Enotna prijava (SSO) uporabnikom omogoča varno prijavo v Webex z overjanjem pri ponudniku skupne identitete vaše organizacije. Ponudnik identitete (IdP) varno shranjuje in upravlja digitalne identitete vaših uporabnikov ter zagotavlja storitev preverjanja pristnosti uporabnikov za vaše uporabnike Webexa.

Zakaj boste morda potrebovali več ponudnikov identitete

Številna velika podjetja se soočajo z združitvami in prevzemi, ta podjetja pa le redko imajo enako IT infrastrukturo in ponudnike identitet. Vladne institucije imajo pod seboj različne organizacije in agencije. Te organizacije imajo pogosto en sam e-poštni naslov za svoje IT oddelke oziroma infrastrukturo. Večje izobraževalne ustanove imajo centralni nabavni oddelek, različne univerze in fakultete pa imajo različne IT organizacije in oddelke.

Pogosto se IdP-ji in ponudniki storitev (SP) povezujejo med seboj. Ponudnik identitetnih storitev (IdP) je odgovoren za preverjanje pristnosti poverilnic vaših uporabnikov, ponudnik storitev (SP) pa zaupa preverjanju pristnosti, ki ga opravi IdP. To vašim uporabnikom omogoča dostop do različnih aplikacij in storitev SaaS z uporabo iste digitalne identitete. Če pa vaša organizacija iz nekega razloga ne more povezati med ponudniki identitet, Webex ponuja rešitev za podporo več ponudnikom identitet. Zaradi teh razlogov vam ponujamo možnost konfiguracije enotne prijave (SSO) za več ponudnikov identitet (IdP) v Webexu in poenostavitve postopka preverjanja pristnosti vaših uporabnikov.

Omejitve

  • Trenutno kot ponudnike identitete podpiramo samo SAML, OpenID Connect in Webex Identity.

Izven obsega

  • Konfigurirajte skupinske dodelitve.

V tem razdelku je opisano, kako lahko ponudnike identitete (IdP) integrirate z vašo organizacijo Webex. Izberete lahko ponudnike identitet (IdP), ki najbolj ustrezajo zahtevam vaše organizacije.

Če iščete integracijo enotne prijave (SSO) za spletno mesto Webex Meetings (upravljano v skrbništvu spletnega mesta), glejte Konfiguracija enotne prijave za skrbništvo Webexa.

Predpogoji

Preden začnete

Zagotovite, da so izpolnjeni naslednji pogoji:

    • V Control Hubu morate imeti polno skrbniško vlogo.
    • Datoteka z metapodatki od ponudnika identitetnih podatkov, ki jo je treba posredovati Webexu, in datoteka z metapodatki od Webexa, ki jo je treba posredovati ponudniku identitetnih podatkov. Za več informacij glejte Integracija enotne prijave v Control Hub. To velja samo za konfiguracijo SAML.
    • Preden nastavite več ponudnikov identitet (IdP), morate načrtovati delovanje pravil usmerjanja.

    Privzeto pravilo usmerjanja se uporabi, ko konfigurirate začetnega ponudnika identitet. Lahko pa kot privzetega nastavite drugega ponudnika identitet. Glejte Dodajanje ali urejanje pravila usmerjanja na zavihku Pravila usmerjanja v tem članku.

Konfiguriraj SAML
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Kot ponudnika identitete izberite SAML in kliknite Naprej.

5

Izberite vrsto potrdila:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

6

Kliknite Prenesi metapodatke in kliknite Naprej.

Ime datoteke z metapodatki aplikacije Webex je idb-meta-<org-ID>-SP.xml.

7

Naložite datoteko z metapodatki ponudnikov identitet ali izpolnite konfiguracijski obrazec.

Pri nalaganju datoteke z metapodatki obstajata dva načina za preverjanje metapodatkov iz ID-ja stranke:

  • Pooblaščenec za identifikacijo stranke (Customer IdP) zagotavlja podpis v metapodatkih, ki ga podpiše javni korenski overitelj potrdil (Javni korenski overitelj potrdil).
  • Ponudnik identitete stranke zagotavlja samopodpisano zasebno potrdilo ali ne zagotavlja podpisa za svoje metapodatke. Ta možnost je manj varna.
Sicer pa v konfiguracijski obrazec vnesite podatke o ponudniku identitet.

