Єдиний вхід (SSO) дозволяє користувачам безпечно входити в Webex, автентифікуючись у спільного постачальника ідентифікаційних даних вашої організації. Постачальник ідентифікаційних даних (IdP) безпечно зберігає та керує цифровими ідентифікаторами ваших користувачів і надає послугу автентифікації користувачів Webex.

Чому вам може знадобитися кілька постачальників ідентифікаційних даних

Багато великих компаній переживають злиття та поглинання, і ці компанії рідко мають однакову ІТ-інфраструктуру та постачальників ідентифікації. Урядові установи мають у своєму підпорядкуванні різні організації та агентства. Часто ці організації мають одну адресу електронної пошти для власних ІТ-відділів та інфраструктури відповідно. Великі навчальні заклади мають центральний відділ закупівель, але різні університети та коледжі мають різні ІТ-організації та кафедри.

Часто можна побачити, як постачальники ідентифікаційних даних та постачальники послуг (SP) об'єднуються один з одним. Постачальник ідентифікаційних даних (IdP) відповідає за автентифікацію облікових даних ваших користувачів, а постачальник послуг (SP) довіряє автентифікації, виконаній IdP. Це дозволяє вашим користувачам отримувати доступ до різних SaaS-додатків та послуг, використовуючи ту саму цифрову ідентифікацію. Але якщо з якоїсь причини ваша організація не може об’єднати постачальників ідентифікаційних даних (IdP), Webex пропонує тимчасове рішення для підтримки кількох IdP. З цих причин ми надаємо вам можливість налаштувати єдиний вхід (SSO) для кількох постачальників ідентифікаційних даних у Webex та спростити процес автентифікації ваших користувачів.

Обмеження

  • Якщо ви використовуєте Directory Connector у своїй організації, усім користувачам необхідно підготувати Directory Connector. Зверніться до посібника з розгортання Directory Connector для отримання додаткової інформації.
  • Наразі ми підтримуємо лише SAML, OpenID Connect та Webex Identity як постачальників ідентифікації.

Поза межами дії

  • Налаштуйте групові призначення.

У цьому розділі описано, як інтегрувати постачальників ідентифікації (IdP) з вашою організацією Webex. Ви можете вибрати постачальників ідентифікаційних даних, які найкраще відповідають вимогам вашої організації.

Якщо вам потрібна інтеграція єдиного входу (SSO) для сайту Webex Meetings (керований в розділі «Адміністрування сайту»), зверніться до статті Налаштування єдиного входу для адміністрування Webex.

Обов’язкові умови

Перш ніж почати

Переконайтеся, що виконано такі умови:

    • Ви повинні мати повну роль адміністратора в Центрі керування.
    • Файл метаданих від постачальника ідентифікаційних даних для передачі Webex та файл метаданих від Webex для передачі постачальнику ідентифікаційних даних. Для отримання додаткової інформації див. Інтеграція єдиного входу в Control Hub. Це стосується лише конфігурації SAML.
    • Перш ніж налаштовувати кілька постачальників ідентифікаційних даних, слід спланувати поведінку правил маршрутизації.

    Правило маршрутизації за замовчуванням застосовується після налаштування початкового постачальника ідентифікаційних даних. Але ви можете встановити іншого постачальника ідентифікаційних даних як постачальника за замовчуванням. Див. розділ Додавання або редагування правила маршрутизації на вкладці «Правила маршрутизації» в цій статті.

Налаштування SAML
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних та натисніть Активувати єдиний вхід.

4

Виберіть SAML як свого постачальника ідентифікаційних даних і натисніть Далі.

5

Виберіть тип сертифіката.

  • Самопідписано Cisco— Ми рекомендуємо цей варіант. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано публічним центром сертифікації— Безпечніше, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує довірчі якорі).

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

6

Клацніть Завантажити метадані, потім — Далі.

Ім’я файлу метаданих застосунку Webex — idb-meta-<org-ID>-SP.xml.

7

Завантажте файл метаданих постачальників ідентифікаційних даних або заповніть форму конфігурації.

