כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל-Webex בצורה מאובטחת על ידי אימות מול ספק הזהויות המשותף של הארגון שלך. ספק זהויות (IdP) מאחסן ומנהל בצורה מאובטחת את הזהויות הדיגיטליות של המשתמשים שלך ומספק את שירות אימות המשתמשים עבור משתמשי Webex שלך.

מדוע ייתכן שתזדקקו למספר IdPs

חברות גדולות רבות עוברות מיזוגים ורכישות, ולחברות אלו לעיתים רחוקות יש את אותן תשתית IT וספקי זהויות. למוסדות ממשלתיים יש מגוון רחב של ארגונים וסוכנויות תחתיהם. לעתים קרובות, לארגונים אלה יש כתובת דוא"ל אחת עבור מחלקות ה-IT והתשתית שלהם, בהתאמה. למוסדות חינוך גדולים יש מחלקת רכש מרכזית, אך לאוניברסיטאות ומכללות שונות יש ארגוני ומחלקות IT שונים.

זה נפוץ לראות IdPs וספקי שירותים (SPs) משתפים פעולה זה עם זה. ה-IdP אחראי על אימות אישורי המשתמשים שלך וה-SP סומך על האימות שבוצע על ידי ה-IdP. זה מאפשר למשתמשים שלך גישה למגוון יישומים ושירותים של SaaS באמצעות אותה זהות דיגיטלית. אבל, אם מסיבה כלשהי הארגון שלך לא יכול להתאחד בין ספקי ה-IdP, Webex מספק פתרון עוקף לתמיכה במספר ספקי IdP. מסיבות אלה, אנו נותנים לך את האפשרות להגדיר SSO עבור מספר IdPs ב-Webex ולפשט את תהליך האימות של המשתמשים שלך.

מגבלות

  • כל המשתמשים חייבים להיות מותקנים עם מחבר מדריך כתובות אם אתם משתמשים בחיבור מדריך כתובות בארגון שלכם. עיין במדריך הפריסה של מחבר הספריותלקבלת מידע נוסף.
  • אנו תומכים כרגע רק ב-SAML, OpenID Connect ו-Webex Identity כספקי זהויות.

מחוץ לתחום

  • הגדרת הקצאות קבוצתיות.

סעיף זה מכסה כיצד ניתן לשלב את ספקי הזהויות (IdP) שלך עם ארגון Webex שלך. באפשרותך לבחור את חברות ה-IdP המתאימים ביותר לדרישות הארגון שלך.

אם אתם מחפשים שילוב SSO של אתר Webex Meetings (מנוהל בניהול האתר), עיינו ב- הגדרת כניסה יחידה עבור ניהול Webex.

דרישות מקדימות

לפני שתתחיל

ודא כי מתקיימים התנאים הבאים:

    • עליך להיות בעל תפקיד מנהל מלא במרכז הבקרה.
    • עליך לתכנן את התנהגות כללי הניתוב שלך לפני הגדרת מספר ספקי IdP.

    כלל הניתוב המוגדר כברירת מחדל מוחל לאחר הגדרת פרופיל ה-IdP הראשוני שלך. אבל אתה יכול להגדיר IdP אחר כברירת מחדל. עיין ב- הוספה או עריכה של כלל ניתוב בכרטיסייה כללי ניתוב במאמר זה.

הגדרת SAML
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות ולחץ על הפעל SSO.

4

בחר SAML כ-IdP שלך ולחץ על הבא.

5

בחר את סוג התעודה:

  • חתימה עצמית על ידי סיסקו— אנו ממליצים על אפשרות זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • חתום על ידי רשות אישורים ציבורית— מאובטח יותר, אך תצטרך לעדכן את המטא-דאטה לעתים קרובות (אלא אם כן ספק ה-IdP שלך תומך בעוגני אמון).

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.

6

לחץ על הורדת מטה-נתונים ולחץ על הבא.

שם קובץ המטא-דאטה של אפליקציית Webex הוא idb-meta-<org-ID>-SP.xml.

