Система единого входа (SSO) позволяет пользователям безопасно входить в Webex, выполняя аутентификацию у общего поставщика удостоверений вашей организации. Поставщик удостоверений (IdP) безопасно хранит и управляет цифровыми удостоверениями ваших пользователей, а также предоставляет услугу аутентификации пользователей Webex.

Почему вам может понадобиться несколько IdP

Многие крупные компании подвергаются слияниям и поглощениям, и эти компании редко имеют одинаковую ИТ-инфраструктуру и поставщиков удостоверений. В подчинении государственных учреждений находятся различные организации и агентства. Зачастую эти организации имеют единый адрес электронной почты для своих ИТ-отделов и инфраструктуры соответственно. В крупных учебных заведениях имеется центральный отдел закупок, но в разных университетах и колледжах имеются различные ИТ-организации и отделы.

Часто можно увидеть, как поставщики удостоверений и сервисов (SP) объединяются друг с другом. Поставщик удостоверений отвечает за аутентификацию учетных данных ваших пользователей, а поставщик услуг доверяет аутентификации, выполненной поставщиком удостоверений. Это позволяет вашим пользователям получать доступ к различным SaaS-приложениям и сервисам, используя одну и ту же цифровую идентификацию. Но если по какой-то причине ваша организация не может объединить поставщиков удостоверений, то Webex предоставляет обходной путь для поддержки нескольких поставщиков удостоверений. По этим причинам мы предоставляем вам возможность настроить систему единого входа для нескольких поставщиков удостоверений в Webex и упростить процесс аутентификации ваших пользователей.

Ограничения

  • В настоящее время мы поддерживаем в качестве поставщиков удостоверений только SAML, OpenID Connect и Webex Identity.

Вне сферы действия

  • Настройте групповые назначения.

В этом разделе рассматривается, как можно интегрировать поставщиков удостоверений (IdP) с вашей организацией Webex. Вы можете выбрать IdP, которые наилучшим образом соответствуют требованиям вашей организации.

Если вы ищете интеграцию SSO для сайта Webex Meetings (управляется в разделе «Администрирование сайта»), см. раздел Настройка единого входа для администрирования Webex.

Предварительные условия

Прежде чем начать

Убедитесь, что выполнены следующие условия:

    • У вас должна быть роль полного администратора в Control Hub.
    • Файл метаданных от IdP для передачи в Webex и файл метаданных от Webex для передачи в IdP. Для получения дополнительной информации см. Интеграция единого входа в Control Hub. Это применимо только к конфигурации SAML.
    • Перед настройкой нескольких IdP следует спланировать поведение правил маршрутизации.

    Правило маршрутизации по умолчанию применяется после настройки первоначального IdP. Но вы можете установить другой IdP по умолчанию. См. раздел Добавление или изменение правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.

Настроить SAML
1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений и нажмите Активировать единый вход.

4

Выберите SAML в качестве своего IdP и нажмите Далее.

5

Выберите тип сертификата

  • Самоподписанный Cisco— Мы рекомендуем этот выбор. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Подписано публичным центром сертификации— более безопасно, но вам придется часто обновлять метаданные (если только ваш поставщик IdP не поддерживает якоря доверия).

Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

6

Щелкните Скачать метаданные, а затем – Далее.

Имя файла метаданных приложения Webex — idb-meta-<org-ID>-SP.xml.

7

Загрузите файл метаданных вашего IdP или заполните форму конфигурации.

При загрузке файла метаданных существует два способа проверки метаданных от Customer IdP:

  • Поставщик удостоверений клиента предоставляет подпись в метаданных, подписанную общедоступным корневым центром сертификации.
  • Поставщик удостоверений клиента предоставляет самоподписанный сертификат частного центра сертификации или не предоставляет подпись для своих метаданных. Этот вариант менее безопасен.
В противном случае в форме конфигурации введите информацию IdP.

Щелкните Далее.

8

(Необязательно) Вы можете изменить имя атрибута SAML для Имени пользователя Webex или Основного адреса электронной почты с uid на что-то, согласованное с менеджером IdP, например email, upnи т. д.

