Jednotné prihlásenie (SSO) umožňuje používateľom bezpečne sa prihlásiť do Webexu overením totožnosti u poskytovateľa spoločnej identity vašej organizácie. Poskytovateľ identity (IdP) bezpečne ukladá a spravuje digitálne identity vašich používateľov a poskytuje službu overovania používateľov pre vašich používateľov Webexu.

Prečo by ste mohli potrebovať viacero poskytovateľov identity

Mnoho veľkých spoločností prechádza fúziami a akvizíciami a tieto spoločnosti zriedkakedy majú rovnakú IT infraštruktúru a poskytovateľov identít. Vládne inštitúcie majú pod sebou rôzne organizácie a agentúry. Tieto organizácie majú často jednu e-mailovú adresu pre svoje vlastné IT oddelenia a infraštruktúru. Hlavné vzdelávacie inštitúcie majú centrálne nákupné oddelenie, ale rôzne univerzity a vysoké školy majú rôzne IT organizácie a oddelenia.

Je bežné vidieť, ako sa IdP a poskytovatelia služieb (SP) navzájom prepájajú. Poskytovateľ identity (IdP) je zodpovedný za overovanie prihlasovacích údajov vašich používateľov a poskytovateľ služieb (SP) dôveruje overovaniu vykonanému poskytovateľom identity. To umožňuje vašim používateľom prístup k rôznym aplikáciám a službám SaaS pomocou rovnakej digitálnej identity. Ak však vaša organizácia z nejakého dôvodu nemôže vytvoriť federáciu medzi poskytovateľmi identity (IdP), Webex poskytuje riešenie na podporu viacerých IdP. Z týchto dôvodov vám dávame možnosť nakonfigurovať SSO pre viacerých poskytovateľov identity vo Webexe a zjednodušiť proces overovania vašich používateľov.

Obmedzenia

  • Ako poskytovateľov identít momentálne podporujeme iba SAML, OpenID Connect a Webex Identity.

Mimo rozsahu

  • Nakonfigurujte skupinové priradenia.

Táto časť popisuje, ako môžete integrovať poskytovateľov identít (IdP) s vašou organizáciou Webex. Môžete si vybrať poskytovateľov identity, ktorí najlepšie vyhovujú požiadavkám vašej organizácie.

Ak hľadáte integráciu SSO pre webovú stránku Webex Meetings (spravovanú v časti Správa webovej stránky), pozrite si časť Konfigurácia jednotného prihlásenia pre správu webovej stránky.

Predpoklady

Predtým, ako začnete

Uistite sa, že sú splnené nasledujúce podmienky:

    • V aplikácii Control Hub musíte mať rolu plného správcu.
    • Súbor s metadátami od poskytovateľa identity, ktorý sa má poskytnúť spoločnosti Webex, a súbor s metadátami od spoločnosti Webex, ktorý sa má poskytnúť poskytovateľovi identity. Viac informácií nájdete v časti Integrácia jednotného prihlásenia v Control Hub. Toto platí iba pre konfiguráciu SAML.
    • Pred nastavením viacerých poskytovateľov identity by ste si mali naplánovať správanie pravidiel smerovania.

    Predvolené pravidlo smerovania sa použije po nakonfigurovaní vášho počiatočného poskytovateľa identity. Môžete však nastaviť iného poskytovateľa identity ako predvoleného. Pozrite si časť Pridanie alebo úprava pravidla smerovania na karte Pravidlá smerovania v tomto článku.

Konfigurácia SAML
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať SSO.

4

Ako poskytovateľa identity vyberte SAML a kliknite na Ďalej.

5

Vyberte typ certifikátu:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

6

Kliknite na Stiahnuť metadáta a kliknite na Ďalej.

Názov súboru metadát aplikácie Webex je idb-meta-<org-ID>-SP.xml.

7

Nahrajte súbor s metadátami poskytovateľov identity alebo vyplňte konfiguračný formulár.