7

העלה את קובץ המטא-דאטה של חברות ה-IdP שלך או מלא את טופס התצורה.

בעת העלאת קובץ המטא-דאטה, ישנן שתי דרכים לאמת את המטא-דאטה מממשק ה-IdP של הלקוח:

  • ה-IdP של הלקוח מספק חתימה בקובץ המטה-נתונים החתום על ידי CA ציבורית המהווה בסיס.
  • ה-IdP של הלקוח מספק CA פרטית בחתימה עצמית או שאינו מספק חתימה עבור קובץ המטה-נתונים שלו. אפשרות זו פחות מאובטחת.
אחרת, בטופס התצורה, הזן את פרטי ה-IdP.

לחץ על הבא.

8

(אופציונלי) ניתן לשנות את שם תכונת ה-SAML עבור שם משתמש של Webex או כתובת דוא"ל ראשית מ- uid למשהו שסוכם עם מנהל ה-IdP כגון email, upnוכו'.

9

(אופציונלי) קבע את הגדרות ה-Just In Time (JIT) ואת תגובת המיפוי של SAML.

עיין ב- הגדרת Just In Time (JIT) ומיפוי SAML בכרטיסייה ניהול ספקי הידע שלך במאמר זה.
10

לחץ על בדוק הגדרת SSO, וכאשר כרטיסייה חדשה בדפדפן נפתחת, אימות עם ה-IdP על ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה באמצעות SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

11

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.

תצורת ה-SSO לא תיכנס לתוקף בארגון שלך אלא אם כן תבחר בלחצן הבחירה הראשון ותפעיל את ה-SSO.

מה הלאה?

ניתן להגדיר כלל ניתוב. עיין ב- הוספה או עריכה של כלל ניתוב בכרטיסייה כללי ניתוב במאמר זה.

באפשרותך לבצע את ההליך ב- דיכוי דוא"ל אוטומטי כדי להשבית דוא"ל שנשלח למשתמשי אפליקציית Webex חדשים בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

הגדרת OpenID Connect
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות ולחץ על הפעל SSO.

4

בחר ב- OpenID Connect כ-IdP שלך ולחץ על הבא.

5

הזן את פרטי ה-IdP שלך.

  • שם- השם לזיהוי ספק הידע (IdP) שלך.
  • מזהה לקוח- המזהה הייחודי לזיהוי שלך ואת ספק המידע שלך.
  • סוד לקוח— הסיסמה שאתה ו-IdP שלך יודעים.
  • טווחים—הטווחים שישויכו ל-IdP שלכם.

6

בחר כיצד להוסיף נקודות קצה. ניתן לעשות זאת באופן אוטומטי או ידני.

  • השתמש בכתובת ה-URL לגילוי כדי להוסיף נקודות קצה באופן אוטומטי.

    • הזן את כתובת ה- גילוי עבור ספק ה-IdP שלך. כתובת URL זו תאכלס אוטומטית את נקודות הקצה הדרושות עבור יציאה יחידה (SLO) של OIDC.
    • הפעל את אפשר להפעלה להתנתק אוטומטית כדי להבטיח שמשתמשים מנותקים מכל היישומים והשירותים המחוברים כאשר הם מתנתקים מ-Webex.

  • אם אתה מעדיף להוסיף ידנית את כל פרטי נקודת הקצה, הוסף את הפרטים הבאים.

    • מנפיק— הזן את כתובת ה-URL של המנפיק כפי שצוין על ידי ספק ה-IdP שלך.
    • נקודת קצה של הרשאה— הזן את כתובת ה-URL עבור נקודת הקצה של הרשאה.
    • נקודת קצה של אסימון— הזן את כתובת ה-URL עבור נקודת הקצה של האסימון.
    • נקודת קצה של JWKS— הזן את כתובת ה-URL של ערכת מפתחות האינטרנט של JSON (JWKS).
    • נקודת קצה של מידע משתמש— הזן את כתובת ה-URL עבור נקודת הקצה של מידע המשתמש.
    • אם האפשרות אפשר יציאה אוטומטית של ההפעלה מופעלת, עליך להזין את כתובת ה-URL של נקודת קצה של יציאה מההפעלה כדי לאפשר יציאה יחידה (SLO) בכל היישומים המחוברים.
    למידע נוסף, עיינו במדריך התצורה של OpenID Connect.