9

(Необязательно) Настройте параметры Just In Time (JIT) и ответ сопоставления SAML.

См. раздел Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками удостоверений» в этой статье.
10

Нажмите Проверить настройку единого входаи, когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, войдя в систему.

Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге.

Если вы получили сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.

Чтобы увидеть процесс входа в систему с помощью единого входа, мы рекомендуем вам нажать Копировать URL-адрес в буфер обмена на этом экране и вставить его в приватное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

11

Вернитесь на вкладку браузера с Control Hub.

  • Если тестирование прошло успешно, выберите Успешное тестирование. Активируйте SSO и IdP и нажмите Активировать.
  • Если тестирование прошло с ошибками, выберите Тестирование не пройдено. Вернитесь к предыдущим шагам, чтобы исправить ошибки.

Конфигурация SSO не вступит в силу в вашей организации, пока вы не выберете первый переключатель и не активируете SSO.

Дальнейшие действия

Вы можете настроить правило маршрутизации. См. раздел Добавление или изменение правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.

Чтобы отключить электронные письма, отправляемые новым пользователям приложения Webex в вашей организации, следуйте процедуре, описанной в разделе Отключение автоматических электронных писем . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Настроить OpenID Connect
1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений и нажмите Активировать единый вход.

4

Выберите OpenID Connect в качестве поставщика удостоверений и нажмите Далее.

5

Введите данные вашего IdP.

  • Имя— Имя для идентификации вашего IdP.
  • Идентификатор клиента— уникальный идентификатор, идентифицирующий вас и вашего поставщика удостоверений.
  • Секрет клиента— пароль, который знаете вы и ваш поставщик удостоверений.
  • Области действия— Области действия, которые будут связаны с вашим IdP.

6

Выберите способ добавления конечных точек. Это можно сделать автоматически или вручную.

  • Используйте URL-адрес обнаружения для автоматического добавления конечных точек.

    • Введите URL-адрес обнаружения для вашего IdP. Этот URL-адрес автоматически заполнит необходимые конечные точки для единого выхода OIDC (SLO).
    • Включите Разрешить автоматический выход из сеанса, чтобы гарантировать выход пользователей из всех подключенных приложений и служб при выходе из Webex.

  • Если вы предпочитаете вручную добавить всю информацию о конечной точке, добавьте следующие данные.

    • Эмитент— введите URL-адрес эмитента, указанный вашим IdP.
    • Конечная точка авторизации— введите URL-адрес конечной точки авторизации.
    • Конечная точка токена— введите URL-адрес конечной точки токена.
    • Конечная точка JWKS— введите URL-адрес набора веб-ключей JSON (JWKS).
    • Конечная точка информации о пользователе— введите URL-адрес конечной точки информации о пользователе.
    • Если включен параметр Разрешить автоматический выход из сеанса, необходимо ввести URL-адрес [ конечной точки выхода из сеанса , чтобы включить единый выход из сеанса (SLO) для всех подключенных приложений.
    Более подробную информацию см. в руководстве по настройке OpenID Connect.

7

(Необязательно) Настройте параметры Just In Time (JIT).

См. раздел Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками удостоверений» в этой статье.
8

Нажмите Проверить настройку единого входаи, когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, войдя в систему.

Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге.

Если вы получили сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.

Чтобы увидеть процесс входа в систему с помощью единого входа, мы рекомендуем вам нажать Копировать URL-адрес в буфер обмена на этом экране и вставить его в приватное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

9

Вернитесь на вкладку браузера с Control Hub.

  • Если тестирование прошло успешно, выберите Успешное тестирование. Активируйте SSO и IdP и нажмите Активировать.
  • Если тестирование прошло с ошибками, выберите Тестирование не пройдено. Вернитесь к предыдущим шагам, чтобы исправить ошибки.

Конфигурация единого входа не вступит в силу в вашей организации, пока вы не выберете первый переключатель и не активируете единый вход.

Дальнейшие действия

Вы можете настроить правило маршрутизации. См. раздел Добавление или изменение правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.