Pri nahrávaní súboru s metadátami existujú dva spôsoby overenia metadát z ID zákazníka:

  • Poskytovateľ identit zákazníka poskytuje podpis v metadátach, ktorý je podpísaný verejnou koreňovou certifikačnou autoritou.
  • Poskytovateľ identity zákazníka poskytuje súkromnú certifikačnú autoritu s vlastným podpisom alebo neposkytuje podpis pre svoje metadáta. Táto možnosť je menej bezpečná.
V opačnom prípade zadajte informácie o poskytovateľovi identity do konfiguračného formulára.

Kliknite na Ďalej.

8

(Voliteľné) Názov atribútu SAML pre Používateľské meno Webex alebo Primárna e-mailová adresa môžete zmeniť z uid na niečo, na čom sa dohodnete so správcom IdP, napríklad email, upnatď.

9

(Voliteľné) Nakonfigurujte nastavenia Just In Time (JIT) a odpoveď mapovania SAML.

Pozrite si časť Konfigurácia mapovania Just In Time (JIT) a SAML na karte Spravovanie poskytovateľov identity v tomto článku.
10

Kliknite na Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Pred povolením pripojenia SSO ho otestujte. Tento krok funguje ako skúšobná prevádzka a neovplyvní nastavenia vašej organizácie, kým v ďalšom kroku nepovolíte jednorazové prihlásenie (SSO).

Ak sa zobrazí chyba overenia, môže byť problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete zobraziť prihlasovacie prostredie SSO, odporúčame vám kliknúť na tejto obrazovke na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Toto pomáha odstrániť všetky informácie uložené vo vyrovnávacej pamäti vášho webového prehliadača, ktoré by mohli pri testovaní konfigurácie SSO poskytnúť falošne pozitívny výsledok.

11

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Aktivujte SSO a IdP a kliknite na Aktivovať.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vráťte sa k predchádzajúcim krokom a opravte chyby.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Môžete nastaviť pravidlo smerovania. Pozrite si časť Pridanie alebo úprava pravidla smerovania na karte Pravidlá smerovania v tomto článku.

Ak chcete zakázať odosielanie e-mailov novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.

Konfigurácia OpenID Connect
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať jednorazové prihlásenie.

4

Ako poskytovateľa identity vyberte OpenID Connect a kliknite na Ďalej.

5

Zadajte informácie o svojom poskytovateľovi identity.

  • Názov– Názov na identifikáciu vášho poskytovateľa identity.
  • ID klienta– Jedinečné ID na identifikáciu vás a vášho poskytovateľa identity.
  • Tajomstvo klienta– Heslo, ktoré poznáte vy a váš poskytovateľ identity.
  • Rozsahy– Rozsahy, ktoré sa majú priradiť k vášmu poskytovateľovi identity.

6

Vyberte, ako pridať koncové body. Toto sa dá urobiť automaticky alebo manuálne.

  • Na automatické pridanie koncových bodov použite URL adresu objavovania.

    • Zadajte URL adresu zisťovania pre vášho poskytovateľa identity. Táto URL adresa automaticky vyplní potrebné koncové body pre jednorazové odhlásenie (SLO) OIDC.
    • Zapnite Povoliť automatické odhlásenie relácie, aby ste zabezpečili, že používatelia budú po odhlásení z Webexu odhlásení vo všetkých pripojených aplikáciách a službách.

  • Ak chcete manuálne pridať všetky informácie o koncových bodoch, pridajte nasledujúce podrobnosti.

    • Vydavateľ– Zadajte URL adresu vydavateľa, ktorú určil váš poskytovateľ identity.
    • Koncový bod autorizácie– Zadajte URL adresu koncového bodu autorizácie.
    • Koncový bod tokenu– Zadajte URL adresu koncového bodu tokenu.
    • Koncový bod JWKS– Zadajte URL adresu sady webových kľúčov JSON (JWKS).
    • Koncový bod s informáciami o používateľovi– Zadajte URL adresu koncového bodu s informáciami o používateľovi.
    • Ak je zapnutá možnosť Povoliť automatické odhlásenie relácie, musíte zadať URL adresu [ Koncový bod odhlásenia relácie , aby ste povolili jednorazové odhlásenie (SLO) vo všetkých pripojených aplikáciách.
    Viac informácií nájdete v konfiguračnej príručke OpenID Connect.