Kliknite Naprej.

8

(Neobvezno) Ime atributa SAML za uporabniško ime Webex ali primarni e-poštni naslov lahko spremenite iz uid v nekaj, o čemer se dogovorite z upraviteljem ponudnikov identitet, kot je email, upnitd.

9

(Izbirno) Konfigurirajte nastavitve Just In Time (JIT) in odziv preslikave SAML.

Glejte Konfiguracija preslikave Just In Time (JIT) in SAML na zavihku Upravljanje ponudnikov identitet v tem članku.
10

Kliknite Preizkusi nastavitev SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Preden omogočite povezavo SSO, jo preizkusite. Ta korak deluje kot poskusni zagon in ne vpliva na nastavitve vaše organizacije, dokler v naslednjem koraku ne omogočite enotne prijave (SSO).

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite ogledati izkušnjo prijave SSO, priporočamo, da na tem zaslonu kliknete Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). To pomaga odstraniti vse informacije, shranjene v predpomnilniku spletnega brskalnika, ki bi lahko pri testiranju konfiguracije enotne prijave (SSO) dale lažno pozitiven rezultat.

11

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Aktivirajte SSO in IdP in kliknite Aktiviraj.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Za odpravo napak se vrnite na prejšnje korake.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne bo veljala, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Nastavite lahko pravilo usmerjanja. Glejte Dodajanje ali urejanje pravila usmerjanja na zavihku Pravila usmerjanja v tem članku.

Če želite onemogočiti e-poštna sporočila, poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.

Konfiguriraj OpenID Connect
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Kot ponudnika identitet izberite OpenID Connect in kliknite Naprej.

5

Vnesite podatke o svojem ponudniku identitete.

  • Ime– Ime za identifikacijo vašega ponudnika identitetnih podatkov.
  • ID stranke– Enolični ID za identifikacijo vas in vašega ponudnika identitetnih storitev.
  • Skrivnost odjemalca– Geslo, ki ga poznate vi in vaš ponudnik identitetnih storitev.
  • Obsegi– Obsegi, ki bodo povezani z vašim ponudnikom identitetnih storitev (IdP).

6

Izberite, kako želite dodati končne točke. To se lahko izvede samodejno ali ročno.

  • Za samodejno dodajanje končnih točk uporabite URL za odkrivanje.

    • Vnesite URL za odkrivanje za svojega ponudnika identitetnih storitev (IdP). Ta URL bo samodejno zapolnil potrebne končne točke za enkratno odjavo (SLO) OIDC.
    • Vklopite Dovoli samodejno odjavo seje, da zagotovite, da so uporabniki odjavljeni iz vseh povezanih aplikacij in storitev, ko se odjavijo iz Webexa.

  • Če želite ročno dodati vse podatke o končni točki, dodajte naslednje podrobnosti.

    • Izdajatelj– Vnesite URL izdajatelja, kot ga je določil vaš ponudnik identitetnih storitev (IdP).
    • Končna točka avtorizacije– Vnesite URL za končno točko avtorizacije.
    • Končna točka žetona– Vnesite URL za končno točko žetona.
    • Končna točka JWKS– Vnesite URL nabora spletnih ključev JSON (JWKS).
    • Končna točka z uporabniškimi informacijami– Vnesite URL za končno točko z uporabniškimi informacijami.
    • Če je možnost Dovoli seji samodejno odjavo vklopljena, morate vnesti URL [ Končna točka odjave iz seje , da omogočite enkratno odjavo (SLO) v vseh povezanih aplikacijah.
    Za več informacij glejte vodnik za konfiguracijo OpenID Connect.

7

(Izbirno) Konfigurirajte nastavitve Just In Time (JIT).