Під час завантаження файлу метаданих існує два способи перевірки метаданих з ідентифікатора клієнта:

  • IdP клієнта надає підпис у метаданих, поставлений загальнодоступним кореневим центром сертифікації;
  • IdP клієнта надає самопідписаний сертифікат приватного центру сертифікації або не надає підпис для своїх метаданих. Цей варіант менш безпечний.
В іншому випадку, у формі конфігурації введіть інформацію про постачальника ідентифікаційних даних.

Клацніть Далі.

8

(Необов’язково) Ви можете змінити назву атрибута SAML для Ім’я користувача Webex або Основна адреса електронної пошти з uid на щось, узгоджене з менеджером постачальника ідентифікаційних даних, наприклад email, upnтощо.

9

(Необов’язково) Налаштуйте параметри Just In Time (JIT) та відповідь на зіставлення SAML.

Див. розділ Налаштування зіставлення Just In Time (JIT) та SAML на вкладці «Керування постачальниками ідентифікаційних даних» у цій статті.
10

Натисніть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримуєте помилку автентифікації, можливо, проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути інтерфейс входу SSO, рекомендуємо натиснути «Копіювати URL-адресу в буфер обміну » на цьому екрані та вставити її в анонімне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

11

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO та IdP та натисніть Активувати.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.

Конфігурація SSO не набуде чинності у вашій організації, доки ви не виберете перший перемикач і не активуєте SSO.

Що далі

Ви можете налаштувати правило маршрутизації. Див. розділ Додавання або редагування правила маршрутизації на вкладці «Правила маршрутизації» в цій статті.

Ви можете виконати процедуру, описану в розділі Придушення автоматичних електронних листів, щоб вимкнути надсилання електронних листів новим користувачам програми Webex у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Налаштування OpenID Connect
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних та натисніть Активувати єдиний вхід.

4

Виберіть OpenID Connect як свого постачальника ідентифікаційних даних і натисніть Далі.

5

Введіть інформацію про свого постачальника ідентифікаційних даних.

  • Ім’я— Ім’я для ідентифікації вашого постачальника ідентифікаційних даних.
  • Ідентифікатор клієнта— унікальний ідентифікатор для ідентифікації вас та вашого постачальника ідентифікаційних даних.
  • Секрет клієнта— пароль, який знаєте ви та ваш постачальник ідентифікаційних даних.
  • Області застосування— Області застосування, які будуть пов’язані з вашим постачальником ідентифікаційних даних.

6

Виберіть, як додати кінцеві точки. Це можна зробити автоматично або вручну.

  • Використовуйте URL-адресу виявлення для автоматичного додавання кінцевих точок.

    • Введіть URL-адресу виявлення для вашого постачальника ідентифікаційних даних. Ця URL-адреса автоматично заповнить необхідні кінцеві точки для єдиного виходу з системи OIDC (SLO).
    • Увімкніть Дозволити автоматичний вихід із сеансу, щоб користувачі виходили з усіх підключених програм і служб після виходу з Webex.

  • Якщо ви бажаєте вручну додати всю інформацію про кінцеву точку, тоді додайте наступні дані.

    • Емітент— Введіть URL-адресу емітента, як зазначено вашим постачальником ідентифікаційних даних.
    • Кінцева точка авторизації— Введіть URL-адресу кінцевої точки авторизації.
    • Кінцева точка токена— Введіть URL-адресу кінцевої точки токена.
    • Кінцева точка JWKS— Введіть URL-адресу набору веб-ключів JSON (JWKS).
    • Кінцева точка інформації про користувача— Введіть URL-адресу кінцевої точки інформації про користувача.
    • Якщо параметр Дозволити автоматичний вихід із сеансу увімкнено, тоді потрібно ввести URL-адресу [ Кінцева точка виходу із сеансу , щоб увімкнути єдиний вихід (SLO) для всіх підключених програм.
    Для отримання додаткової інформації зверніться до посібника з налаштування OpenID Connect.