7

(Voliteľné) Nakonfigurujte nastavenia Just In Time (JIT).

Pozrite si časť Konfigurácia mapovania Just In Time (JIT) a SAML na karte Spravovanie poskytovateľov identity v tomto článku.
8

Kliknite na Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Pred povolením pripojenia SSO ho otestujte. Tento krok funguje ako skúšobná prevádzka a neovplyvní nastavenia vašej organizácie, kým v ďalšom kroku nepovolíte jednorazové prihlásenie (SSO).

Ak sa zobrazí chyba overenia, môže byť problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete zobraziť prihlasovacie prostredie SSO, odporúčame vám kliknúť na tejto obrazovke na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Toto pomáha odstrániť všetky informácie uložené vo vyrovnávacej pamäti vášho webového prehliadača, ktoré by mohli pri testovaní konfigurácie SSO poskytnúť falošne pozitívny výsledok.

9

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Aktivujte SSO a IdP a kliknite na Aktivovať.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vráťte sa k predchádzajúcim krokom a opravte chyby.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Môžete nastaviť pravidlo smerovania. Pozrite si časť Pridanie alebo úprava pravidla smerovania na karte Pravidlá smerovania v tomto článku.

Ak chcete zakázať odosielanie e-mailov novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.

Konfigurácia identity Webex
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať SSO.

4

Ako poskytovateľa identity vyberte Webex a kliknite na Ďalej.

5

Začiarknite políčko Prečítal(a) som si a rozumiem tomu, ako funguje Webex IdP a kliknite na tlačidlo Ďalej.

6

Nastavte pravidlo smerovania.

Pozrite si časť Pridanie alebo úprava pravidla smerovania na karte Pravidlá smerovania v tomto článku.

Po pridaní pravidla smerovania sa váš poskytovateľ identity pridá a zobrazí sa na karte Poskytovateľ identity.

Čo robiť ďalej

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatizovaných e-mailov . Dokument obsahuje aj osvedčené postupy pre odosielanie komunikácie používateľom vo vašej organizácii.

Pravidlá smerovania sa uplatňujú pri nastavovaní viacerých poskytovateľov identity. Pravidlá smerovania umožňujú spoločnosti Webex identifikovať, ktorému poskytovateľovi identity (IdP) má posielať používateľov, keď ste nakonfigurovali viacero poskytovateľov identity.

Pri nastavovaní viacerých poskytovateľov identity (IdP) môžete definovať pravidlá smerovania v sprievodcovi konfiguráciou SSO. Ak krok pravidla smerovania preskočíte, Control Hub pridá poskytovateľa identity (IdP), ale neaktivuje ho. Na aktiváciu IdP musíte pridať pravidlo smerovania.

Pridanie alebo úprava pravidiel smerovania
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Pravidlá smerovania.

Pri konfigurácii vášho prvého poskytovateľa identity (IdP) sa pravidlo smerovania automaticky pridá a nastaví sa ako predvolené pravidlo. Neskôr si môžete vybrať iného poskytovateľa identity, ktorý nastaví ako predvolené pravidlo.

4

Kliknite na Pridať nové pravidlo smerovania.

5

Zadajte podrobnosti o pravidle smerovania:

  • Názov pravidla– Zadajte názov pravidla smerovania.
  • Vyberte typ smerovania—Vyberte doménu alebo skupinu.
  • Ak sú toto vaše domains/groups—Zadajte domains/groups v rámci vašej organizácie.
  • Potom použite tohto poskytovateľa identity—Vyberte poskytovateľa identity.

