Funkcja logowania jednokrotnego (SSO) umożliwia użytkownikom bezpieczne logowanie się do serwisu Webex poprzez uwierzytelnienie za pomocą wspólnego dostawcy tożsamości danej organizacji. Dostawca tożsamości (IdP) bezpiecznie przechowuje i zarządza cyfrowymi tożsamościami Twoich użytkowników oraz zapewnia usługę uwierzytelniania użytkowników Webex.

Dlaczego możesz potrzebować wielu dostawców tożsamości

Wiele dużych firm przechodzi fuzje i przejęcia, a firmy te rzadko mają tę samą infrastrukturę IT i dostawców tożsamości. Instytucjom rządowym podlegają różne organizacje i agencje. Często organizacje te mają jeden adres e-mail dla swoich działów IT i infrastruktury. Duże placówki edukacyjne mają centralny dział zakupów, ale różne uniwersytety i szkoły wyższe mają różne organizacje i działy IT.

Często zdarza się, że dostawcy tożsamości i dostawcy usług (SP) łączą się ze sobą. Dostawca tożsamości odpowiada za uwierzytelnianie danych użytkowników, a usługodawca ufa uwierzytelnianiu dokonanemu przez dostawcę tożsamości. Dzięki temu użytkownicy będą mogli uzyskiwać dostęp do różnych aplikacji i usług SaaS przy użyciu tej samej tożsamości cyfrowej. Jeśli jednak z jakiegoś powodu Twoja organizacja nie może nawiązać łączności między dostawcami tożsamości, wówczas Webex udostępnia obejście umożliwiające obsługę wielu dostawców tożsamości. Z tego względu dajemy Ci możliwość skonfigurowania logowania jednokrotnego (SSO) dla wielu dostawców tożsamości w Webex i uproszczenia procesu uwierzytelniania użytkowników.

Ograniczenia

  • Jeśli w swojej organizacji korzystasz z narzędzia Directory Connector, wszyscy użytkownicy muszą być wyposażeni w to narzędzie. Więcej informacji można znaleźć w podręczniku wdrażania Directory Connector.
  • Obecnie naszymi dostawcami tożsamości są SAML, OpenID Connect i Webex Identity.

Poza zakresem

  • Skonfiguruj przypisania grupowe.

W tej sekcji opisano, jak można zintegrować dostawców tożsamości (IdP) z organizacją Webex. Możesz wybrać dostawców tożsamości, którzy najlepiej odpowiadają wymaganiom Twojej organizacji.

Jeśli szukasz integracji SSO z witryną Webex Meetings (zarządzaną w Administracji witryną), zapoznaj się z artykułem Konfigurowanie logowania jednokrotnego na potrzeby administracji Webex.

Wymagania wstępne

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki:

    • Musisz mieć uprawnienia pełnego administratora w Control Hub.
    • Plik metadanych od dostawcy tożsamości, który należy przekazać firmie Webex, oraz plik metadanych od Webex, który należy przekazać dostawcy tożsamości. Aby uzyskać więcej informacji, zapoznaj się z tematem Integracja logowania jednokrotnego w Control Hub. Dotyczy to tylko konfiguracji SAML.
    • Przed skonfigurowaniem wielu dostawców tożsamości należy zaplanować zachowanie reguł routingu.

    Domyślna reguła routingu zostanie zastosowana po skonfigurowaniu początkowego dostawcy tożsamości. Możesz jednak ustawić innego dostawcę tożsamości jako domyślnego. Zobacz sekcję Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Konfigurowanie SAML
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości i kliknij Aktywuj SSO.

4

Wybierz SAML jako swojego dostawcę tożsamości i kliknij Dalej.

5

Wybierz typ certyfikatu:

  • Podpisane przez Cisco—Polecamy ten wybór. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale będziesz musiał często aktualizować metadane (chyba że Twój dostawca IdP obsługuje zaufane kotwice).

Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

6

Kliknij kolejno opcje Pobierz metadaneDalej.

Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml.

7

Prześlij plik metadanych swojego dostawcy tożsamości lub wypełnij formularz konfiguracyjny.

Podczas przesyłania pliku metadanych istnieją dwa sposoby sprawdzenia poprawności metadanych od dostawcy tożsamości klienta:

  • Dostawca tożsamości klienta dołącza do metadanych podpis pochodzący od głównego publicznego urzędu certyfikacji.
  • Dostawca tożsamości klienta dołącza prywatny urząd certyfikacji z podpisem własnym lub nie dołącza podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.
W przeciwnym wypadku w formularzu konfiguracji wprowadź dane dostawcy tożsamości.