Чтобы отключить электронные письма, отправляемые новым пользователям приложения Webex в вашей организации, следуйте процедуре, описанной в разделе Отключение автоматических электронных писем . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Настройте идентификатор Webex
1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений и нажмите Активировать единый вход.

4

Выберите Webex в качестве поставщика удостоверений и нажмите Далее.

5

Установите флажок Я прочитал и понял, как работает Webex IdP и нажмите Далее.

6

Настройте правило маршрутизации.

См. раздел Добавление или изменение правила маршрутизации на вкладке «Правила маршрутизации» в этой статье.

После добавления правила маршрутизации ваш IdP будет добавлен и отображен на вкладке Поставщик удостоверений.

Дальнейшие действия

Чтобы отключить электронные письма, отправляемые новым пользователям приложения Webex в вашей организации, следуйте процедуре, описанной в разделе Отключение автоматических электронных писем . В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Правила маршрутизации применяются при настройке более одного IdP. Правила маршрутизации позволяют Webex определять, к какому поставщику удостоверений направлять пользователей, если вы настроили несколько поставщиков удостоверений.

При настройке более одного IdP вы можете определить правила маршрутизации в мастере настройки SSO. Если вы пропустите шаг правила маршрутизации, то Control Hub добавит IdP, но не активирует IdP. Для активации IdP необходимо добавить правило маршрутизации.

Добавить или изменить правила маршрутизации
1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Правила маршрутизации.

При настройке вашего первого IdP правило маршрутизации добавляется автоматически и устанавливается как правило по умолчанию. Позже вы сможете выбрать другого IdP и установить его в качестве правила по умолчанию.

4

Нажмите Добавить новое правило маршрутизации.

5

Введите данные для правила маршрутизации:

  • Имя правила— введите имя правила маршрутизации.
  • Выберите тип маршрутизации— Выберите домен или группу.
  • Если это ваши domains/groups—Введите domains/groups в вашей организации.
  • Затем используйте этого поставщика удостоверений— Выберите IdP.

6

Выберите метод многофакторной аутентификации (MFA):

  • Сохранить текущий статус MFA— позволяет сохранить существующий метод MFA без внесения изменений.
  • Переопределить текущий статус MFA— позволяет изменить существующий метод MFA на новую конфигурацию.
  • Разрешить MFA только для этого правила— включите, чтобы включить MFA специально для текущего правила маршрутизации.

Дополнительную информацию о настройке MFA для вашей организации см. в разделе Включение интеграции многофакторной аутентификации в Control Hub.

7

Щелкните Добавить.

8

Выберите новое правило маршрутизации и нажмите Активировать.

Вы можете изменить порядок приоритетов правил маршрутизации, если у вас есть правила маршрутизации для нескольких IdP.

Деактивировать или удалить правила маршрутизации
1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Правила маршрутизации.

4

Выберите правило маршрутизации.

5

Выберите, хотите ли вы Деактивировать или Удалить правило маршрутизации.

Рекомендуется иметь еще одно активное правило маршрутизации для IdP. В противном случае у вас могут возникнуть проблемы с входом в систему единого входа.

Правило по умолчаниюнельзя деактивировать или удалить, но можно изменить маршрутизируемый IdP.

Управляйте сертификатами поставщика удостоверений (IdP)

Прежде чем начать

На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.

Это применимо только к конфигурации SAML.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP, нажмите upload и выберите Загрузить метаданные IdP.

Чтобы загрузить файл метаданных, нажмите Скачать и выберите Загрузить метаданные Idp.
5

Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.

6

Вернитесь в Control Hub и перетащите файл метаданных IdP в область загрузки или нажмите Выбрать файл, чтобы загрузить метаданные.

7

Выберите Менее безопасный (самозаверяющий) или Более безопасный (подписанный публичным центром сертификации) в зависимости от того, как подписаны метаданные вашего поставщика удостоверений, и нажмите Сохранить.

8

Настройте параметры Just In Time (JIT) и ответ сопоставления SAML.

См. раздел Настройка сопоставления Just In Time (JIT) и SAML на вкладке «Управление поставщиками удостоверений» в этой статье.
9

Нажмите Проверить настройку единого входаи, когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, войдя в систему.

Протестировать SSO, прежде чем включить его. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге.