6

Vyberte metódu viacfaktorového overovania (MFA):

  • Zachovať aktuálny stav MFA– Umožňuje zachovať existujúcu metódu MFA bez vykonania zmien.
  • Prepísať aktuálny stav MFA– Umožňuje zmeniť existujúcu metódu MFA na novú konfiguráciu.
  • Povoliť MFA iba pre toto pravidlo– Zapnite, ak chcete povoliť MFA špecificky pre aktuálne pravidlo smerovania.

Ďalšie informácie o konfigurácii MFA pre vašu organizáciu nájdete v časti Povolenie integrácie viacfaktorového overovania v aplikácii Control Hub.

7

Kliknite na Pridať.

8

Vyberte nové pravidlo smerovania a kliknite na Aktivovať.

Ak máte pravidlá smerovania pre viacerých poskytovateľov identity, môžete zmeniť poradie priorít pravidiel smerovania.

Deaktivácia alebo odstránenie pravidiel smerovania
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Pravidlá smerovania.

4

Vyberte pravidlo smerovania.

5

Vyberte, či chcete pravidlo smerovania Deaktivovať alebo Odstrániť.

Odporúča sa mať pre poskytovateľa identity ďalšie aktívne pravidlo smerovania. V opačnom prípade sa môžu vyskytnúť problémy s prihlásením sa do SSO.

Predvolené pravidlonie je možné deaktivovať ani odstrániť, ale môžete upraviť smerovaného poskytovateľa identity.

Spravujte certifikáty poskytovateľa identity (IdP)

Predtým, ako začnete

Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu IdP sa blíži. Keďže dodávatelia IdP majú vlastnú špecifickú dokumentáciu pre obnovu certifikátov, pokrývame požiadavky v Control Hub spolu s všeobecnými krokmi na načítanie aktualizovaných metadát IdP a ich nahranie do Control Hub na obnovenie certifikátu.

Toto platí iba pre konfiguráciu SAML.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP, kliknite na nahrať a vyberte Nahrať metadáta Idp.

Ak chcete stiahnuť súbor s metadátami, kliknite na Stiahnuť a vyberte možnosť Stiahnuť metadáta Idp.
5

Prejdite do rozhrania správy poskytovateľa identity a načítajte nový súbor s metadátami.

6

Vráťte sa do Control Hub a presuňte súbor s metadátami IdP do oblasti nahrávania alebo kliknite na Vybrať súbor a nahrajte metadáta.

7

Vyberte možnosť Menej bezpečné (s vlastným podpisom) alebo Bezpečnejšie (podpísané verejnou certifikačnou autoritou) v závislosti od toho, ako sú podpísané metadáta vášho poskytovateľa identity, a kliknite na tlačidlo Uložiť.

8

Nakonfigurujte nastavenia Just In Time (JIT) a odpoveď mapovania SAML.

Pozrite si časť Konfigurácia mapovania Just In Time (JIT) a SAML na karte Spravovanie poskytovateľov identity v tomto článku.
9

Kliknite na Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Pred povolením pripojenia SSO ho otestujte. Tento krok funguje ako skúšobná prevádzka a neovplyvní nastavenia vašej organizácie, kým v ďalšom kroku nepovolíte jednorazové prihlásenie (SSO).

Ak sa zobrazí chyba overenia, môže byť problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete zobraziť prihlasovacie prostredie SSO, odporúčame vám kliknúť na tejto obrazovke na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Toto pomáha odstrániť všetky informácie uložené vo vyrovnávacej pamäti vášho webového prehliadača, ktoré by mohli pri testovaní konfigurácie SSO poskytnúť falošne pozitívny výsledok.

10

Kliknite na Uložiť.

Spravujte certifikáty poskytovateľa služieb (SP)

Predtým, ako začnete

Pri obnovení certifikátu SP sa odporúča aktualizovať všetkých poskytovateľov identity vo vašej organizácii.

Toto platí iba pre konfiguráciu SAML.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na .

5

Kliknite na Skontrolovať certifikáty a dátum expirácie.