Kliknij przycisk Dalej.

8

(Opcjonalnie) Możesz zmienić nazwę atrybutu SAML dla Nazwa użytkownika Webex lub Główny adres e-mail z uid na coś uzgodnionego z menedżerem dostawcy tożsamości, na przykład email, upnitd.

9

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML.

Zapoznaj się z sekcją Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
10

Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może to oznaczać problem z danymi uwierzytelniającymi. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

11

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj SSO i IdP i kliknij Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.

Konfiguracja logowania jednokrotnego (SSO) nie zostanie zastosowana w Twojej organizacji, dopóki nie zaznaczysz pierwszego przycisku radiowego i nie aktywujesz logowania jednokrotnego (SSO).

Co zrobić dalej

Możesz skonfigurować regułę routingu. Zobacz sekcję Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Aby wyłączyć wysyłanie wiadomości e-mail do nowych użytkowników aplikacji Webex w swojej organizacji, wykonaj czynności opisane w sekcji Wyłącz automatyczne wysyłanie wiadomości e-mail . Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfigurowanie OpenID Connect
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości i kliknij Aktywuj SSO.

4

Wybierz OpenID Connect jako swojego dostawcę tożsamości i kliknij Dalej.

5

Wprowadź dane swojego dostawcy tożsamości.

  • Nazwa— nazwa identyfikująca Twojego dostawcę tożsamości.
  • ID klienta— unikalny identyfikator identyfikujący Ciebie i Twojego dostawcę tożsamości.
  • Tajny klucz klienta— hasło, które znasz Ty i Twój dostawca tożsamości.
  • Zakresy— zakresy, które mają zostać skojarzone z dostawcą tożsamości.

6

Wybierz sposób dodawania punktów końcowych. Można to zrobić automatycznie lub ręcznie.

  • Użyj adresu URL wykrywania, aby automatycznie dodawać punkty końcowe.

    • Wprowadź adres URL Discovery dla swojego dostawcy tożsamości. Ten adres URL automatycznie wypełni niezbędne punkty końcowe dla funkcji pojedynczego wylogowania (SLO) OIDC.
    • Włącz opcję Zezwalaj na automatyczne wylogowywanie się z sesji, aby zapewnić, że użytkownicy zostaną wylogowani ze wszystkich podłączonych aplikacji i usług po wylogowaniu się z usługi Webex.

  • Jeśli wolisz Ręcznie dodać wszystkie informacje o punkcie końcowym, dodaj następujące szczegóły.

    • Wystawca— wprowadź adres URL wystawcy określony przez dostawcę tożsamości.
    • Punkt końcowy autoryzacji— wprowadź adres URL punktu końcowego autoryzacji.
    • Punkt końcowy tokena— wprowadź adres URL punktu końcowego tokena.
    • Punkt końcowy JWKS— wprowadź adres URL zestawu kluczy internetowych JSON (JWKS).
    • Punkt końcowy informacji o użytkowniku— wprowadź adres URL punktu końcowego informacji o użytkowniku.
    • Jeśli opcja Zezwalaj na automatyczne wylogowywanie sesji jest włączona, należy wprowadzić adres URL punktu końcowego wylogowywania sesji [], aby włączyć funkcję pojedynczego wylogowania (SLO) we wszystkich połączonych aplikacjach.
    Więcej informacji znajdziesz w przewodniku konfiguracji OpenID Connect.

7

(Opcjonalnie) Skonfiguruj ustawienia Just In Time (JIT).

Zapoznaj się z sekcją Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
8

Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może to oznaczać problem z danymi uwierzytelniającymi. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

9

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj SSO i IdP i kliknij Aktywuj.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.

Konfiguracja logowania jednokrotnego (SSO) nie zostanie zastosowana w Twojej organizacji, dopóki nie zaznaczysz pierwszego przycisku radiowego i nie aktywujesz logowania jednokrotnego (SSO).

Co zrobić dalej

Możesz skonfigurować regułę routingu. Zobacz sekcję Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Aby wyłączyć wysyłanie wiadomości e-mail do nowych użytkowników aplikacji Webex w swojej organizacji, wykonaj czynności opisane w sekcji Wyłącz automatyczne wysyłanie wiadomości e-mail . Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Konfigurowanie tożsamości Webex
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości i kliknij Aktywuj SSO.

4

Wybierz Webex jako dostawcę tożsamości i kliknij Dalej.

5

Zaznacz Przeczytałem i zrozumiałem, jak działa Webex IdP i kliknij Dalej.

6

Skonfiguruj regułę routingu.