Glejte Konfiguracija preslikave Just In Time (JIT) in SAML na zavihku Upravljanje ponudnikov identitet v tem članku.
8

Kliknite Preizkusi nastavitev SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Preden omogočite povezavo SSO, jo preizkusite. Ta korak deluje kot poskusni zagon in ne vpliva na nastavitve vaše organizacije, dokler v naslednjem koraku ne omogočite enotne prijave (SSO).

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite ogledati izkušnjo prijave SSO, priporočamo, da na tem zaslonu kliknete Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). To pomaga odstraniti vse informacije, shranjene v predpomnilniku spletnega brskalnika, ki bi lahko pri testiranju konfiguracije enotne prijave (SSO) dale lažno pozitiven rezultat.

9

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Aktivirajte SSO in IdP in kliknite Aktiviraj.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Za odpravo napak se vrnite na prejšnje korake.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne bo veljala, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Kaj storiti naprej

Nastavite lahko pravilo usmerjanja. Glejte Dodajanje ali urejanje pravila usmerjanja na zavihku Pravila usmerjanja v tem članku.

Če želite onemogočiti e-poštna sporočila, poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.

Konfiguriraj identiteto Webex
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Kot ponudnika identitete izberite Webex in kliknite Naprej.

5

Označite Prebral/a sem in razumel/a, kako deluje Webex IdP in kliknite Naprej.

6

Nastavite pravilo usmerjanja.

Glejte Dodajanje ali urejanje pravila usmerjanja na zavihku Pravila usmerjanja v tem članku.

Ko dodate pravilo usmerjanja, je vaš ponudnik identitete dodan in prikazan na zavihku Ponudnik identitete.

Kaj storiti naprej

Če želite onemogočiti e-poštna sporočila, ki so poslana novim uporabnikom aplikacije Webex v vaši organizaciji, lahko sledite postopku v razdelku Preprečevanje samodejnih e-poštnih sporočil . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.

Pravila usmerjanja veljajo pri nastavitvi več kot enega ponudnika identitet (IdP). Pravila usmerjanja omogočajo Webexu, da prepozna, kateremu ponudniku identitete (IdP) naj pošlje uporabnike, ko ste konfigurirali več IdP-jev.

Pri nastavljanju več kot enega ponudnika identitet (IdP) lahko pravila usmerjanja določite v čarovniku za konfiguracijo enotne prijave (SSO). Če preskočite korak pravila usmerjanja, Control Hub doda IdP, vendar ga ne aktivira. Za aktiviranje ponudnika identitetnih identitet morate dodati pravilo usmerjanja.

Dodajanje ali urejanje pravil usmerjanja
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Pravila usmerjanja.

Ko konfigurirate svojega prvega ponudnika identitet (IdP), se pravilo usmerjanja samodejno doda in je nastavljeno kot privzeto pravilo. Pozneje lahko izberete drugega ponudnika identitete, ki ga boste nastavili kot privzeto pravilo.

4

Kliknite Dodaj novo pravilo usmerjanja.

5

Vnesite podrobnosti za pravilo usmerjanja:

  • Ime pravila– Vnesite ime pravila usmerjanja.
  • Izberite vrsto usmerjanja– Izberite domeno ali skupino.
  • Če so to vaši domains/groups—Vnesite domains/groups znotraj vaše organizacije.
  • Nato uporabite tega ponudnika identitete— Izberite ponudnika identitete.

6

Izberite metodo večfaktorske avtentikacije (MFA):

  • Ohrani trenutno stanje MFA– Omogoča ohranitev obstoječe metode MFA brez spreminjanja.
  • Preglasi trenutno stanje MFA– Omogoča vam, da obstoječo metodo MFA spremenite v novo konfiguracijo.
  • Dovoli MFA samo za to pravilo– Vklopite, če želite omogočiti MFA posebej za trenutno pravilo usmerjanja.

Za več informacij o konfiguriranju večfaktorske avtentikacije za vašo organizacijo glejte Omogočanje integracije večfaktorske avtentikacije v Control Hub.

7

Kliknite Dodaj.

8

Izberite novo pravilo usmerjanja in kliknite Aktiviraj.