Týmto sa dostanete do okna Certifikáty poskytovateľa služieb (SP).
6

Kliknite na Obnoviť certifikát.

7

Vyberte typ poskytovateľa identity vo vašej organizácii:

  • IdP, ktorý podporuje viacero certifikátov
  • IdP, ktorý podporuje jeden certifikát
8

Vyberte typ certifikátu pre obnovenie:

  • S vlastným podpisom od spoločnosti Cisco– Túto možnosť odporúčame. Nechajte nás podpísať certifikát, aby ste ho museli obnovovať iba raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou– Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš poskytovateľ IdP nepodporuje dôveryhodné kotvy).

Dôveryhodné kotvy sú verejné kľúče, ktoré slúžia ako autorita na overenie certifikátu digitálneho podpisu. Viac informácií nájdete v dokumentácii k vášmu poskytovateľovi identity.

9

Kliknite na Stiahnuť metadáta alebo Stiahnuť certifikát a stiahnite si kópiu aktualizovaného súboru s metadátami alebo certifikátu z cloudu Webex.

10

Prejdite do rozhrania správy IdP a nahrajte nový súbor s metadátami alebo certifikát Webex.

Tento krok je možné vykonať prostredníctvom karty prehliadača, protokolu vzdialenej pracovnej plochy (RDP) alebo prostredníctvom podpory konkrétneho poskytovateľa cloudu v závislosti od nastavenia vášho poskytovateľa identity a od toho, či ste za tento krok zodpovední vy alebo samostatný správca IdP.

Viac informácií nájdete v našich príručkách integrácie SSO alebo kontaktujte svojho správcu IdP so žiadosťou o podporu. Ak používate službu Active Directory Federation Services (AD FS), môžete si pozrieť, ako aktualizovať metadáta Webex v službe AD FS

11

Vráťte sa do rozhrania Control Hub a kliknite na Ďalej.

12

Vyberte Úspešne aktualizované všetky IdP a kliknite na Ďalej.

Týmto sa nahrá súbor s metadátami alebo certifikát SP všetkým poskytovateľom identity vo vašej organizácii.

13

Kliknite na Dokončiť obnovenie.

Otestujte si nastavenie SSO

Predtým, ako začnete

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na Viac menu.

5

Vyberte Test IdP.

6

Kliknite na Test nastavenia SSOa po otvorení novej karty prehliadača sa overte u poskytovateľa identity prihlásením.

Ak sa zobrazí chyba overenia, môže byť problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, kde kopírujete a vkladáte metadáta Control Hubu do nastavenia IdP.

Ak chcete zobraziť prihlasovacie prostredie SSO, odporúčame vám kliknúť na tejto obrazovke na položku Kopírovať URL do schránky a vložiť ju do súkromného okna prehliadača. Odtiaľ si môžete prejsť prihlásením pomocou jediného vstupu (SSO). Toto pomáha odstrániť všetky informácie uložené vo vyrovnávacej pamäti vášho webového prehliadača, ktoré by mohli pri testovaní konfigurácie SSO poskytnúť falošne pozitívny výsledok.

7

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Aktivujte SSO a IdP a kliknite na Uložiť.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vráťte sa k predchádzajúcim krokom a opravte chyby.

Konfigurácia SSO sa vo vašej organizácii neuplatní, pokiaľ nevyberiete prvý prepínač a neaktivujete SSO.

Konfigurácia mapovania Just In Time (JIT) a SAML

Predtým, ako začnete

Uistite sa, že sú splnené nasledujúce predpoklady:

  • Jednorazové prihlásenie (SSO) je už nakonfigurované.

  • Domény už boli overené.

  • Domény sú nárokované a zapnuté. Táto funkcia zabezpečuje, že používatelia z vašej domény sú vytvorení a aktualizovaní raz pri každej autentifikácii u vášho poskytovateľa identity.