7

(אופציונלי) קבע את הגדרות ה-Just In Time (JIT).

עיין ב- הגדרת Just In Time (JIT) ומיפוי SAML בכרטיסייה ניהול ספקי הידע שלך במאמר זה.
8

לחץ על בדוק הגדרת SSO, וכאשר כרטיסייה חדשה בדפדפן נפתחת, אימות עם ה-IdP על ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה באמצעות SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

9

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל SSO ו-IdP ולחץ על הפעל.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.

תצורת ה-SSO לא תיכנס לתוקף בארגון שלך אלא אם כן תבחר בלחצן הבחירה הראשון ותפעיל את ה-SSO.

מה הלאה?

ניתן להגדיר כלל ניתוב. עיין ב- הוספה או עריכה של כלל ניתוב בכרטיסייה כללי ניתוב במאמר זה.

באפשרותך לבצע את ההליך ב- דיכוי דוא"ל אוטומטי כדי להשבית דוא"ל שנשלח למשתמשי אפליקציית Webex חדשים בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

הגדרת זהות Webex
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות ולחץ על הפעל SSO.

4

בחר Webex כ-IdP שלך ולחץ על הבא.

5

סמן קראתי והבנתי כיצד Webex IdP פועל ולחץ על הבא.

6

הגדר כלל ניתוב.

עיין ב- הוספה או עריכה של כלל ניתוב בכרטיסייה כללי ניתוב במאמר זה.

לאחר שהוספת כלל ניתוב, ספק הזהויות שלך נוסף ומוצג תחת הכרטיסייה ספק זהויות.

מה הלאה?

באפשרותך לבצע את ההליך ב- דיכוי הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשי אפליקציית Webex חדשים בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

כללי ניתוב חלים בעת הגדרת יותר מ-IdP אחד. כללי ניתוב מאפשרים ל-Webex לזהות לאיזה ספק IdP לשלוח את המשתמשים שלך כאשר הגדרת מספר ספקי IdP.

בעת הגדרת יותר מ-IdP אחד, ניתן להגדיר את כללי הניתוב שלך באשף קביעת התצורה של SSO. אם תדלג על שלב כלל הניתוב, מרכז הבקרה יוסיף את ה-IdP אך לא יפעיל את ה-IdP. עליך להוסיף כלל ניתוב כדי להפעיל את ה-IdP.

הוספה או עריכה של כללי ניתוב
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה כללי ניתוב.

בעת הגדרת ספק ה-IdP הראשון שלך, כלל הניתוב נוסף אוטומטית ומוגדר ככלל ברירת מחדל. באפשרותך לבחור IdP אחר שיוגדר ככלל ברירת המחדל בהמשך.

4

לחץ על הוסף כלל ניתוב חדש.

5

הזן את הפרטים עבור כלל ניתוב:

  • שם כלל— הזן את השם עבור כלל הניתוב.
  • בחר סוג ניתוב— בחר דומיין או קבוצה.
  • אם אלה שלך domains/groups— הזן את domains/groups בתוך הארגון שלך.
  • לאחר מכן השתמש בספק הזהויות הזה— בחר את ספק הזהויות.

6

בחר את שיטת האימות הרב-גורמי (MFA):

  • שמור את סטטוס ה-MFA הנוכחי— מאפשר לך לשמור את שיטת ה-MFA הקיימת מבלי לבצע שינויים.
  • עקיפת סטטוס ה-MFA הנוכחי— מאפשר לך לשנות את שיטת ה-MFA הקיימת לתצורה חדשה.
  • אפשר MFA עבור כלל זה בלבד— הפעל כדי להפעיל MFA באופן ספציפי עבור כלל הניתוב הנוכחי.