Vrstni red prioritet pravil usmerjanja lahko spremenite, če imate pravila usmerjanja za več ponudnikov identitete.

Deaktiviranje ali brisanje pravil usmerjanja
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Pravila usmerjanja.

4

Izberite pravilo usmerjanja.

5

Izberite, ali želite pravilo usmerjanja deaktivirati ali izbrisati.

Priporočljivo je, da imate za ponudnika identitetnih storitev (IdP) še eno aktivno pravilo usmerjanja. V nasprotnem primeru lahko naletite na težave s prijavo v SSO.

Privzetega pravilani mogoče deaktivirati ali izbrisati, lahko pa spremenite usmerjenega ponudnika identitete.

Upravljanje potrdil ponudnika identitete (IdP)

Preden začnete

Občasno boste morda prejeli e-poštno obvestilo ali videli opozorilo v Control Hubu, da bo potrdilo IdP poteklo. Ker imajo ponudniki IdP svojo specifično dokumentacijo za podaljšanje potrdila, bomo obravnavali, kaj je potrebno v Control Hub, skupaj s splošnimi koraki za pridobivanje posodobljenih metapodatkov IdP in njihovo nalaganje v Control Hub za podaljšanje potrdila.

To velja samo za konfiguracijo SAML.

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Pojdite na IdP, kliknite naloži in izberite Naloži metapodatke Idp.

Za prenos datoteke z metapodatki kliknite Prenesi in izberite Prenesi metapodatke Idp.
5

Pojdite do vmesnika za upravljanje ponudnika identitet (IdP), da pridobite novo datoteko z metapodatki.

6

Vrnite se v Control Hub in povlecite in spustite datoteko z metapodatki IdP v območje za nalaganje ali kliknite Izberi datoteko, da naložite metapodatke.

7

Izberite Manj varno (samopodpisano) ali Varneje (podpisano s strani javnega overitelja potrdil), odvisno od tega, kako so podpisani metapodatki vašega ponudnika identitetnih storitev (IdP), in kliknite Shrani.

8

Konfigurirajte nastavitve Just In Time (JIT) in odziv preslikave SAML.

Glejte Konfiguracija preslikave Just In Time (JIT) in SAML na zavihku Upravljanje ponudnikov identitet v tem članku.
9

Kliknite Preizkusi nastavitev SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Preden omogočite povezavo SSO, jo preizkusite. Ta korak deluje kot poskusni zagon in ne vpliva na nastavitve vaše organizacije, dokler v naslednjem koraku ne omogočite enotne prijave (SSO).

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite ogledati izkušnjo prijave SSO, priporočamo, da na tem zaslonu kliknete Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). To pomaga odstraniti vse informacije, shranjene v predpomnilniku spletnega brskalnika, ki bi lahko pri testiranju konfiguracije enotne prijave (SSO) dale lažno pozitiven rezultat.

10

Kliknite Shrani.

Upravljanje potrdil ponudnika storitev (SP)

Preden začnete

Priporočljivo je, da pri podaljšanju potrdila ponudnika storitev (SP) posodobite vse ponudnike identitetne identitete (IdP) v svoji organizaciji.

To velja samo za konfiguracijo SAML.

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Pojdite na IdP in kliknite .

5

Kliknite Pregled potrdil in datum poteka.

To vas bo preusmerilo v okno Potrdila ponudnika storitev (SP).
6

Kliknite Obnovi potrdilo.

7

Izberite vrsto ponudnika identitetnih storitev (IdP) v vaši organizaciji:

  • Ponudnik identitet, ki podpira več potrdil
  • Ponudnik identitet, ki podpira eno samo potrdilo
8

Izberite vrsto potrdila za podaljšanje:

  • Samopodpisano s strani Cisco– Priporočamo to možnost. Potrdilo podpišemo mi, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisano s strani javnega overitelja potrdil– Varneje, vendar boste morali pogosto posodabljati metapodatke (razen če vaš ponudnik IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot pooblastilo za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identitetnih storitev (IdP).