  • Ak je povolená služba DirSync alebo Azure AD, vytvorenie alebo aktualizácia SAML JIT nebude fungovať.

  • Možnosť „Blokovať aktualizáciu používateľského profilu“ je povolená. Mapovanie aktualizácií SAML je povolené, pretože táto konfigurácia riadi schopnosť používateľa upravovať atribúty. Metódy vytvárania a aktualizácie kontrolované správcom sú stále podporované.

Pri nastavovaní SAML JIT s Azure AD alebo poskytovateľom identity, kde e-mail nie je trvalým identifikátorom, odporúčame použiť atribút prepojenia externalId na mapovanie na jedinečný identifikátor. Ak zistíme, že e-mail nezodpovedá atribútu prepojenia, používateľ bude vyzvaný na overenie svojej totožnosti alebo vytvorenie nového používateľa so správnou e-mailovou adresou.

Novovytvoreným používateľom nebudú automaticky priradené licencie, pokiaľ organizácia nemá nastavenú automatickú šablónu licencie.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na Viac menu.

5

Vyberte Upraviť mapovanie SAML.

6

Konfigurácia nastavení Just-in-Time (JIT).

  • Vytvoriť alebo aktivovať používateľa: Ak sa nenájde žiadny aktívny používateľ, Webex Identity ho vytvorí a aktualizuje atribúty po jeho overení u poskytovateľa identity.
  • Aktualizovať používateľa atribútmi SAML: Ak sa nájde používateľ s e-mailovou adresou, Webex Identity aktualizuje používateľa s atribútmi namapovanými v tvrdení SAML.
Potvrďte, že sa používatelia môžu prihlásiť s inou, neidentifikovateľnou e-mailovou adresou.

7

Konfigurácia požadovaných atribútov mapovania SAML.

Tabuľka č. 1 Požadované atribúty

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

Používateľské meno / Primárna e-mailová adresa

Príklad: UID

Namapujte atribút UID na e-mail, názov používateľa alebo meno edupersonprincipalname zriadeného používateľa.

8

Nakonfigurujte atribúty prepojenia.

Toto by malo byť pre používateľa jedinečné. Používa sa na vyhľadanie používateľa, aby Webex mohol aktualizovať všetky atribúty profilu vrátane e-mailu používateľa.
Tabuľka 2. Prepojenie atribútov

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

číslo zamestnanca

Príklad: používateľ.idzamestnanca

Zamestnanecké číslo používateľa alebo identifikačné číslo v jeho HR systéme. Upozorňujeme, že toto nie je pre externalid, pretože employeenumber môžete znova použiť alebo recyklovať pre iných používateľov.

Atribút rozšírenia 1

Príklad: atribút_rozšírenia_používateľa1

Namapujte tieto vlastné atribúty na rozšírené atribúty v službe Active Directory, Azure alebo vo vašom adresári pre sledovacie kódy.

Atribút rozšírenia 2

Príklad: atribút_rozšírenia_user2

Atribút rozšírenia 3

Príklad: atribút_rozšírenia_user.extension3

Atribút rozšírenia 4

Príklad: user.extensionlatattribute4

Atribút rozšírenia 5

Príklad: atribút_rozšírenia_používateľa5

9

Konfigurovať atribúty profilu.

Tabuľka 3. Atribúty profilu

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

číslo zamestnanca

Príklad: používateľ.idzamestnanca

Zamestnanecké číslo tohto používateľa alebo identifikačné číslo v jeho HR systéme. Upozorňujeme, že toto sa netýka „externalid“, pretože „employeenumber“ môžete znova použiť alebo recyklovať pre iných používateľov.

preferovaný jazyk

Príklad: user.preferredlanguage

Preferovaný jazyk používateľa.

miesto

Príklad: user.locale

Hlavné pracovisko používateľa.