Zobacz sekcję Dodaj lub edytuj regułę routingu na karcie Reguły routingu w tym artykule.

Po dodaniu reguły routingu Twój dostawca tożsamości zostanie dodany i wyświetlony na karcie Dostawca tożsamości.

Co dalej?

Aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji, wykonaj czynności opisane w sekcji Wyłącz automatyczne wysyłanie wiadomości e-mail . Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Reguły routingu obowiązują w przypadku konfigurowania więcej niż jednego dostawcy tożsamości. Reguły routingu umożliwiają Webex identyfikację dostawcy tożsamości, do którego należy skierować użytkowników, jeśli skonfigurowano wielu dostawców tożsamości.

Podczas konfigurowania więcej niż jednego dostawcy tożsamości (IdP) możesz zdefiniować reguły routingu w kreatorze konfiguracji SSO. Jeżeli pominiesz krok dotyczący reguły routingu, Control Hub doda dostawcę tożsamości, ale go nie aktywuje. Aby aktywować dostawcę tożsamości, należy dodać regułę routingu.

Dodawanie lub edytowanie reguł routingu
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Reguły routingu.

Podczas konfigurowania pierwszego dostawcy tożsamości reguła routingu jest dodawana automatycznie i ustawiana jako Reguła domyślna. Później możesz wybrać innego dostawcę tożsamości i ustawić go jako regułę domyślną.

4

Kliknij Dodaj nową regułę routingu.

5

Wprowadź szczegóły reguły routingu:

  • Nazwa reguły— wprowadź nazwę reguły routingu.
  • Wybierz typ routingu— Wybierz domenę lub grupę.
  • Jeśli to są Twoje domains/groups—Wprowadź domains/groups w Twojej organizacji.
  • Następnie użyj tego dostawcy tożsamości— Wybierz dostawcę tożsamości.

6

Wybierz metodę uwierzytelniania wieloskładnikowego (MFA):

  • Zachowaj bieżący status MFA— umożliwia zachowanie istniejącej metody MFA bez wprowadzania zmian.
  • Zastąp bieżący status MFA— umożliwia zmianę istniejącej metody MFA na nową konfigurację.
  • Zezwalaj na uwierzytelnianie wieloskładnikowe tylko dla tej reguły— włącz, aby włączyć uwierzytelnianie wieloskładnikowe specjalnie dla bieżącej reguły routingu.

Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania wieloskładnikowego w organizacji, zobacz Włączanie integracji uwierzytelniania wieloskładnikowego w Control Hub.

7

Kliknij przycisk Dodaj.

8

Wybierz nową regułę routingu i kliknij Aktywuj.

Jeśli masz reguły routingu dla wielu dostawców tożsamości, możesz zmienić kolejność priorytetów reguł routingu.

Dezaktywuj lub usuń reguły routingu
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Reguły routingu.

4

Wybierz regułę routingu.

5

Wybierz, czy chcesz Dezaktywować czy Usunąć regułę routingu.

Zaleca się posiadanie innej aktywnej reguły routingu dla dostawcy tożsamości. W przeciwnym wypadku mogą wystąpić problemy z logowaniem SSO.

Reguły domyślnejnie można dezaktywować ani usunąć, ale można zmodyfikować przekierowanego dostawcę tożsamości.

Zarządzaj swoimi certyfikatami dostawcy tożsamości (IdP)

Przed rozpoczęciem

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.

Dotyczy to tylko konfiguracji SAML.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP, kliknij przesłać i wybierz Prześlij metadane IdP.

Aby pobrać plik metadanych, kliknij Pobierz i wybierz Pobierz metadane Idp.
5

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

6

Wróć do Control Hub i przeciągnij i upuść plik metadanych dostawcy tożsamości do obszaru przesyłania lub kliknij Wybierz plik, aby przesłać metadane.

7

Wybierz opcję Mniej bezpieczne (podpisane samodzielnie) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisywania metadanych dostawcy tożsamości, a następnie kliknij przycisk Zapisz.

8

Skonfiguruj ustawienia Just In Time (JIT) i odpowiedź mapowania SAML.

Zapoznaj się z sekcją Konfigurowanie mapowania Just In Time (JIT) i SAML na karcie Zarządzanie dostawcami tożsamości w tym artykule.
9

Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.

Jeśli pojawi się błąd uwierzytelniania, może to oznaczać problem z danymi uwierzytelniającymi. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

10

Kliknij opcję Zapisz.

Zarządzaj swoimi certyfikatami dostawcy usług (SP)

Przed rozpoczęciem

Zaleca się aktualizację wszystkich dostawców tożsamości w organizacji podczas odnawiania certyfikatu dostawcy usług.