למידע נוסף על הגדרת MFA עבור הארגון שלך, ראה הפעלת שילוב אימות רב-גורמי ב-Control Hub.

7

לחץ על הוסף.

8

בחר את כלל הניתוב החדש ולחץ על הפעל.

ניתן לשנות את סדר העדיפויות של כלל הניתוב אם יש לך כללי ניתוב עבור מספר ספקי IdP.

ביטול או מחיקה של כללי ניתוב
1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה כללי ניתוב.

4

בחר את כלל הניתוב.

5

בחר אם ברצונך לבטל או למחוק את כלל הניתוב.

מומלץ שיהיה לך כלל ניתוב פעיל נוסף עבור ה-IdP. אחרת, אתה עלול להיתקל בבעיות עם הכניסה שלך ל-SSO.

לא ניתן להשבית או למחוק את כלל ברירת המחדל , אך ניתן לשנות את ספק הזיהוי העצמי המנותב.

ניהול אישורי ספק הזהויות (IdP) שלך

לפני שתתחיל

מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה במרכז הבקרה שאישור ה-IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש אישורים, אנו מכסים את הנדרש ב-Control Hub, יחד עם שלבים כלליים לאחזור מטא-נתונים מעודכנים של IdP והעלאתם ל-Control Hub כדי לחדש את האישור.

זה חל רק על תצורת SAML.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP, לחץ על העלאה ובחר העלה מטא-נתונים של Idp.

כדי להוריד את קובץ המטא-דאטה, לחצו על הורד ובחרו הורידו מטא-דאטה של Idp.
5

נווטו לממשק ניהול ה-IdP שלכם כדי לאחזר את קובץ המטא-דאטה החדש.

6

חזור ל-Control Hub וגרור ושחרר את קובץ המטא-נתונים של IdP לאזור ההעלאה או לחץ על בחר קובץ כדי להעלות את המטא-נתונים.

7

בחר פחות מאובטח (חתימה עצמית) או מאובטח יותר (חתימה על ידי רשות אישורים ציבורית), בהתאם לאופן שבו המטא-נתונים של ה-IdP שלך חתומים, ולחץ על שמור.

8

קבע את הגדרות ה-Just In Time (JIT) ואת תגובת המיפוי של SAML.

עיין ב- הגדרת Just In Time (JIT) ומיפוי SAML בכרטיסייה ניהול ספקי הידע שלך במאמר זה.
9

לחץ על בדוק הגדרת SSO, וכאשר כרטיסייה חדשה בדפדפן נפתחת, אימות עם ה-IdP על ידי כניסה.

בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל SSO בשלב הבא.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה באמצעות SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

10

לחץ על שמור.

ניהול אישורי ספק השירות (SP) שלך

לפני שתתחיל

מומלץ לעדכן את כל ה-IdPs שלכם בארגון בעת חידוש אישור ה-SP שלכם.

זה חל רק על תצורת SAML.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP ולחץ על .

5

לחץ על סקירת אישורים ותאריך תפוגה.

פעולה זו תוביל אותך לחלון אישורי ספק שירות (SP).
6

לחץ על חידוש אישור.

7

בחר את סוג ה-IdP בארגון שלך:

  • ספק שירותי זיהוי אישי (IdP) התומך במספר אישורים
  • ספק שירותי זיהוי אישי (IdP) התומך בתעודה יחידה
8

בחר את סוג האישור לחידוש:

  • חתימה עצמית על ידי סיסקו— אנו ממליצים על אפשרות זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • חתום על ידי רשות אישורים ציבורית— מאובטח יותר אך תצטרך לעדכן את המטא-דאטה לעתים קרובות (אלא אם כן ספק ה-IdP שלך תומך בעוגני אמון).

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.