časové pásmo

Príklad: používateľ.časové pásmo

Primárne časové pásmo používateľa.

zobrazenýName

Príklad: používateľ.zobrazované_meno

Zobrazované meno používateľa vo Webexe.

meno.krstenéMeno

Príklad: používateľ.krstné_meno

Krstné meno používateľa.

meno.priezvisko

Príklad: priezvisko.používateľa

Priezvisko používateľa.

adresy.ulicaAddress

Príklad: používateľ.ulicaaddress

Adresa ich hlavného pracoviska.

adresy.štát

Príklad: stav_používateľa

Štát ich hlavného pracoviska.

adresy.región

Príklad: user.region

Región ich hlavného pracoviska.

adresy.poštovnésmerové číslo

Príklad: používateľ.poštovné_smerovacie číslo

PSČ ich hlavného pracoviska.

adresy.krajina

Príklad: user.country

Krajina ich hlavného pracoviska.

telefónne_čísla.práca

Príklad: pracovné telefónne číslo

Pracovné telefónne číslo ich hlavného pracoviska. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

telefónne_čísla.rozšírenie

Príklad: číslo mobilného telefónu

Pracovná klapka ich hlavného pracovného telefónneho čísla. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

zámeno

Príklad: používateľské zámeno

Zámená používateľa. Toto je voliteľný atribút a používateľ alebo administrátor ho môže nastaviť ako viditeľný vo svojom profile.

titul

Príklad: používateľ.názov_práce

Názov pracovnej pozície používateľa.

oddelenie

Príklad: používateľské oddelenie

Pracovné oddelenie alebo tím používateľa.

zámeno

Príklad: používateľské zámeno

Toto je zámeno používateľa. Viditeľnosť tohto atribútu je riadená správcom a používateľom.

manažér

Príklad: manažér

Manažér používateľa alebo vedúci jeho tímu.

nákladové stredisko

Príklad: nákladové stredisko

Toto je priezvisko používateľa, známe aj ako priezvisko alebo rodinné priezvisko

email.alternate1

Príklad: používateľ.mailprezývka

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate2

Príklad: user.primaryautoritativemail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate3

Príklad: používateľ.alternatívnyautoritatívnymail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate4

Príklad: používateľ.inýmail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate5

Príklad: používateľ.inýmail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.
10

Konfigurovať atribúty rozšírenia.

Namapujte tieto atribúty na rozšírené atribúty v službe Active Directory, Azure alebo vo vašom adresári pre sledovacie kódy.
Tabuľka 4. Atribúty rozšírenia

Názov atribútu Webex Identity

Názov atribútu SAML

Atribút rozšírenia 1

Príklad: atribút_rozšírenia_používateľa1

Atribút rozšírenia 2

Príklad: atribút_rozšírenia_user2

Atribút rozšírenia 3

Príklad: atribút_rozšírenia_user.extension3

Atribút rozšírenia 4

Príklad: atribút_rozšírenia_user.extension4

Atribút rozšírenia 5

Príklad: atribút_rozšírenia_používateľa5

Atribút rozšírenia 6

Príklad: atribút_používateľa_rozšírenia6

Atribút rozšírenia 7

Príklad: atribút_rozšírenia_user.extension7

Atribút rozšírenia 8

Príklad: atribút_používateľa.rozšírenie8

Atribút rozšírenia 9

Príklad: atribút_rozšírenia_používateľa9

Atribút rozšírenia 10

Príklad: atribút_používateľa.rozšírenie10

11

Konfigurovať atribúty skupiny.

  1. Vytvorte skupinu v aplikácii Control Hub a poznačte si ID skupiny Webex.
  2. Prejdite do adresára používateľov alebo poskytovateľa identity a nastavte atribút pre používateľov, ktorí budú priradení k ID skupiny Webex.
  3. Aktualizujte konfiguráciu vášho poskytovateľa identity (IdP) tak, aby obsahovala deklaráciu totožnosti s týmto názvom atribútu spolu s ID skupiny Webex (napr. c65f7d85-b691-42b8-a20b-12345xxxx). Externé ID môžete použiť aj na správu zmien názvov skupín alebo pre budúce scenáre integrácie. Napríklad synchronizácia s Azure AD alebo implementácia synchronizácie skupín SCIM.
  4. Zadajte presný názov atribútu, ktorý sa odošle v tvrdení SAML s ID skupiny. Toto sa používa na pridanie používateľa do skupiny.
  5. Ak na odosielanie členov v tvrdení SAML používate skupinu z vášho adresára, zadajte presný názov externého ID objektu skupiny.