Dotyczy to tylko konfiguracji SAML.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP i kliknij .

5

Kliknij Sprawdź certyfikaty i datę ważności.

Spowoduje to przejście do okna Certyfikaty dostawcy usług (SP).
6

Kliknij Odnów certyfikat.

7

Wybierz typ dostawcy tożsamości w swojej organizacji:

  • Dostawca tożsamości obsługujący wiele certyfikatów
  • Dostawca tożsamości obsługujący pojedynczy certyfikat
8

Wybierz typ certyfikatu do odnowienia:

  • Podpisane przez Cisco—Polecamy ten wybór. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale będziesz musiał często aktualizować metadane (chyba że Twój dostawca IdP obsługuje zaufane punkty zaczepienia).

Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

9

Kliknij Pobierz metadane lub Pobierz certyfikat, aby pobrać kopię zaktualizowanego pliku metadanych lub certyfikatu z chmury Webex.

10

Przejdź do interfejsu zarządzania dostawcą tożsamości (IdP), aby przesłać nowy plik metadanych lub certyfikat Webex.

Ten krok można wykonać za pomocą karty przeglądarki, protokołu RDP (Remote Desktop Protocol) lub obsługi określonego dostawcy usług w chmurze, w zależności od konfiguracji dostawcy tożsamości i tego, czy za ten krok odpowiadasz Ty, czy oddzielny administrator dostawcy tożsamości.

Aby uzyskać więcej informacji, zapoznaj się z naszymi przewodnikami integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. Jeśli korzystasz z usług Active Directory Federation Services (AD FS), możesz zobaczyć, jak zaktualizować metadane Webex w usługach AD FS

11

Wróć do interfejsu Control Hub i kliknij Dalej.

12

Wybierz opcję Pomyślnie zaktualizowano wszystkich dostawców tożsamości i kliknij przycisk Dalej.

Spowoduje to przesłanie pliku metadanych SP lub certyfikatu do wszystkich dostawców tożsamości w Twojej organizacji.

13

Kliknij Zakończ odnawianie.

Testuj konfigurację jednokrotnego logowania (SSO)

Przed rozpoczęciem

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP i kliknij Menu Więcej.

5

Wybierz Testuj IdP.

6

Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Jeśli pojawi się błąd uwierzytelniania, może to oznaczać problem z danymi uwierzytelniającymi. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby zobaczyć działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w oknie prywatnej przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

7

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Aktywuj SSO i IdP i kliknij Zapisz.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wróć do poprzednich kroków, aby naprawić błędy.

Konfiguracja logowania jednokrotnego nie zostanie zastosowana w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Konfigurowanie mapowania Just In Time (JIT) i SAML

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • Logowanie jednokrotne jest już skonfigurowane.

  • Domeny zostały już zweryfikowane.

  • Domeny są zgłoszone i włączone. Funkcja ta zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani za każdym razem, gdy uwierzytelniają się u Twojego dostawcy tożsamości.

  • Jeśli włączony jest DirSync lub Azure AD, tworzenie i aktualizowanie SAML JIT nie będzie działać.

  • "Blokuj aktualizację profilu użytkownika" jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Kontrolowane przez administratora metody tworzenia i aktualizowania są nadal obsługiwane.

Podczas konfigurowania protokołu SAML JIT z usługą Azure AD lub dostawcą tożsamości, w którym adres e-mail nie jest stałym identyfikatorem, zalecamy użycie atrybutu łączącego externalId w celu zamapowania na unikatowy identyfikator. Jeśli okaże się, że adres e-mail nie pasuje do atrybutu linkującego, użytkownik zostanie poproszony o potwierdzenie swojej tożsamości lub utworzenie nowego użytkownika z prawidłowym adresem e-mail.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany szablon licencji automatycznej .

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP i kliknij Menu Więcej.

5

Wybierz Edytuj mapowanie SAML.

6

Skonfiguruj Ustawienia Just-in-Time (JIT).

  • Utwórz lub włącz użytkownika: jeśli nie zostanie znaleziony żaden aktywny użytkownik, Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika u dostawcy tożsamości.
  • Zaktualizuj użytkownika za pomocą atrybutów SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, Webex Identity zaktualizuje go o atrybuty zamapowane w potwierdzeniu SAML.
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niezidentyfikowanego adresu e-mail.

7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Podstawowy adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj Atrybuty łączenia.