Если вы получили сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.

Чтобы увидеть процесс входа в систему с помощью единого входа, мы рекомендуем вам нажать Копировать URL-адрес в буфер обмена на этом экране и вставить его в приватное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

10

Щелкните Сохранить.

Управляйте сертификатами вашего поставщика услуг (SP)

Прежде чем начать

При продлении сертификата SP рекомендуется обновить всех IdP в вашей организации.

Это применимо только к конфигурации SAML.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP и нажмите .

5

Нажмите Просмотреть сертификаты и дату истечения срока действия.

Это перенаправит вас в окно Сертификаты поставщика услуг (SP).
6

Нажмите Обновить сертификат.

7

Выберите тип IdP в вашей организации:

  • IdP, поддерживающий несколько сертификатов
  • IdP, поддерживающий один сертификат
8

Выберите тип сертификата для возобновления.

  • Самоподписанный Cisco— Мы рекомендуем этот выбор. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Подписано публичным центром сертификации— более безопасно, но вам придется часто обновлять метаданные (если только ваш поставщик IdP не поддерживает якоря доверия).

Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

9

Нажмите Загрузить метаданные или Загрузить сертификат, чтобы загрузить копию обновленного файла метаданных или сертификата из облака Webex.

10

Перейдите в интерфейс управления вашего IdP, чтобы загрузить новый файл метаданных Webex или сертификат.

Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP.

Для получения дополнительной информации ознакомьтесь с нашими руководствами по интеграции SSO или обратитесь за поддержкой к администратору вашего IdP. Если вы используете службы федерации Active Directory (AD FS), вы можете узнать, как обновить метаданные Webex в AD FS

11

Вернитесь в интерфейс Control Hub и нажмите Далее.

12

Выберите Успешное обновление всех IdP и нажмите Далее.

Это загрузит файл метаданных или сертификат SP во все IdP в вашей организации.

13

Нажмите Завершить продление.

Проверьте настройку SSO

Перед началом работы

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP и нажмите Меню "Дополнительно".

5

Выберите Тестовый IdP.

6

Нажмите Проверить настройку единого входаи, когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, войдя в систему.

Если вы получили сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.

Чтобы увидеть процесс входа в систему с помощью единого входа, мы рекомендуем вам нажать Копировать URL-адрес в буфер обмена на этом экране и вставить его в приватное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

7

Вернитесь на вкладку браузера с Control Hub.

  • Если тестирование прошло успешно, выберите Успешное тестирование. Активируйте SSO и IdP и нажмите Сохранить.
  • Если тестирование прошло с ошибками, выберите Тестирование не пройдено. Вернитесь к предыдущим шагам, чтобы исправить ошибки.

Для активации конфигурации SSO для вашей организации нужно перевести переключатель в соответствующее положение и активировать SSO.

Настройка сопоставления Just In Time (JIT) и SAML

Перед началом работы

Убедитесь в том, что с 2003 г. совмеся следующие предварительные условия:

  • SSO уже настроена.

  • Домены уже проверены.

  • Домены заявлены и включены. Эта функция гарантирует, что пользователи из вашего домена будут создаваться и обновляться каждый раз, когда они проходят аутентификацию у вашего поставщика удостоверений.

  • Если включены DirSync или Azure AD, то создание или обновление SAML JIT работать не будет.

  • "Блокировка профиль пользователя обновлений" включена. Сопоставление обновлений SAML разрешено, поскольку эта конфигурация управляет возможностью пользователя редактировать атрибуты. Методы создания и обновления, управляемые администратором, все еще поддерживаются.

При настройке SAML JIT с Azure AD или IdP, где адрес электронной почты не является постоянным идентификатором, мы рекомендуем использовать атрибут ссылки externalId для сопоставления с уникальным идентификатором. Если мы обнаружим, что адрес электронной почты не соответствует атрибуту ссылки, пользователю будет предложено подтвердить свою личность или создать нового пользователя с правильным адресом электронной почты.

Недавно созданные пользователи не будут автоматически получать назначенные лицензии, если в организации не настроен автоматический шаблон лицензии .