9

Kliknite Prenesi metapodatke ali Prenesi potrdilo, da prenesete kopijo posodobljene datoteke z metapodatki ali potrdila iz oblaka Webex.

10

Pomaknite se do vmesnika za upravljanje ponudnika identitetnih podatkov (IdP), da naložite novo datoteko z metapodatki Webex ali potrdilo.

Ta korak lahko izvedete prek zavihka brskalnika, protokola za oddaljeno namizje (RDP) ali prek podpore določenega ponudnika v oblaku, odvisno od nastavitve vašega ponudnika identitetnih podatkov (IdP) in od tega, ali ste za ta korak odgovorni vi ali ločen skrbnik IdP.

Za več informacij si oglejte naše vodnike za integracijo SSO ali se za podporo obrnite na skrbnika ponudnika identitetnih storitev. Če uporabljate storitve Active Directory Federation Services (AD FS), si lahko ogledate, kako posodobiti metapodatke Webex v storitvi AD FS

11

Vrnite se v vmesnik Control Hub in kliknite Naprej.

12

Izberite Vsi ponudniki identitete so bili uspešno posodobljeni in kliknite Naprej.

S tem se datoteka z metapodatki ali potrdilo SP naloži vsem ponudnikom identitetnih storitev (IdP) v vaši organizaciji.

13

Kliknite Dokončaj obnovo.

Preizkusite nastavitev SSO

Preden začnete

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Pojdite na IdP in kliknite Meni več.

5

Izberite Testni IdP.

6

Kliknite Preizkusi nastavitev SSOin ko se odpre nov zavihek brskalnika, se s prijavo overite pri ponudniku identitetnih podatkov.

Če se prikaže napaka pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka v aplikaciji Webex običajno pomeni težavo z nastavitvijo enotne prijave (SSO). V tem primeru še enkrat preglejte korake, zlasti korake, kjer kopirate in prilepite metapodatke Control Hub v nastavitev IdP.

Če si želite ogledati izkušnjo prijave SSO, priporočamo, da na tem zaslonu kliknete Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam naprej se lahko prijavite z enotno prijavo (SSO). To pomaga odstraniti vse informacije, shranjene v predpomnilniku spletnega brskalnika, ki bi lahko pri testiranju konfiguracije enotne prijave (SSO) dale lažno pozitiven rezultat.

7

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Aktivirajte SSO in IdP in kliknite Shrani.
  • Če preizkus ni bil uspešen, izberite Neuspešen preizkus. Za odpravo napak se vrnite na prejšnje korake.

Konfiguracija enotne prijave (SSO) v vaši organizaciji ne začne veljati, razen če izberete prvi izbirni gumb in aktivirate enotno prijavo (SSO).

Konfigurirajte preslikavo Just In Time (JIT) in SAML

Preden začnete

Zagotovite, da so izpolnjeni naslednji predpogoji:

  • Enota za prijavo (SSO) je že konfigurirana.

  • Domene so že preverjene.

  • Domene so zahtevane in vklopljene. Ta funkcija zagotavlja, da so uporabniki iz vaše domene ustvarjeni in posodobljeni vsakič, ko se overijo pri vašem ponudniku identitetnih storitev (IdP).

  • Če sta omogočena DirSync ali Azure AD, ustvarjanje ali posodabljanje SAML JIT ne bo delovalo.

  • Možnost »Blokiraj posodobitev uporabniškega profila« je omogočena. Preslikava posodobitev SAML je dovoljena, ker ta konfiguracija nadzoruje uporabnikovo zmožnost urejanja atributov. Metode ustvarjanja in posodabljanja, ki jih nadzoruje skrbnik, so še vedno podprte.

Pri nastavljanju SAML JIT z Azure AD ali ponudnikom identitetnih storitev (IdP), kjer e-pošta ni trajni identifikator, priporočamo, da za preslikavo v enolični identifikator uporabite atribut povezovanja externalId. Če ugotovimo, da se e-poštni naslov ne ujema z atributom povezave, bo uporabnik pozvan, da potrdi svojo identiteto ali ustvari novega uporabnika s pravilnim e-poštnim naslovom.

