تم اختبار إدارة الوصول إلى الويب وحلول الاتحاد التالية لمؤسسات Webex. يمكنك من خلال الوثائق المرتبطة أدناه استعراض كيفية دمج موفر التعريف المُحدَّد بمؤسسة Webex الخاصة بك.

تغطي هذه الأدلة دمج تسجيل الدخول الفردي لخدمات Webex التي تتم إدارتها في Control Hub ( https://admin.webex.com). إذا كنت تبحث عن دمج تسجيل الدخول الفردي لموقع Webex Meetings (تتم إدارته في إدارة الموقع)، تفضل بقراءة تكوين تسجيل الدخول الفردي لموقع Cisco Webex.

إذا كنت ترغب في إعداد تسجيل الدخول الفردي لعدد من موفري التعريف في مؤسستك، فارجع إلى تسجيل الدخول الفردي باستخدام العديد من مزودي IdP في Webex.

إذا كان يتعذَّر عليك العثور على موفر التعريف الخاص بك فيما يلي، يمكنك اتباع الخطوات عالية المستوى في علامة التبويب إعداد تسجيل الدخول الفردي الواردة في هذه المقالة.

يُتيح تسجيل الدخول الفردي (SSO) للمستخدمين تسجيل الدخول إلى Webex بأمان من خلال المصادقة على موفر التعريف المشترك لمؤسستك (IdP). يستخدم تطبيق Webex خدمة Webex للاتصال بخدمة Webex Platform Identity. يتم المصادقة على خدمة التعريف باستخدام موفر التعريف.

يمكنك بدء التكوين في Control Hub. يتناول هذا القسم خطوات عامة عالية المستوى لدمج موفر التعريف التابع لجهة خارجية.

عندما تقوم بتكوين تسجيل الدخول الفردي باستخدام موفر التعريف الخاص بك، يمكنك تعيين أي سمة إلى معرف المستخدم. على سبيل المثال، يمكنك تعيين userPrincipalName أو اسم مستعار للبريد الإلكتروني أو عنوان بريد إلكتروني بديل أو أي سمة مناسبة أخرى لمعرف المستخدم. يجب أن يطابق موفر التعريف أحد عناوين البريد الإلكتروني للمستخدم مع معرف المستخدم عند تسجيل الدخول. تدعم Webex تعيين ما يصل إلى 5 عناوين بريد إلكتروني إلى معرف المستخدم.

نوصي بتضمين تسجيل الخروج الأحادي (SLO) في تكوين بيانات التعريف لديك أثناء إعداد اتحاد Webex SAML. تعد هذه الخطوة حاسمة لضمان إلغاء رموز المستخدم في كل من موفر التعريف (IdP) وموفر الخدمة (SP). إذا لم يقم مسؤول بإجراء هذا التكوين، فسيقوم Webex بتنبيه المستخدمين إلى إغلاق مستعرضاتهم لإلغاء صلاحية أي جلسات متبقية مفتوحة.

متطلبات موفري الهوية

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

  • تعيين سمة NameID Format على: urn:oasis:names:tc:SAML:2.0:nameid-format:عابر

  • تكوين مطالبة على موفر التعريف وفقًا لنوع تسجيل الدخول الفردي الذي تقوم بنشره:

    • تسجيل الدخول الفردي (لمؤسسة) - إذا كنت تقوم بتكوين تسجيل الدخول الفردي نيابةً عن مؤسسة ما، يتعيَّن تكوين مطالبة موفر التعريف لتضمين اسم سمة معرف المستخدم بقيمة يتم تعيينها للسمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين البريد الإلكتروني أو اسم المستخدم الأساسي).

    • تسجيل الدخول الفردي للشريك (لمزودي الخدمة فقط) — إذا كنت مسؤولًا عن مزود الخدمة، وتقوم بتكوين تسجيل الدخول الفردي للشريك لتستخدمه مؤسسات العملاء التي يتولى مزود الخدمة إدارتها، يتعيَّن عليك تكوين مطالبة موفر التعريف لتضمين سمة البريد (بدلًا من معرف المستخدم). يجب تعيين القيمة إلى السمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex.