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP и нажмите Меню "Дополнительно".

5

Выберите Изменить сопоставление SAML.

6

Настройте параметры «точно в срок» (JIT).

  • Создать или активировать пользователя: Если активный пользователь не найден, Webex Identity создает пользователя и обновляет атрибуты после того, как пользователь прошел аутентификацию у IdP.
  • Обновление пользователя с помощью атрибутов SAML. При обнаружении пользователя с адресом электронной почты Удостоверение Webex обнорит атрибуты в утверждении SAML.
Подтвердите, что пользователи могут входить в систему, используя другой, неидентифицируемый адрес электронной почты.

7

Настройте требуемые атрибуты сопоставления SAML.

Таблица 1. Обязательные атрибуты

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

Имя пользователя/основной адрес электронной почты

Пример. uid

Сопоставьте атрибут UID с предоставленным адресом электронной почты, именем UPN или именем edupersonprincipalname.

8

Настройте Связывающие атрибуты.

Он должен быть уникальным для пользователя. Он используется для поиска пользователя, чтобы Webex мог обновить все атрибуты профиля пользователя, включая адрес электронной почты.
Таблица 2. Связывание атрибутов

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

employeenumber (число сотрудников)

Пример. user.employeeid

Номер сотрудника пользователя или идентификационный номер в его кадровой системе. Обратите внимание, что это не относится к externalid, поскольку вы можете повторно использовать или перерабатывать employeenumber для других пользователей.

Атрибут расширения 1

Пример. user.extensionattribute1

Сопоставьте эти пользовательские атрибуты с расширенными атрибутами в Active Directory, Azure или вашем каталоге для кодов отслеживания.

Атрибут расширения 2

Пример. user.extensionattribute2

Атрибут расширения 3

Пример. user.extensionattribute3

Атрибут расширения 4

Пример. user.extensionlattribute4

Атрибут расширения 5

Пример. user.extensionattribute5

9

Настройте атрибуты профиля.

Таблица 3. Атрибуты профиля

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

employeenumber (число сотрудников)

Пример. user.employeeid

Номер сотрудника этого пользователя или идентификационный номер в системе управления персоналом. Обратите внимание, что это не для externalid, поскольку можно повторно использовать или повторно использовать "employeenumber" для других пользователей.

Предпочтительный язык

Пример. user.preferredlanguage

Предпочитаемый язык пользователя.

Региональные параметры

Пример. user.locale

Основное рабочее место пользователя.

часовой пояс

Пример. user.timezone

Основной часовой пояс пользователя.

displayName

Пример. имя-пользователя.displayname

Отображаемое имя пользователя в Webex.

name.givenName

Пример. имя-пользователя.givenname

Имя пользователя.

name.familyName

Пример. user.фамилия

Фамилия пользователя.

addresses.streetAddress

Пример. user.streetaddress

Улица и номер дома основного рабочего места пользователя.

addresses.state

Пример. user.state

Состояние их основного места работы.

адресов.region

Пример. user.region

Регион основного рабочего места пользователя.

адреса.Почтовый индекс

Пример. user.postalcode

Почтовый индекс основного рабочего места пользователя.

addresses.country

Пример. user.country

Страна основного рабочего места пользователя.

phoneNumbers.work

Пример. рабочий номер телефона

Номер рабочего телефона на основном рабочем месте пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

phoneNumbers.extension

Пример. номер мобильного телефона

Рабочий добавочный номер основного номера рабочего телефона пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

Местоимение

Пример. user.pronoun

Pronouns пользователя. Это дополнительный атрибут, и пользователь или администратор может сделать его видимым в своем профиле.

title

Пример. user.jobtitle

Должность пользователя.

отдел

Пример. user.department

Отдел или рабочая группа пользователя.

Местоимение

Пример. user.pronoun

Это pronoun пользователя. Прозрачность этого атрибута управляется администратором и пользователем

менеджер

Пример. менеджер

Руководителя пользователя или руководителя его команды.

центр обработки затрат

Пример. центр затрат

Это фамилия пользователя, также известная как фамилия или фамилия

email.alternate1

Пример. имя-пользователя.mailnickname

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate2

Пример. user.primaryauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate3

Пример. user.alternativeauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate4

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate5

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.
10

Настройте атрибуты расширения.