7

(Необов’язково) Налаштуйте параметри «Точно в строк» (JIT).

Див. розділ Налаштування зіставлення Just In Time (JIT) та SAML на вкладці «Керування постачальниками ідентифікаційних даних» у цій статті.
8

Натисніть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримуєте помилку автентифікації, можливо, проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути інтерфейс входу SSO, рекомендуємо натиснути «Копіювати URL-адресу в буфер обміну » на цьому екрані та вставити її в анонімне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

9

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO та IdP та натисніть Активувати.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.

Конфігурація SSO не набуде чинності у вашій організації, доки ви не виберете перший перемикач і не активуєте SSO.

Що далі

Ви можете налаштувати правило маршрутизації. Див. розділ Додавання або редагування правила маршрутизації на вкладці «Правила маршрутизації» в цій статті.

Ви можете виконати процедуру, описану в розділі Придушення автоматичних електронних листів, щоб вимкнути надсилання електронних листів новим користувачам програми Webex у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Налаштування ідентифікації Webex
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних та натисніть Активувати єдиний вхід.

4

Виберіть Webex як свого постачальника ідентифікаційних даних і натисніть Далі.

5

Поставте позначку Я прочитав(-ла) і зрозумів(-ла), як працює Webex IdP та натисніть Далі.

6

Налаштуйте правило маршрутизації.

Див. розділ Додавання або редагування правила маршрутизації на вкладці «Правила маршрутизації» в цій статті.

Після додавання правила маршрутизації ваш постачальник ідентифікаційних даних буде додано та відображено на вкладці Постачальник ідентифікаційних даних.

Що далі

Ви можете виконати процедуру, описану в розділі Придушення автоматичних електронних листів, щоб вимкнути електронні листи, що надсилаються новим користувачам програми Webex у вашій організації. Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Правила маршрутизації застосовуються під час налаштування кількох постачальників ідентифікаційних даних. Правила маршрутизації дозволяють Webex визначати, до якого постачальника ідентифікаційних даних надсилати користувачів, якщо ви налаштували кілька постачальників ідентифікаційних даних.

Під час налаштування кількох постачальників ідентифікаційних даних ви можете визначити правила маршрутизації в майстрі налаштування єдиного входу (SSO). Якщо пропустити крок правила маршрутизації, Control Hub додасть постачальника ідентифікаторів, але не активує його. Щоб активувати постачальника ідентифікаційних даних, потрібно додати правило маршрутизації.

Додавання або редагування правил маршрутизації
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Правила маршрутизації.

Під час налаштування вашого першого постачальника ідентифікаційних даних правило маршрутизації додається автоматично та встановлюється як правило за замовчуванням. Ви можете пізніше вибрати іншого постачальника ідентифікаційних даних, щоб встановити його як правило за замовчуванням.

4

Натисніть Додати нове правило маршрутизації.

5

Введіть деталі правила маршрутизації:

  • Назва правила— Введіть назву правила маршрутизації.
  • Виберіть тип маршрутизації— Виберіть домен або групу.
  • Якщо це ваші domains/groups— Введіть domains/groups у вашій організації.
  • Потім використовуйте цього постачальника ідентифікаційних даних— Виберіть постачальника ідентифікаційних даних.

6

Виберіть метод багатофакторної автентифікації (MFA):

  • Зберегти поточний стан MFA— Дозволяє зберегти існуючий метод MFA без внесення змін.
  • Перевизначити поточний стан MFA— Дозволяє змінити існуючий метод MFA на нову конфігурацію.
  • Дозволити MFA лише для цього правила— Увімкніть, щоб увімкнути MFA лише для поточного правила маршрутизації.

Щоб отримати додаткові відомості про налаштування багатофакторної автентифікації (MFA) для вашої організації, див. Увімкнення інтеграції багатофакторної автентифікації в Control Hub.

7

Клацніть Додати.

8

Виберіть нове правило маршрутизації та натисніть Активувати.

Ви можете змінити порядок пріоритету правил маршрутизації, якщо у вас є правила маршрутизації для кількох постачальників ідентифікаційних даних.

