تم اختبار إدارة الوصول إلى الويب وحلول الاتحاد التالية لمؤسسات Webex. ترشدك المستندات المرتبطة أدناه إلى كيفية دمج موفر الهوية المحدد (IdP) مع مؤسسة Webex الخاصة بك.


تغطي هذه الأدلة تكامل SSO لخدمات Webex التي تتم إدارتها في Control Hub ( https://admin.webex.com ). إذا كنت تبحث عن تكامل SSO مع موقع Webex Meetings (تتم إدارته في إدارة الموقع) ، فاقرأ تهيئة الدخول الموحد لموقع Cisco Webex .

إذا كنت لا ترى موفر الهوية مدرجًا أدناه ، فاتبع الخطوات عالية المستوى في علامة التبويب إعداد الدخول الموحد في هذه المقالة.

يتيح تسجيل الدخول الأحادي (SSO) للمستخدمين تسجيل الدخول إلى Webex بأمان من خلال المصادقة لموفر الهوية المشترك (IdP) لمؤسساتك. يستخدم تطبيق Webex خدمة Webex للتواصل مع Webex Platform Identity Service. تصادق خدمة الهوية مع موفر الهوية (IdP).

تبدأ التكوين في مركز التحكم. يلتقط هذا القسم خطوات عامة عالية المستوى لدمج موفِّر هوية تابع لجهة خارجية.

بالنسبة إلى الدخول الموحد و مركز التحكم ، يجب أن يتوافق موفرو الهوية مع مواصفات SAML 2.0. بالإضافة إلى ذلك ، يجب تكوين موفري الهوية بالطريقة التالية:

  • عيِّن السمة NameID Format على urn: oasis: names: tc: SAML: 2.0: nameid-format: عابر

  • تكوين مطالبة على IdP وفقًا لنوع SSO الذي تنشره:

    • SSO (لمؤسسة) - إذا كنت تقوم بتهيئة الدخول الموحد نيابةً عن مؤسسة ، فقم بتهيئة مطالبة موفِّر الهوية لتضمين اسم السمة uid بقيمة معينة إلى السمة التي تم اختيارها في Directory Connector ، أو سمة المستخدم التي تطابق السمة المختارة في خدمة هوية Webex . (يمكن أن تكون هذه السمة عناوين البريد الإلكتروني أو اسم المستخدم الأساسي ، على سبيل المثال.)

    • الدخول الموحد للشريك (لمقدمي الخدمة فقط) - إذا كنت مشرفًا لمقدم خدمة وتهيئ الدخول الموحد للشريك لتستخدمه مؤسسات العملاء التي يديرها مقدم الخدمة ، فقم بتهيئة مطالبة موفِّر الهوية لتضمين سمة البريد ( بدلاً من uid ). يجب تعيين القيمة إلى السمة التي تم اختيارها في Directory Connector ، أو سمة المستخدم التي تطابق السمة المختارة في خدمة هوية Webex .


    لمزيد من المعلومات حول تعيين السمات المخصصة إما للدخول الموحد أو SSO للشريك ، راجع https://www.cisco.com/go/hybrid-services-directory .

  • الشريك SSO فقط. يجب أن يدعم موفر الهوية عدة عناوين URL لخدمة مستهلك Assertion (ACS). للحصول على أمثلة حول كيفية تكوين عدة عناوين URL لـ ACS على موفر الهوية ، راجع:

  • استخدم متصفحًا مدعومًا: نوصي بأحدث إصدار من Mozilla Firefox أو Google Chrome.

  • قم بتعطيل أي أدوات حظر النوافذ المنبثقة في متصفحك.


تعرض أدلة التكوين مثالاً محددًا لتكامل SSO ولكنها لا توفر تكوينًا شاملاً لجميع الاحتمالات. على سبيل المثال ، تم توثيق خطوات الدمج لـ nameid-format urn: oasis: names: tc: SAML: 2.0: nameid-format: transient . تنسيقات أخرى مثل urn: oasis: names: tc: SAML: 1.1: nameid-format: unspecified or urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress ستعمل لتكامل SSO لكنها خارج نطاق وثائقنا.