Novo ustvarjeni uporabniki ne bodo samodejno dobili dodeljenih licenc, razen če ima organizacija nastavljeno predlogo za samodejno licenco.

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Pojdite na IdP in kliknite Meni več.

5

Izberite Uredi preslikavo SAML.

6

Konfigurirajte nastavitve Just-in-Time (JIT).

  • Ustvari ali aktiviraj uporabnika: Če ni najden noben aktiven uporabnik, Webex Identity ustvari uporabnika in posodobi atribute, potem ko se uporabnik overi pri IdP.
  • Posodobi uporabnika z atributi SAML: Če je najden uporabnik z e-poštnim naslovom, Webex Identity posodobi uporabnika z atributi, preslikanimi v trditvi SAML.
Potrdite, da se lahko uporabniki prijavijo z drugim, nedoločljivim e-poštnim naslovom.

7

Konfiguriraj zahtevane atribute preslikave SAML.

Tabela 1. Obvezni atributi

Ime atributa identitete Webex

Ime atributa SAML

Opis atributa

Uporabniško ime / Primarni e-poštni naslov

Primer: UID

Preslikajte atribut UID v omogočen uporabnikov e-poštni naslov, upn ali edupersonprincipalname.

8

Konfigurirajte atribute povezovanja.

To bi moralo biti edinstveno za uporabnika. Uporablja se za iskanje uporabnika, tako da lahko Webex posodobi vse atribute profila, vključno z e-poštnim naslovom uporabnika.
Tabela 2. Povezovanje atributov

Ime atributa identitete Webex

Ime atributa SAML

Opis atributa

zunanjiId

Primer: uporabnik.objekti

Za identifikacijo tega uporabnika od drugih posameznih profilov. To je obvezno, ko preslikujete med imeniki ali spreminjate druge atribute profilov.

številka zaposlenega

Primer: uporabnik.id zaposlenega

Uporabnikova številka zaposlenega ali identifikacijska številka v njegovem kadrovskem sistemu. Upoštevajte, da to ni za externalid, ker lahko employeenumber ponovno uporabite ali reciklirate za druge uporabnike.

Atribut razširitve 1

Primer: uporabniški.atribut_razširitve1

Preslikajte te atribute po meri na razširjene atribute v imeniku Active Directory, Azure ali vašem imeniku za kode za sledenje.

Atribut razširitve 2

Primer: uporabniški_atribut_razširitve2

Atribut razširitve 3

Primer: uporabniški_atribut_razširitve3

Atribut razširitve 4

Primer: user.extensionlattribute4

Atribut razširitve 5

Primer: uporabniški.atribut_razširitve5

9

Konfiguriraj atribute profila.

Tabela 3. Atributi profila

Ime atributa identitete Webex

Ime atributa SAML

Opis atributa

zunanjiId

Primer: uporabnik.objekti

Za identifikacijo tega uporabnika od drugih posameznih profilov. To je obvezno, ko preslikujete med imeniki ali spreminjate druge atribute profilov.

številka zaposlenega

Primer: uporabnik.id zaposlenega

Številka zaposlenega tega uporabnika ali identifikacijska številka v njihovem kadrovskem sistemu. Upoštevajte, da to ne velja za »externalid«, ker lahko »employeenumber« ponovno uporabite ali reciklirate za druge uporabnike.

želeni jezik

Primer: uporabnik.prednostni_jezik

Zaželeni jezik uporabnika.

kraj

Primer: uporabnik.locale

Primarna lokacija dela uporabnika.