Соустановите эти атрибуты с расширенными атрибутами в Active Directory, Azure или каталоге для коды слежения.
Таблица 4. Атрибуты расширения

Имя атрибута удостоверения Webex

Имя атрибута SAML

Атрибут расширения 1

Пример. user.extensionattribute1

Атрибут расширения 2

Пример. user.extensionattribute2

Атрибут расширения 3

Пример. user.extensionattribute3

Атрибут расширения 4

Пример. user.extensionattribute4

Атрибут расширения 5

Пример. user.extensionattribute5

Атрибут расширения 6

Пример. user.extensionattribute6

Атрибут расширения 7

Пример. user.extensionattribute7

Атрибут расширения 8

Пример. user.extensionattribute8

Атрибут расширения 9

Пример. user.extensionattribute9

Атрибут расширения 10

Пример. user.extensionattribute10

11

Настройте атрибуты группы.

  1. Создайте группу в Control Hub и запишите идентификатор группы Webex.
  2. Перейдите в свой каталог пользователей или IdP и настройте атрибут для пользователей, которым будет назначен идентификатор группы Webex.
  3. Обновите конфигурацию вашего поставщика удостоверений, включив в нее утверждение, содержащее это имя атрибута вместе с идентификатором группы Webex (например, c65f7d85-b691-42b8-a20b-12345xxxx). Вы также можете использовать внешний идентификатор для управления изменениями имен групп или для будущих сценариев интеграции. Например, синхронизация с Azure AD или реализация групповой синхронизации SCIM.
  4. Укажите точное имя атрибута, который будет отправлен в утверждении SAML с идентификатором группы. Используется для добавления пользователя в группу.
  5. Укажите точное имя внешнего идентификатора объекта группы, если вы используете группу из своего каталога для отправки участников в утверждении SAML.

Если пользователь A связан с groupID 1234, а пользователь B — с groupID 4567, они назначаются в разные группы. Этот сценарий показывает, что один атрибут позволяет пользователям связываться с несколькими идентификаторами групп. Хотя это и нетипично, но возможно и может рассматриваться как дополнительное изменение. Например, если пользователь А изначально входит в систему, используя groupID 1234, он становится членом соответствующей группы. Если пользователь А позже войдет в систему, используя groupID 4567, он также будет добавлен во вторую группу.

Подготовка SAML JIT не поддерживает удаление пользователей из групп или какое-либо удаление пользователей.

Таблица 5. Групповые атрибуты

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

идентификатор группы

Пример. идентификатор группы

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

groupexternalId

Пример. groupexternalId

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

Список атрибутов утверждения SAML для Webex Meetings см. в . https://help.webex.com/article/WBX67566

Удалите своего поставщика удостоверений (IdP)

Прежде чем начать

Перед удалением IdP рекомендуется сначала деактивировать или удалить правила маршрутизации IdP.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP и нажмите Меню "Дополнительно".

5

Нажмите Удалить.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Нажмите Деактивировать SSO.

Подтвердите деактивацию SSO.

После подтверждения система единого входа будет деактивирована для всех поставщиков удостоверений в вашей организации.

Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.

Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.

1

Войдите в Control Hub.

2

Перейдите в Центр оповещений.

3

Выберите Управление, затем – Все правила.

4

В списке "Правила" выберите одно из правил SSO, которое необходимо создать.

  • Истечение срока действия сертификата IdP для системы единого входа
  • Истечение срока действия сертификата SP для системы единого входа
5

В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex.

Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение.

При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления.

6

Сохраните внесенные изменения.

Дальнейшие действия

Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Ожидаемые оповещения приходят на 60-й, 45-й, 30-й и 15-й день.) Оповещения прекращаются после обновления сертификата.

Если у вас возникли проблемы с входом в систему единого входа, вы можете воспользоваться функцией самостоятельного восстановления системы единого входа, чтобы получить доступ к своей организации Webex, управляемой в Control Hub. Функция самовосстановления позволяет обновить или отключить SSO в Control Hub.