Деактивація або видалення правил маршрутизації
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Правила маршрутизації.

4

Виберіть правило маршрутизації.

5

Виберіть, чи потрібно Деактивувати або Видалити правило маршрутизації.

Рекомендується мати інше активне правило маршрутизації для постачальника ідентифікаційних даних. В іншому випадку у вас можуть виникнути проблеми з входом до SSO.

Правило за замовчуваннямне можна деактивувати або видалити, але ви можете змінити маршрутизованого постачальника ідентифікаційних даних.

Керування сертифікатами постачальника ідентифікаційних даних (IdP)

Перш ніж почати

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Центрі керування про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IdP мають власну специфічну документацію для поновлення сертифікатів, ми розглядаємо вимоги Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та завантаження їх до Control Hub для поновлення сертифіката.

Це стосується лише конфігурації SAML.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних, натисніть Завантажити та виберіть Завантажити метадані постачальника ідентифікаційних даних.

Щоб завантажити файл метаданих, натисніть Завантаження та виберіть Завантажити метадані постачальника ідентифікаційних даних.
5

Перейдіть до інтерфейсу керування постачальником ідентифікаційних даних, щоб отримати новий файл метаданих.

6

Поверніться до Центру керування та перетягніть файл метаданих постачальника ідентифікаційних даних в область завантаження або натисніть Вибрати файл, щоб завантажити метадані.

7

Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний публічним центром сертифікації), залежно від того, як підписані метадані вашого постачальника ідентифікаційних даних, і натисніть Зберегти.

8

Налаштуйте параметри Just In Time (JIT) та відповідь на зіставлення SAML.

Див. розділ Налаштування зіставлення Just In Time (JIT) та SAML на вкладці «Керування постачальниками ідентифікаційних даних» у цій статті.
9

Натисніть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримуєте помилку автентифікації, можливо, проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути вхід за допомогою єдиного входу (SSO), рекомендуємо натиснути «Копіювати URL-адресу в буфер обміну » на цьому екрані та вставити її в анонімне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

10

Клацніть Зберегти.

Керування сертифікатами постачальника послуг (SP)

Перш ніж почати

Рекомендується оновити всі ваші постачальники ідентифікаційних даних (IdP) у вашій організації під час поновлення сертифіката постачальника послуг (SP).

Це стосується лише конфігурації SAML.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть .

5

Натисніть Переглянути сертифікати та термін їх дії.

Це перенаправить вас до вікна Сертифікати постачальника послуг (SP).
6

Натисніть Поновити сертифікат.

7

Виберіть тип постачальника ідентифікаційних даних у вашій організації:

  • Постачальник ідентифікаційних даних, який підтримує кілька сертифікатів
  • Постачальник ідентифікаційних даних, який підтримує один сертифікат
8

Виберіть тип сертифіката для поновлення:

  • Самопідписано Cisco— Ми рекомендуємо цей варіант. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано публічним центром сертифікації— Безпечніше, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує довірчі якорі).

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

9

Натисніть Завантажити метадані або Завантажити сертифікат, щоб завантажити копію оновленого файлу метаданих або сертифіката з хмари Webex.

10

Перейдіть до інтерфейсу керування постачальником ідентифікаційних даних, щоб завантажити новий файл метаданих або сертифікат Webex.

Цей крок можна виконати через вкладку браузера, протокол віддаленого робочого столу (RDP) або через підтримку конкретного постачальника хмарних послуг, залежно від налаштувань вашого постачальника ідентифікаційних даних та від того, чи відповідаєте за цей крок ви, чи окремий адміністратор постачальника ідентифікаційних даних.

Щоб отримати додаткову інформацію , перегляньте наші посібники з інтеграції SSO або зверніться за підтримкою до адміністратора постачальника ідентифікаційних даних. Якщо ви користуєтеся службами федерації Active Directory (AD FS), ви можете дізнатися, як оновити метадані Webex в AD FS

11

Поверніться до інтерфейсу Центру керування та натисніть Далі.