časovni pas

Primer: uporabnik.časovni_pas

Primarni časovni pas uporabnika.

prikaznoIme

Primer: uporabnik.prikaznoime

Uporabnikovo prikazano ime v aplikaciji Webex.

ime.danoIme

Primer: uporabnik.ime

Ime uporabnika.

ime.priimek

Primer: uporabnik.priimek

Priimek uporabnika.

naslovi.uličniNaslov

Primer: uporabnik.naslovustrednika

Naslov njegove primarne delovne lokacije.

naslovi.država

Primer: uporabnik.stanje

Država njihovega glavnega delovnega mesta.

naslovi.regija

Primer: uporabnik.regija

Regija njegove primarne delovne lokacije.

naslovi.poštna_številka

Primer: uporabnik.poštna_številka

Poštna številka njegove primarne delovne lokacije.

naslovi.država

Primer: uporabnik.država

Država njegove primarne delovne lokacije.

telefonske_številke.delo

Primer: službena telefonska številka

Službena številka njegove primarne delovne lokacije. Uporabite samo mednarodno obliko zapisa E.164 (največ 15 števk).

telefonske_številke.končnica

Primer: številka mobilnega telefona

Službena interna številka njihove primarne službene telefonske številke. Uporabite samo mednarodno obliko zapisa E.164 (največ 15 števk).

zaimek

Primer: uporabnik.zaimek

Uporabnikovi zaimki. To je neobvezen atribut in uporabnik ali skrbnik ga lahko prikaže v svojem profilu.

naslov

Primer: uporabnik.nazivdelovnega_mesta

Delovno mesto uporabnika.

oddelek

Primer: uporabnik.oddelek

Službeni oddelek ali ekipa uporabnika.

zaimek

Primer: uporabnik.zaimek

To je zaimek uporabnika. Vidnost tega atributa nadzirata skrbnik in uporabnik.

vodja

Primer: vodja

Vodja uporabnika ali vodja njegove ekipe.

stroškovni center

Primer: stroškovni center

To je priimek uporabnika, znan tudi kot priimek ali družinsko ime.

e-pošta.alternat1

Primer: uporabnik.pošta vzdevek

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte na uid.

e-pošta.alternat2

Primer: uporabnik.primarniavtoritativnapošta

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte na uid.

e-pošta.alternat3

Primer: uporabnik.alternativniavtoritativnapošta

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte na uid.

e-pošta.alternat4

Primer: uporabnik.drugapošta

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte na uid.

email.alternate5

Primer: uporabnik.drugapošta

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte na uid.
10

Konfiguriraj atribute razširitve.

Preslikajte te atribute v razširjene atribute v imeniku Active Directory, Azure ali vašem imeniku za kode za sledenje.
Tabela 4. Atributi razširitve

Ime atributa identitete Webex

Ime atributa SAML

Atribut razširitve 1

Primer: uporabniški.atribut_razširitve1

Atribut razširitve 2

Primer: uporabniški_atribut_razširitve2

Atribut razširitve 3

Primer: uporabniški_atribut_razširitve3

Atribut razširitve 4

Primer: uporabniški_atribut_razširitve4

Atribut razširitve 5

Primer: uporabniški.atribut_razširitve5

Atribut razširitve 6

Primer: uporabniški_atribut_razširitve6

Atribut razširitve 7

Primer: atribut_uporabnika.razširitve7

Atribut razširitve 8

Primer: atribut_uporabnika.razširitve8

Atribut razširitve 9

Primer: atribut_uporabnika.razširitve9

Atribut razširitve 10

Primer: atribut_uporabnika.razširitve10

11

Konfiguriraj atribute skupine.

  1. Ustvarite skupino v Control Hubu in si zabeležite ID skupine Webex.
  2. Pojdite v imenik uporabnikov ali ponudnika identitet in nastavite atribut za uporabnike, ki bodo dodeljeni ID-ju skupine Webex.
  3. Posodobite konfiguracijo svojega ponudnika identitetnih podatkov (IdP), da vključite zahtevek, ki vsebuje to ime atributa skupaj z ID-jem skupine Webex (npr. c65f7d85-b691-42b8-a20b-12345xxxx). Zunanji ID lahko uporabite tudi za upravljanje sprememb imen skupin ali za prihodnje scenarije integracije. Na primer sinhronizacija z Azure AD ali implementacija sinhronizacije skupin SCIM.
  4. Navedite natančno ime atributa, ki bo poslan v trditvi SAML z ID-jem skupine. To se uporablja za dodajanje uporabnika v skupino.
  5. Če za pošiljanje članov v trditvi SAML uporabljate skupino iz svojega imenika, navedite natančno ime zunanjega ID-ja objekta skupine.