Ak je používateľ A priradený k groupID 1234 a používateľ B k groupID 4567, sú priradení do samostatných skupín. Tento scenár naznačuje, že jeden atribút umožňuje používateľom priradiť sa k viacerým ID skupín. Aj keď je to nezvyčajné, je to možné a možno to považovať za aditívnu zmenu. Napríklad, ak sa používateľ A pôvodne prihlási pomocou groupID 1234, stane sa členom príslušnej skupiny. Ak sa používateľ A neskôr prihlási pomocou groupID 4567, bude tiež pridaný do tejto druhej skupiny.

Poskytovanie SAML JIT nepodporuje odstraňovanie používateľov zo skupín ani žiadne vymazanie používateľov.

Tabuľka 5. Atribúty skupiny

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

ID skupiny

Príklad: ID skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

externéId skupiny

Príklad: externéId skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

Zoznam atribútov tvrdení SAML pre Webex Meetings nájdete v https://help.webex.com/article/WBX67566.

Odstránenie poskytovateľa identity (IdP)

Predtým, ako začnete

Odporúča sa, aby ste pred odstránením poskytovateľa IdP najskôr deaktivovali alebo odstránili pravidlá smerovania.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na Viac menu.

5

Vyberte Odstrániť.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Kliknite na Deaktivovať jednorazové prihlásenie.

Potvrďte deaktiváciu SSO.

Po potvrdení sa SSO deaktivuje pre všetkých poskytovateľov identity vo vašej organizácii.

Pred vypršaním platnosti certifikátov budete dostávať upozornenia v Control Hub, ale pravidlá upozornení môžete nastaviť aj proaktívne. Tieto pravidlá vás vopred informujú o tom, že platnosť vašich certifikátov SP alebo IdP vyprší. Môžeme vám ich poslať e-mailom, prostredníctvom priestoru v aplikácii Webex alebo oboma spôsobmi.

Bez ohľadu na nakonfigurovaný doručovací kanál sa všetky upozornenia vždy zobrazujú v aplikácii Control Hub. Viac informácií nájdete v časti Centrum upozornení v aplikácii Control Hub.

1

Prihláste sa do Control Hubu.

2

Prejdite do centra upozornení.

3

Vyberte Spravovať a potom Všetky pravidlá.

4

V zozname Pravidlá vyberte ľubovoľné pravidlá SSO, ktoré chcete vytvoriť:

  • Platnosť certifikátu SSO IDP
  • Platnosť certifikátu SSO SP
5

V sekcii Kanál doručovania začiarknite políčko E-mail, Priestor Webexalebo oboje.

Ak vyberiete možnosť E-mail, zadajte e-mailovú adresu, na ktorú sa má doručiť upozornenie.

Ak si vyberiete možnosť Webex space, budete automaticky pridaní do priestoru v aplikácii Webex a my vám tam budeme doručovať upozornenia.

6

Uložte zmeny.

Čo robiť ďalej

Upozornenia na expiráciu certifikátu posielame raz za 15 dní, pričom začíname 60 dní pred expiráciou. (Upozornenia môžete očakávať v 60., 45., 30. a 15. deň.) Upozornenia sa zastavia po obnovení certifikátu.

Ak narazíte na problémy s prihlásením do systému SSO, môžete použiť možnosť samoobnovenia SSO na získanie prístupu k vašej organizácii Webex spravovanej v Control Hub. Možnosť samoobnovy vám umožňuje aktualizovať alebo zakázať jednorazové prihlásenie (SSO) v aplikácii Control Hub.