يجب عليك إنشاء اتفاقية SAML بين خدمة هوية النظام الأساسي لـ Webex وموفر الهوية.

أنت بحاجة إلى ملفين لتحقيق اتفاقية SAML ناجحة:

  • ملف بيانات وصفية من IdP لتقديمه إلى Webex .

  • ملف بيانات وصفية من Webex لتقديمه إلى IdP.

هذا مثال على ملف بيانات تعريف PingFederate مع بيانات وصفية من IdP.

ملف البيانات الوصفية من خدمة الهوية.

التالي هو ما تتوقع رؤيته في ملف البيانات الوصفية من خدمة الهوية.

  • معرف الكيان — يُستخدم لتعريف اتفاقية SAML في تهيئة IdP

  • لا توجد متطلبات لطلب AuthN موقع أو أي تأكيدات تسجيل ، فهو يتوافق مع ما يطلبه IdP في ملف البيانات الوصفية.

  • ملف بيانات وصفية موقع لموفر الهوية للتحقق من أن البيانات الوصفية تنتمي إلى خدمة الهوية.

1

من عرض العميل في مركز التحكم ( https://admin.webex.com ) ، انتقل إلى الإدارة > إعدادات المؤسسة ، ثم مرر إلى المصادقة وقم بالتبديل بين إعداد الدخول الموحد لبدء معالج التهيئة.

2

اختر نوع الشهادة:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بتحديد هذا الخيار للسماح لنا بأن نصبح مقدم الخدمة. أيضًا ، ما عليك سوى تجديد الشهادة كل خمس سنوات.
  • تم التوقيع عليه من قِبل هيئة تصديق عامة - هذا الخيار آمن وينصح به إذا حصلت على شهاداتك موقعة من سلطة تصديق عامة مثل Hydrant أو Godaddy. ومع ذلك ، يجب عليك تجديد الشهادة مرة واحدة في السنة.
3

انقر على تنزيل البيانات الوصفية وانقر على التالي .

4

تتحقق خدمة Webex Platform Identity من ملف البيانات الوصفية من IdP.

هناك طريقتان محتملتان للتحقق من صحة البيانات الوصفية من موفر هوية العميل:

  • يوفر موفر هوية العميل توقيعًا في البيانات الوصفية الموقعة بواسطة مرجع مصدق جذر عام.

  • يوفر موفر الهوية للعميل مرجع مصدق خاصًا مُوقَّعًا ذاتيًا أو لا يوفر توقيعًا لبياناته الوصفية. هذا الخيار أقل أمانًا.

5

اختبر اتصال SSO قبل تمكينه. تعمل هذه الخطوة مثل التشغيل التجريبي ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين SSO في الخطوة التالية.


 

لمشاهدة تجربة تسجيل الدخول الموحّد مباشرةً ، يمكنك أيضًا النقر على نسخ عنوان URL إلى الحافظة من هذه الشاشة ولصقه في نافذة متصفح خاصة. من هناك ، يمكنك متابعة تسجيل الدخول باستخدام SSO. يساعد هذا في إزالة أي معلومات مخزنة مؤقتًا في متصفح الويب الخاص بك والتي يمكن أن توفر نتيجة إيجابية خاطئة عند اختبار تكوين SSO الخاص بك.

6

إذا نجح الاختبار ، فعندئذٍ قم بتشغيل SSO واحفظ التغييرات.

يجب عليك حفظ التغييرات لتفعيل الدخول الموحّد (SSO) في مؤسستك.

سواء كنت قد تلقيت إشعارًا حول شهادة منتهية الصلاحية أو تريد التحقق من تكوين SSO الحالي ، يمكنك استخدام ميزات إدارة الدخول الموحد (SSO) في مركز التحكم لإدارة الشهادات وأنشطة صيانة SSO العامة.

إذا واجهت مشكلات في تكامل SSO ، فاستخدم المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء SAML Flow بين IdP و Webex وإصلاحها.

  • استخدم الوظيفة الإضافية لتتبع SAML لـ Firefox أو Chrome .

  • لتحري الخلل وإصلاحه ، استخدم متصفح الويب حيث قمت بتثبيت أداة تصحيح أخطاء تتبع SAML وانتقل إلى إصدار الويب من Webex على https://web.webex.com .