9

לחץ על הורד מטא-נתונים או הורד אישור כדי להוריד עותק של קובץ המטא-נתונים או האישור המעודכנים מענן Webex.

10

נווט לממשק ניהול IdP שלך כדי להעלות את קובץ המטא-דאטה או האישור החדש של Webex.

ניתן לבצע שלב זה דרך כרטיסיית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או דרך תמיכה ספציפית של ספק ענן, בהתאם להגדרת ה-IdP שלך ולשאלה האם אתה או מנהל IdP נפרד אחראים על שלב זה.

למידע נוסף, עיינו במדריכי האינטגרציה שלנו ל-SSO או צרו קשר עם מנהל ה-IdP שלכם לקבלת תמיכה. אם אתה משתמש בשירותי פדרציית Active Directory (AD FS), תוכל לראות כיצד לעדכן מטא-נתונים של Webex ב-AD FS

11

חזור לממשק מרכז הבקרה ולחץ על הבא.

12

בחר כל ה-IdPs עודכנו בהצלחה ולחץ על הבא.

פעולה זו מעלה את קובץ המטא-דאטה או האישור של SP לכל ספקי ה-IdP בארגון שלך.

13

לחץ על סיום חידוש.

בדוק את הגדרת ה-SSO שלך

לפני שתתחיל

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP ולחץ על תפריט 'עוד'.

5

בחר בדיקת IdP.

6

לחץ על בדוק הגדרת SSO, וכאשר כרטיסייה חדשה בדפדפן נפתחת, אימות עם ה-IdP על ידי כניסה.

אם אתה מקבל שגיאת אימות, ייתכן שיש בעיה עם האישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לראות את חוויית הכניסה באמצעות SSO, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

7

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל את SSO ואת IdP ולחץ על שמור.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. חזור לשלבים הקודמים כדי לתקן שגיאות.

תצורת SSO אינה נכנסת לתוקף בארגון שלך, אלא אם תבחר בלחצן האפשרויות הראשון ותפעיל את SSO.

הגדרת מיפוי JIT (Just In Time) ומיפוי SAML

לפני שתתחיל

ודא כי מתקיימים התנאים המוקדמים הבאים:

  • SSO כבר מוגדר.

  • הדומיינים כבר אומתו.

  • הדומיינים נתבעו והופעלו. תכונה זו מבטיחה שמשתמשים מהדומיין שלך ייווצרו ויעודכנו פעם אחת בכל פעם שהם מאומתים עם ספק ה-IdP שלך.

  • אם DirSync או Azure AD מופעלים, יצירה או עדכון של SAML JIT לא יעבדו.

  • האפשרות "חסימת עדכון פרופיל משתמש" מופעלת. מיפוי עדכוני SAML מותר מכיוון שתצורה זו שולטת ביכולתו של המשתמש לערוך את המאפיינים. שיטות יצירה ועדכון הנשלטות על ידי מנהל המערכת עדיין נתמכות.

בעת הגדרת SAML JIT עם Azure AD או IdP שבו הדוא"ל אינו מזהה קבוע, אנו ממליצים להשתמש בתכונה המקשרת externalId כדי למפות למזהה ייחודי. אם נגלה שהאימייל אינו תואם את מאפיין המקשר, המשתמש יתבקש לאמת את זהותו או ליצור משתמש חדש עם כתובת האימייל הנכונה.

משתמשים חדשים שנוצרו לא יקבלו רישיונות באופן אוטומטי אלא אם כן לארגון הוגדרה תבנית רישיון אוטומטית.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP ולחץ על תפריט 'עוד'.

5

בחר עריכת מיפוי SAML.

6

קבע את תצורת הגדרות Just-in-Time (JIT).

  • צור או הפעל משתמש: אם לא נמצא משתמש פעיל, Webex Identity יוצר את המשתמש ומעדכן את התכונות לאחר שהמשתמש אימות עם ה-IdP.
  • עדכן משתמש עם תכונות SAML: אם נמצא משתמש עם כתובת דוא"ל, Webex Identity מעדכן את המשתמש עם התכונות הממופות בקביעת SAML.
אשר שמשתמשים יכולים להיכנס עם כתובת דוא"ל שונה ולא ניתנת לזיהוי.