12

Виберіть Усі постачальники ідентифікаційної інформації успішно оновлено та натисніть Далі.

Це завантажує файл метаданих або сертифікат SP усім постачальникам ідентифікаційних даних у вашій організації.

13

Натисніть Завершити поновлення.

Протестуйте налаштування SSO

Перш ніж почати

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть Додаткове меню.

5

Виберіть Тестовий постачальник ідентифікаторів.

6

Натисніть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Якщо ви отримуєте помилку автентифікації, можливо, проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути інтерфейс входу SSO, рекомендуємо натиснути «Копіювати URL-адресу в буфер обміну » на цьому екрані та вставити її в анонімне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

7

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO та IdP та натисніть Зберегти.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.

Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Налаштування зіставлення Just In Time (JIT) та SAML

Перш ніж почати

Забезпечити виконання наступних передумов:

  • ДСО вже налаштовано.

  • Домени вже перевірені.

  • Домени заявлені та активовані. Ця функція гарантує, що користувачі з вашого домену будуть створені та оновлені щоразу, коли вони пройдуть автентифікацію у вашого постачальника ідентифікаційних даних.

  • Якщо DirSync або Azure AD увімкнено, створення або оновлення SAML JIT не працюватиме.

  • "Блокувати оновлення профілю користувача" включено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.

Під час налаштування SAML JIT з Azure AD або постачальником ідентифікаційних даних, де електронна адреса не є постійним ідентифікатором, рекомендуємо використовувати атрибут зв'язування externalId для зіставлення з унікальним ідентифікатором. Якщо ми виявимо, що електронна адреса не відповідає атрибуту зв’язування, користувачеві буде запропоновано підтвердити свою особу або створити нового користувача з правильною адресою електронної пошти.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть Додаткове меню.

5

Виберіть Редагувати зіставлення SAML.

6

Налаштуйте параметри Just-in-Time (JIT).

  • Створити або активувати користувача: Якщо активного користувача не знайдено, Webex Identity створює користувача та оновлює атрибути після того, як користувач пройде автентифікацію за допомогою постачальника ідентифікаційних даних.
  • Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.
Підтвердьте, що користувачі можуть входити, використовуючи іншу, неідентифіковану адресу електронної пошти.

7

Налаштуйте необхідні атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім'я користувача / Основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте атрибути зв'язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, включаючи електронну пошту користувача.
Таблиця 2. Зв'язування атрибутів

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Номер співробітника користувача або ідентифікаційний номер у його системі управління персоналом. Зверніть увагу, що це не для externalid, оскільки ви можете повторно використовувати або переробляти employeenumber для інших користувачів.

Атрибут розширення 1

Приклад: user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

9

Налаштувати атрибути профілю.

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Це номер співробітника користувача або ідентифікаційний номер у їхній hr-системі. Зауважте, що це не для параметра "externalid", оскільки ви можете повторно використовувати або повторно використовувати "номер працівника" для інших користувачів.

бажанамовленість

Приклад: user.preferredlanguage

Основна мова користувача.

Локалі

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

ім'я дисплея

Приклад: ім'я_користувача

Відображуване ім’я користувача у Webex.

ім'я.givenНайменування

Приклад: ім'я користувача.given

Ім’я користувача.

ім'я.прізвищеНайменування

Приклад: користувач.прізвище

Прізвище користувача.

адреси.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

адреси.держава

Приклад: користувач.держава

Стан їх основного місця роботи.

адреси.регіон

Приклад: користувач.регіон

Регіон його основного місця роботи.

адреси.поштовийкод

Приклад: user.postcode

Поштовий код його основного місця роботи.

адреси.країна

Приклад: користувач.країна

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов'язковий атрибут, і користувач або адміністратор можуть зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

міністерство

Приклад: user.department

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється Адміністратором і користувачем

голова

Приклад: голова

Керує менеджер користувача або його команда.

