SHA-512.

Wylogowanie pojedyncze (opcjonalne)

Zaznacz, aby wymagać wylogowania, i ustaw URL wylogowania .


 

Pojedyncze wylogowanie zainicjowane przez dostawcę tożsamości nie jest obsługiwane.

Wystawca Webex SAML (identyfikator SP)

Identyfikator URI identyfikuje usługę Webex Messenger jako dostawcę usług. Konfiguracja musi być zgodna z ustawieniami w systemie zarządzania dostępem do tożsamości klienta. Zalecane konwencje nazewnictwa: W przypadku Webex Meetings wprowadź URL witryny Webex Meetings . W przypadku usługi Webex Messenger użyj formatu „nazwa-domeny-klienta” (na przykład: IM-Client-ADFS-WebexEagle-Com).

Można wyeksportować plik konfiguracyjny Webex metadanych SAML

Niektóre metadane można wyeksportować, a następnie zaimportować je w przyszłości. Wyeksportowane pola metadanych obejmują następujące elementy:

  • AuthnRequestPodpisane miejsce docelowe

  • Wystawca SAML (identyfikator dostawcy tożsamości)

  • URL logowania do usługi Customer SO Service

Odnów wygasające certyfikaty

Przed rozpoczęciem

Ta funkcja jest przeznaczona tylko dla administratorów, którzy skonfigurowali SSO w Webex Administration i nie zarządzają jeszcze swoimi witrynami w Control Hub.


 

Zalecamy zaktualizowanie certyfikatu dostawcy tożsamości (IdP) przed listopadem 2022 r. Jeśli certyfikat wygaśnie, użytkownicy mogą nie być w stanie się pomyślnie zalogować.

1

Zaloguj się do Webex Administration i przejdź do Konfiguracja > Wspólne ustawienia witryny > Konfiguracja SSO .

2

Przewiń w dół do Menedżer certyfikatów witryny SP .

Zostaną wyświetlone szczegóły wygasającego i nowego certyfikatu (numer seryjny, data wygaśnięcia, szczegóły klucza, stan i czynność). Aktualnie używany certyfikat jest oznaczony jako Aktywny.

3

Przejdź do nowego certyfikatu i kliknij Certyfikat eksportu .

Możesz również kliknąć Eksportuj metadane u dołu ekranu, aby pobrać metadane z nowym certyfikatem.


 

Nowy plik certyfikatu wygaśnie za rok. Administratorzy będą musieli zwracać uwagę na powiadomienia o alertach.

4

Prześlij nowy plik certyfikatu do dostawcy tożsamości (IdP).

5

Wybierz Aktywny przycisk radiowy dla nowego certyfikatu.

6

Kliknij Zaktualizuj .

Nowy certyfikat jest teraz aktywny.

7

Przetestuj nowy certyfikat.

Często zadawane pytania podczas aktualizowania certyfikatów

P: Czy ta funkcja ma wpływ na wszystkich administratorów?

A. Nie, dotyczy to tylko administratorów, którzy skonfigurowali SSO w Webex Administration.

P: Co się stanie, jeśli administrator nie zaktualizuje certyfikatu przed terminem?

A. Certyfikat wygaśnie, a użytkownicy mogą nie być w stanie pomyślnie zalogować się do Webex . Zalecamy aktualizację certyfikatu przed październikiem 2023 r.

Jeśli certyfikat wygaśnie, nadal możesz zalogować się do usługi Site Administration, aby zaktualizować i aktywować nowy certyfikat u odpowiedniego dostawcy tożsamości. Jeśli podczas aktualizacji certyfikatu wystąpią jakiekolwiek problemy, skontaktuj się z zespołem pomocy technicznej Webex .

P: Jak długo ważny jest nowy certyfikat?

A. Nowy certyfikat jest ważny przez około rok. Zespół operacyjny Webex generuje nowy certyfikat na dwa miesiące przed wygaśnięciem istniejącego certyfikatu. Daje to czas na zaplanowanie i zaktualizowanie certyfikatu przed terminem.