7

הגדרת מיפוי SAML מאפיינים נדרשים.

טבלה 1. תכונות נדרשות

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

שם משתמש / כתובת דוא"ל ראשית

דוגמה: uID

מפה את תכונת UID לדוא"ל של המשתמש המוקצה, ל-UPN או ל-edupersonprincipalname.

8

קבע את ההגדרות של מאפייני קישור.

זה צריך להיות ייחודי למשתמש. הוא משמש לחיפוש משתמש כך ש-Webex יוכל לעדכן את כל תכונות הפרופיל, כולל דוא"ל עבור משתמש.
טבלה 2. קישור תכונות

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

externalId

דוגמה: משתמש.אובייקטID

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

מספר עובד

דוגמה: משתמש.עובד-id

מספר העובד של המשתמש, או מספר זיהוי במערכת משאבי האנוש שלו. שים לב שזה לא עבור externalid, מכיוון שאתה יכול לעשות שימוש חוזר או למחזר employeenumber עבור משתמשים אחרים.

מאפיין הרחבה 1

דוגמה: user.extensionattribute1

מפו את המאפיינים המותאמים אישית הללו למאפיינים מורחבים ב-Active Directory, Azure או הספרייה שלכם, עבור קודי מעקב.

מאפיין הרחבה 2

דוגמה: user.extensionattribute2

מאפיין הרחבה 3

דוגמה: user.extensionattribute3

מאפיין הרחבה 4

דוגמה: user.extensionattribute4

מאפיין הרחבה 5

דוגמה: user.extensionattribute5

9

הגדרת תכונות פרופיל.

טבלה 3. תכונות פרופיל

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

externalId

דוגמה: משתמש.אובייקטID

כדי לזהות משתמש זה מפרופילים נפרדים אחרים. זה הכרחי בעת מיפוי בין ספרי טלפונים או שינוי תכונות פרופיל אחרות.

מספר עובד

דוגמה: משתמש.עובד-id

מספר העובד של משתמש זה, או מספר זיהוי במערכת משאבי האנוש שלו. שים לב שזה לא עבור "externalid", מכיוון שאתה יכול לעשות שימוש חוזר או למחזר את "employeenumber" עבור משתמשים אחרים.

שפה מועדפת

דוגמה: שפה מועדפת של המשתמש

השפה המועדפת של המשתמש.

מקום

דוגמה: משתמש.מיקום

מיקום העבודה הראשי של המשתמש.

אזור זמן

דוגמה: אזור זמן של משתמש

אזור הזמן הראשי של המשתמש.

displayName

דוגמה: שם תצוגה של משתמש

שם התצוגה של המשתמש ב-Webex.

name.givenName

דוגמה: שם משתמש

השם הפרטי של המשתמש.

name.familyName

דוגמה: שם משפחה

שם המשפחה של המשתמש.

כתובות.רחובכתובת

דוגמה: כתובת משתמש

כתובת מיקום העבודה הראשי שלו.

כתובות.מדינה

דוגמה: user.state

מצב מקום עבודתם העיקרי.

כתובות.אזור

דוגמה: אזור משתמש

האזור של מיקום העבודה הראשי שלו.

כתובות.מיקוד

דוגמה: מיקוד משתמש

המיקוד של מיקום העבודה הראשי שלי.

כתובות.מדינה

דוגמה: משתמש.מדינה

המדינה של מיקום העבודה הראשי שלו.

מספרי טלפון. עבודה

דוגמה: מספר טלפון בעבודה

מספר הטלפון בעבודה של מיקום העבודה הראשי שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

מספרי טלפון.הרחבה

דוגמה: מספר טלפון נייד

שלוחת העבודה של מספר הטלפון הראשי בעבודה שלו. השתמש בתבנית E.164 הבינלאומית בלבד (15 ספרות לכל היותר).