فيما يلي تدفق الرسائل بين تطبيق Webex و Webex Services و Webex Platform Identity Service وموفر الهوية (IdP).

  1. انتقل إلى https://admin.webex.com ، مع تمكين الدخول الموحّد ، يطالبك التطبيق بعنوان بريد إلكتروني.
  2. يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للرمز المميز. تتم إعادة توجيه الطلب إلى خدمة الهوية إلى SSO أو اسم المستخدم وكلمة المرور. يتم إرجاع URL لخادم المصادقة.
  3. يطلب تطبيق Webex تأكيد SAML من IdP باستخدام SAML HTTP POST.
  4. تحدث مصادقة التطبيق بين موارد الويب لنظام التشغيل و IdP.
  5. يرسل التطبيق HTTP Post مرة أخرى إلى خدمة الهوية ويتضمن السمات التي يوفرها IdP والمتفق عليها في الاتفاقية الأولية.
  6. تأكيد SAML من IdP إلى Webex.
  7. تتلقى خدمة الهوية رمز تفويض يتم استبداله برمز وصول OAuth وإعادة التحديث. يتم استخدام هذا الرمز المميز للوصول إلى الموارد نيابة عن المستخدم.
1

انتقل إلى https://admin.webex.com ، مع تمكين الدخول الموحّد ، يطالبك التطبيق بعنوان بريد إلكتروني.

يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقق من عنوان البريد الإلكتروني.

2

يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للرمز المميز. تتم إعادة توجيه الطلب إلى خدمة الهوية إلى SSO أو اسم المستخدم وكلمة المرور. يتم إرجاع URL لخادم المصادقة.

يمكنك رؤية طلب GET في ملف التتبع.

في قسم المعلمات ، تبحث الخدمة عن رمز OAuth والبريد الإلكتروني للمستخدم الذي أرسل الطلب وتفاصيل OAuth الأخرى مثل ClientID و redirectURI و Scope.

3

يطلب تطبيق Webex تأكيد SAML من IdP باستخدام SAML HTTP POST.

عند تمكين الدخول المُوحَّد (SSO) ، يُعيد محرك المصادقة في خدمة الهوية التوجيه إلى عنوان URL لموفر الهوية من أجل الدخول المُوحَّد (SSO). تم توفير عنوان URL لموفر الهوية عند تبادل البيانات الوصفية.

تحقق في أداة التتبع بحثًا عن رسالة SAML POST. ترى رسالة HTTP POST إلى IdP التي طلبها IdPbroker.

تُظهر معلمة RelayState الرد الصحيح من IdP.

راجع إصدار فك تشفير طلب SAML ، ولا يوجد تفويض AuthN ويجب أن تنتقل وجهة الإجابة إلى عنوان URL المقصود لموفر الهوية. تأكد من تكوين تنسيق Nameid بشكل صحيح في IdP ضمن معرف الكيان الصحيح (SPNameQualifier)

يتم تحديد تنسيق معرف اسم موفر الهوية وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML.

4

تحدث مصادقة التطبيق بين موارد الويب لنظام التشغيل و IdP.

اعتمادًا على IdP الخاص بك وآليات المصادقة المكونة في IdP ، يتم بدء التدفقات المختلفة من IdP.

5

يرسل التطبيق HTTP Post مرة أخرى إلى خدمة الهوية ويتضمن السمات التي يوفرها IdP والمتفق عليها في الاتفاقية الأولية.

عند نجاح المصادقة ، يرسل التطبيق المعلومات الموجودة في رسالة SAML POST إلى خدمة الهوية.

RelayState هي نفسها رسالة HTTP POST السابقة حيث يخبر التطبيق IdP عن EntityID الذي يطلب التأكيد.

6

تأكيد SAML من IdP إلى Webex.

7

تتلقى خدمة الهوية رمز تفويض يتم استبداله برمز وصول OAuth وإعادة التحديث. يتم استخدام هذا الرمز المميز للوصول إلى الموارد نيابة عن المستخدم.

بعد أن تتحقق خدمة الهوية من صحة الإجابة من IdP ، فإنها تصدر رمز OAuth المميز الذي يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.