Če je uporabnik A povezan z groupID 1234 in uporabnik B z groupID 4567, sta dodeljena ločenima skupinama. Ta scenarij kaže, da en sam atribut uporabnikom omogoča povezovanje z več ID-ji skupin. Čeprav je to neobičajno, je možno in se lahko šteje za aditivno spremembo. Na primer, če se uporabnik A najprej prijavi z uporabo groupID 1234, postane član ustrezne skupine. Če se uporabnik A pozneje prijavi z uporabo groupID 4567, bo prav tako dodan v to drugo skupino.

Zagotavljanje SAML JIT ne podpira odstranjevanja uporabnikov iz skupin ali kakršnega koli brisanja uporabnikov.

Tabela 5. Atributi skupine

Ime atributa identitete Webex

Ime atributa SAML

Opis atributa

ID skupine

Primer: ID skupine

Preslikaj atribute skupine iz IdP v skupino atributov Webex Identity za namen preslikave tega uporabnika v skupino za licenciranje ali nastavitev storitve.

zunanjiId skupine

Primer: zunanjiId skupine

Preslikaj atribute skupine iz IdP v skupino atributov Webex Identity za namen preslikave tega uporabnika v skupino za licenciranje ali nastavitev storitve.

Za seznam atributov trditve SAML za Webex Meetings glejte https://help.webex.com/article/WBX67566.

Izbrišite svojega ponudnika identitete (IdP)

Preden začnete

Priporočljivo je, da najprej deaktivirate ali izbrišete pravila usmerjanja ponudnika identitetnih storitev (IdP), preden ga izbrišete.

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Pojdite na IdP in kliknite Meni več.

5

Izberite Izbriši.

1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete.

4

Kliknite Deaktiviraj enotno prijavo.

Potrdite deaktivacijo enotne prijave (SSO).

Ko je potrjena, je enotna prijava (SSO) deaktivirana za vse ponudnike identitet (IdP) v vaši organizaciji.

Preden potečejo potrdila, boste v Control Hub prejeli opozorila, lahko pa tudi proaktivno nastavite pravila opozoril. Ta pravila vas vnaprej obvestijo, da bodo vaša potrdila SP ali IdP potekla. Te vam lahko pošljemo po e-pošti, v prostoru v aplikaciji Webex ali na oboje.

Ne glede na konfiguriran kanal dostave se vsa opozorila vedno prikažejo v Control Hubu. Za več informacij glejte Center za opozorila v Control Hubu.

1

Prijavite se v Control Hub.

2

Pojdite v center za opozorila.

3

Izberite Upravljanje in nato Vsa pravila.

4

Na seznamu Pravila izberite katero koli pravilo SSO, ki ga želite ustvariti:

  • Poteče veljavnost potrdila SSO IDP
  • Poteče veljavnost potrdila SSO SP
5

V razdelku Dostavni kanal označite polje za E-pošta, Prostor Webexali oboje.

Če izberete možnost E-pošta, vnesite e-poštni naslov, na katerega želite prejeti obvestilo.

Če izberete možnost prostora Webex, boste samodejno dodani v prostor znotraj aplikacije Webex in tja vam bomo dostavljali obvestila.

6

Shranite spremembe.

Kaj storiti naprej

Opozorila o poteku veljavnosti potrdila pošiljamo enkrat na 15 dni, začenši 60 dni pred potekom. (Opozorila lahko pričakujete na 60., 45., 30. in 15. dan.) Opozorila se prenehajo prejemati, ko podaljšate potrdilo.

Če naletite na težave s prijavo v SSO, lahko uporabite možnost samodejne obnovitve SSO, da dobite dostop do svoje organizacije Webex, ki jo upravljate v Control Hubu. Možnost samodejne obnovitve vam omogoča posodobitev ali onemogočanje enotne prijave (SSO) v Control Hubu.