כִּנוּי

דוגמה: כינוי גוף משתמש

כינויי הגוף של המשתמש. זוהי תכונה אופציונלית, והמשתמש או המנהל יכולים להפוך אותה לגלויה בפרופיל שלהם.

כותרת

דוגמה: משתמש.תפקיד

תפקיד המשתמש.

מַחלָקָה

דוגמה: משתמש.מחלקה

המחלקה או הצוות של תפקיד המשתמש.

כִּנוּי

דוגמה: כינוי גוף משתמש

זהו כינוי הגוף של המשתמש. הנראות של מאפיין זה נשלטת על ידי המנהל והמשתמש

מְנַהֵל

דוגמה: מְנַהֵל

מנהל המשתמש או ראש הצוות שלו.

מרכז עלות

דוגמה: מרכז עלות

זהו שם המשפחה של המשתמש, הידוע גם כשם משפחה או שם משפחה.

דוא"ל חלופי1

דוגמה: כינוי דוא"ל של משתמש

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להתחבר באמצעותו, מפה אותו ל-uid.

דוא"ל חלופי2

דוגמה: משתמש.דוא"ל ראשי

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להתחבר באמצעותו, מפה אותו ל-uid.

דוא"ל חלופי 3

דוגמה: משתמש.חלופה דואר סמכותי

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להתחבר באמצעותו, מפה אותו ל-uid.

דוא"ל חלופי 4

דוגמה: משתמש.דוא"ל אחר

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להתחבר באמצעותו, מפה אותו ל-uid.

דוא"ל חלופי 5

דוגמה: משתמש.דוא"ל אחר

כתובת דוא"ל חלופית עבור המשתמש. אם אתה רוצה שהמשתמש יוכל להתחבר באמצעותו, מפה אותו ל-uid.
10

הגדרת תכונות הרחבה.

מפו את המאפיינים הללו למאפיינים מורחבים ב-Active Directory, ב-Azure או בספרייה שלכם, עבור קודי מעקב.
טבלה 4. תכונות ההרחבה

שם תכונה של זהות Webex

שם תכונת SAML

מאפיין הרחבה 1

דוגמה: user.extensionattribute1

מאפיין הרחבה 2

דוגמה: user.extensionattribute2

מאפיין הרחבה 3

דוגמה: user.extensionattribute3

מאפיין הרחבה 4

דוגמה: user.extensionattribute4

מאפיין הרחבה 5

דוגמה: user.extensionattribute5

מאפיין הרחבה 6

דוגמה: user.extensionattribute6

תכונת הרחבה 7

דוגמה: user.extensionattribute7

תכונת הרחבה 8

דוגמה: user.extensionattribute8

תכונת הרחבה 9

דוגמה: user.extensionattribute9

תכונת הרחבה 10

דוגמה: user.extensionattribute10

11

הגדרת תכונות קבוצה.

  1. צור קבוצה במרכז הבקרה ורשום את מזהה הקבוצה של Webex.
  2. עבור לספריית המשתמשים או ל-IdP שלך והגדר תכונה עבור משתמשים שיוקצו למזהה הקבוצה של Webex.
  3. עדכן את תצורת ה-IdP שלך כך שתכלול תביעה הנושאת שם מאפיין זה יחד עם מזהה הקבוצה של Webex (לדוגמה c65f7d85-b691-42b8-a20b-⁦12345xxxx⁩). ניתן גם להשתמש במזהה החיצוני לניהול שינויים בשמות קבוצות או עבור תרחישי אינטגרציה עתידיים. לדוגמה, סנכרון עם Azure AD או יישום סנכרון קבוצות SCIM.
  4. ציין את השם המדויק של המאפיין שיישלח בקביעת SAML עם מזהה הקבוצה. זה משמש להוספת משתמש לקבוצה.
  5. ציין את השם המדויק של המזהה החיצוני של אובייקט הקבוצה אם אתה משתמש בקבוצה מהספרייה שלך כדי לשלוח חברים בקביעת SAML.