Powinno być ono unikalne dla każdego użytkownika. Służy do wyszukiwania użytkownika, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, łącznie z adresem e-mail użytkownika.
Tabela 2. Łączenie atrybutów

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w jego systemie HR. Należy pamiętać, że nie dotyczy to externalid, ponieważ można ponownie wykorzystać lub poddać recyklingowi employeenumber dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Zamapuj te niestandardowe atrybuty na rozszerzone atrybuty w usłudze Active Directory, usłudze Azure lub swoim katalogu, aby śledzić kody.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: użytkownik.rozszerzenieatrybut4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj Atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Pamiętaj, że nie jest to "externalid", ponieważ możesz ponownie użyć lub odtworzyć "employeenumber" dla innych użytkowników.

preferredLanguage

Przykład: user.preferredlanguage

Preferowany język użytkownika.

Ustawień regionalnych

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.strefa czasowa

Główna strefa czasowa użytkownika.

displayName

Przykład: nazwa_użytkownika.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.ulicaAdres

Przykład: user.streetadres

Adres głównego miejsca pracy.

adres.stan

Przykład: stan użytkownika

Stan ich podstawowej lokalizacji pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.postalCode

Przykład: user.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: użytkownik.kraj

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: numer telefonu służbowego

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu komórkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: zaimek użytkownika.

Zaimki użytkownika. Jest to atrybut opcjonalny, a użytkownik lub administrator może uczynić go widocznym w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: zaimek użytkownika.

Jest to zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Menedżer użytkownika lub kierownik zespołu.

costcenter

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub nazwisko

email.alternate1

Przykład: nazwa użytkownika.mailnickname

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternatywny4

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.
10

Skonfiguruj Atrybuty rozszerzenia.

Zamapuj te atrybuty na atrybuty rozszerzone w usłudze Active Directory, na platformie Azure lub w katalogu na potrzeby kodów śledzenia.
Tabela 4. Atrybuty rozszerzeń

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj Atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkowników lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którym zostanie przypisany identyfikator grupy Webex.
  3. Zaktualizuj konfigurację swojego dostawcy tożsamości, aby uwzględnić roszczenie zawierające nazwę tego atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Można również używać zewnętrznego identyfikatora do zarządzania zmianami nazw grup lub w przyszłych scenariuszach integracji. Na przykład synchronizacja z usługą Azure AD lub wdrożenie synchronizacji grup SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w potwierdzeniu SAML wraz z identyfikatorem grupy. Służy do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupy, jeśli używasz grupy ze swojego katalogu do wysyłania członków w potwierdzeniu SAML.

Jeżeli użytkownik A jest powiązany z groupID 1234, a użytkownik B z groupID 4567, są oni przypisani do oddzielnych grup. Ten scenariusz oznacza, że pojedynczy atrybut umożliwia użytkownikom skojarzenie się z wieloma identyfikatorami grup. Choć zdarza się to rzadko, jest możliwe i można to uznać za zmianę addytywną. Na przykład, jeśli użytkownik A zaloguje się początkowo przy użyciu groupID 1234, stanie się członkiem odpowiedniej grupy. Jeżeli użytkownik A zaloguje się później przy użyciu groupID 4567, zostanie on również dodany do tej drugiej grupy.

Protokół SAML JIT nie obsługuje usuwania użytkowników z grup ani kasowania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupexternalId

Przykład: groupexternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla spotkań Webex, zobacz https://help.webex.com/article/WBX67566.

Usuń swojego dostawcę tożsamości (IdP)

Przed rozpoczęciem

Zaleca się, aby przed usunięciem dostawcy tożsamości najpierw dezaktywować lub usunąć reguły routingu tego dostawcy.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP i kliknij Menu Więcej.

5

Wybierz pozycję Usuń.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Kliknij Dezaktywuj SSO.

Potwierdź dezaktywację SSO.

Po potwierdzeniu logowanie jednokrotne zostanie dezaktywowane dla wszystkich dostawców tożsamości w Twojej organizacji.

Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.

Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Centrum alertów.

3

Wybierz Zarządzaj, a następnie Wszystkie reguły.

4

Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP logowania jednokrotnego
  • Wygaśnięcie certyfikatu SSO SP
5

W sekcji Kanał dostarczania zaznacz pole wyboru E-mail, przestrzeń Webexlub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie.

Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia.

6

Zapisz zmiany.

Co dalej?

Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Możesz spodziewać się alertów 60., 45., 30. i 15. dnia.) Alerty ustają po odnowieniu certyfikatu.

Jeśli wystąpią problemy z logowaniem SSO, możesz skorzystać z opcji samodzielnego odzyskiwania SSO, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja samodzielnego odzyskiwania umożliwia aktualizację lub wyłączenie logowania jednokrotnego (SSO) w Control Hub.