центр витрат

Приклад: центр витрат

Це прізвище користувача, також відоме як прізвище або прізвище

електронна пошта.додаткова1

Приклад: ім'я_користувача.mailnick

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова5

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштувати атрибути розширення.

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для відстеження кодів.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: user.extensionattribute1

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

Атрибут розширення 6

Приклад: user.extensionattribute6

Атрибут розширення 7

Приклад: user.extensionattribute7

Атрибут розширення 8

Приклад: user.extensionattribute8

Атрибут розширення 9

Приклад: user.extensionattribute9

Атрибут розширення 10

Приклад: user.extensionattribute10

11

Налаштувати атрибути групи.

  1. Створіть групу в Центрі керування та запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або постачальника ідентифікаційних даних і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію вашого постачальника ідентифікаційних даних, щоб включити твердження, яке містить цю назву атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Ви також можете використовувати зовнішній ідентифікатор для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або реалізація синхронізації груп SCIM.
  4. Вкажіть точну назву атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Це використовується для додавання користувача до групи.
  5. Вкажіть точну назву зовнішнього ідентифікатора об'єкта групи, якщо ви використовуєте групу зі свого каталогу для надсилання учасників у твердженні SAML.

Якщо користувач A пов'язаний з groupID 1234, а користувач B з groupID 4567, вони призначаються до окремих груп. Цей сценарій вказує на те, що один атрибут дозволяє користувачам пов’язуватися з кількома ідентифікаторами груп. Хоча це рідкість, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку входить у систему, використовуючи groupID 1234, він стає членом відповідної групи. Якщо користувач А пізніше ввійде в систему, використовуючи groupID 4567, його також буде додано до цієї другої групи.

Підготовка SAML JIT не підтримує видалення користувачів з груп або будь-яке видалення користувачів.

Таблиця 5. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ідентифікатор групи

Приклад: Ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для Webex Meetings див https://help.webex.com/article/WBX67566.

Видалити постачальника ідентифікаційних даних (IdP)

Перш ніж почати

Рекомендується спочатку деактивувати або видалити правила маршрутизації постачальника ідентифікаційних даних, перш ніж видаляти самого постачальника ідентифікаційних даних.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть Додаткове меню.

5

Виберіть Delete (Видалити).

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Натисніть Деактивувати SSO.

Підтвердіть деактивацію єдиного входу.

Після підтвердження єдиний вхід (SSO) деактивується для всіх постачальників ідентифікаційних даних у вашій організації.

Ви отримуватимете сповіщення в Центрі керування перед закінченням терміну дії сертифікатів, але ви також можете заздалегідь налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам про закінчення терміну дії ваших сертифікатів SP або IdP. Ми можемо надіслати їх вам електронною поштою, у певному місці в застосунку Webex або в обох випадках.

Незалежно від налаштованого каналу доставки, всі сповіщення завжди відображаються в Центрі керування. Див. Центр сповіщень у Центрі керування для отримання додаткової інформації.

1

Увійдіть у Центркерування.

2

Перейдіть до центру сповіщень.

3

Виберіть Керування, а потім Усі правила.

4

Зі списку Правила виберіть будь-яке з правил єдиного входу, яке ви хочете створити:

  • Термін дії сертифіката SSO IDP
  • Термін дії сертифіката SSO SP
5

У розділі «Канал доставки» встановіть прапорець Електронна пошта, Простір Webexабо обидва.

Якщо ви оберете опцію «Електронна пошта», введіть адресу електронної пошти, на яку має надходити сповіщення.

Якщо ви оберете опцію простору Webex, вас буде автоматично додано до простору в додатку Webex, і ми надсилатимемо туди сповіщення.

6

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи за 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщення на 60, 45, 30 та 15 день.) Сповіщення припиняються після поновлення сертифіката.

Якщо у вас виникли проблеми з входом в систему єдиного входу (SSO), ви можете скористатися опцією самостійного відновлення SSO, щоб отримати доступ до своєї організації Webex, якою керує Control Hub. Опція самостійного відновлення дозволяє оновлювати або вимикати єдиний вхід у Центрі керування.