אם משתמש א' משויך ל- groupID 1234 ומשתמש ב' ל- groupID 4567, הם משויכים לקבוצות נפרדות. תרחיש זה מציין שתכונה אחת מאפשרת למשתמשים לשייך למספר מזהי קבוצה. אמנם זה לא נדיר, אך זה אפשרי וניתן להתייחס אליו כשינוי תוסף. לדוגמה, אם משתמש A נכנס בתחילה באמצעות groupID 1234, הוא הופך לחבר בקבוצה המתאימה. אם משתמש א' ייכנס מאוחר יותר באמצעות groupID 4567, הוא יתווסף גם לקבוצה השנייה הזו.

הקצאת משאבים ל-SAML JIT אינה תומכת בהסרת משתמשים מקבוצות או בכל מחיקה של משתמשים.

טבלה 5. תכונות קבוצה

שם תכונה של זהות Webex

שם תכונת SAML

תיאור תכונה

מזהה קבוצה

דוגמה: מזהה קבוצה

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

מזהה חיצוני של קבוצה

דוגמה: מזהה חיצוני של קבוצה

מפה תכונות קבוצתיות מ-IdP ל-Webex Identity group Attributes למטרת מיפוי משתמש זה לקבוצה לצורך רישוי או שירות ההגדרה.

לקבלת רשימה של מאפייני SAML Assertion עבור Webex Meetings, ראה https://help.webex.com/article/WBX67566.

מחיקת ספק הזהויות (IdP) שלך

לפני שתתחיל

מומלץ תחילה להשבית או למחוק את כללי הניתוב של ה-IdP לפני מחיקת ה-IdP.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP ולחץ על תפריט 'עוד'.

5

בחר מחק.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

לחץ על בטל SSO.

אשר את ביטול ה-SSO.

לאחר האישור, SSO מושבת עבור כל ספקי ה-IdP בארגון שלך.

תקבל התראות ב-Control Hub לפני שאישורים יפוגו, אך תוכל גם להגדיר כללי התראות באופן יזום. כללים אלה מודיעים לך מראש שתוקף אישורי ה-SP או ה-IdP שלך עומד לפוג. נוכל לשלוח לך את אלה באמצעות דוא"ל, שטח באפליקציית Webex, או שניהם.

ללא קשר לערוץ המסירה שתצורתו נקבעה, כל ההתראות תמיד מופיעות במרכז הבקרה. ראה מרכז התראות ב-Control Hub לקבלת מידע נוסף.

1

היכנס למרכז הבקרה.

2

עבור אל מרכז ההתראות.

3

בחר נהל לאחר מכן כל הכללים.

4

מרשימת הכללים, בחר כל אחד מכללי ה-SSO שברצונך ליצור:

  • פקיעת אישור SSO IDP
  • תוקף תעודת SSO SP
5

במקטע ערוץ מסירה, סמן את התיבה עבור דוא"ל, מרחב Webexאו שניהם.

אם תבחרו באפשרות דוא"ל, הזינו את כתובת הדוא"ל שתקבל את ההתראה.

אם תבחר באפשרות מרחב Webex, תתווסף אוטומטית למרחב בתוך אפליקציית Webex ואנחנו נספק לשם את ההתראות.

6

שמור את השינויים.

מה הלאה?

אנו שולחים התראות על תפוגת תעודה אחת ל-15 ימים, החל מ-60 ימים לפני תפוגתה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15.) ההתראות נפסקות עם חידוש האישור.

אם נתקלת בבעיות עם הכניסה שלך ל-SSO, תוכל להשתמש באפשרות שחזור עצמי של SSO כדי לקבל גישה לארגון Webex שלך המנוהל ב-Control Hub. אפשרות השחזור העצמי מאפשרת לך לעדכן או להשבית SSO ב-Control Hub.