    للحصول على مزيد من المعلومات حول تعيين السمات المُخصَّصة إما لتسجيل الدخول الفردي أو تسجيل الدخول الفردي للشريك، ارجع إلى https://www.cisco.com/go/hybrid-services-directory.

  • تسجيل الدخول الفردي للشريك فقط. يجب أن يدعم موفر الهوية عدة عناوين URL لخدمة تأكيد المستهلك (ACS). للحصول على أمثلة حول كيفية تكوين عدة عناوين URL لخدمة تأكيد المستهلك على موفر الهوية، ارجع إلى:

  • استخدام متصفح مدعوم: نوصي باستخدام أحدث إصدار من Mozilla Firefox أو Google Chrome.

  • قم بتعطيل أي أدوات تمنع النوافذ المنبثقة في متصفحك.

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا.

إنشاء اتفاقية SAML

يجب عليك إنشاء اتفاقية SAML بين خدمة Webex Platform Identity وموفر التعريف الخاص بك.

يجب عليك توفير ملفين للحصول على اتفاقية SAML ناجحة:

  • ملف بيانات تعريف من موفر التعريف لتقديمه إلى Webex.

  • ملف بيانات تعريف من Webex لتقديمه إلى موفر التعريف.

تدفق تبادل ملفات بيانات التعريف بين Webex وموفر التعريف.

هذا مثالٌ على ملف بيانات تعريف PingFederate به بيانات تعريف من موفر التعريف.

لقطة شاشة لملف بيانات تعريف PingFederate يعرض بيانات تعريف من موفر الهوية.

ملف بيانات تعريف من خدمة الهوية.

لقطة شاشة لملف بيانات التعريف من خدمة الهوية.

يرد فيما يلي ما تتوقَّع رؤيته في ملف بيانات التعريف من خدمة الهوية.

لقطة شاشة لملف بيانات التعريف من خدمة الهوية.

  • EntityID — يتم استخدامه لتعريف اتفاقية SAML في تكوين موفر التعريف

  • لا توجد متطلبات لطلب AuthN موقَّع أو أي تأكيدات توقيع، وإنما يتوافق مع ما يطلبه موفر التعريف في ملف بيانات التعريف.

  • ملف بيانات تعريف موقَّع لموفر التعريف للتحقُّق من أن بيانات التعريف تنتمي إلى خدمة التعريف.

لقطة شاشة لملف بيانات تعريف موقعة لموفر التعريف للتحقق من أن بيانات التعريف تنتمي إلى خدمة الهوية.

لقطة شاشة لملف بيانات تعريف موقَّع باستخدام Okta.

تكوين خدمة Webex Identity
1

من عرض العميل في Control Hub ( https://admin.webex.com)، انتقل إلى الإدارة > إعدادات المؤسسة، وقم بالتمرير إلى المصادقة وانقر على إعداد تنشيط SSO لبدء معالج التكوين.

2

حدد Webex باعتباره IdP الخاص بك وانقر على التالي.

3

حدد لقد قرأت وفهمت كيفية عمل Webex IdP وانقر على التالي.

4

إعداد قاعدة توجيه.

بمجرد إضافة قاعدة توجيه، تتم إضافة IdP الخاص بك وعرضه ضمن علامة تبويب موفر التعريف .
للحصول على مزيد من المعلومات، ارجع إلى تسجيل الدخول الفردي باستخدام العديد من مزودي IdP في Webex.

سواء تلقَّيت إشعارًا بانتهاء صلاحية الشهادة، أو كنت ترغب في التحقق من تكوين الدخول الفردي الحالي، يمكنك استخدام ميزات إدارة تسجيل الدخول الفردي في Control Hub لإدارة الشهادات وأنشطة صيانة تسجيل الدخول الفردي العامة.

في حال مواجهة مشكلة في دمج تسجيل الدخول الفردي، ما عليك سوى استخدام المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء تدفق SAML بين موفر التعريف وWebex وإصلاحها.

متطلبات استكشاف أخطاء تسجيل الدخول الفردي وإصلاحها

  • استخدم الوظيفة الإضافية لتتبع SAML لمتصفح Firefox أو Chrome أو Edge.

  • لاستكشاف الأخطاء وإصلاحها، استخدم متصفح الويب الذي قمت بتثبيت أداة تعقب وتصحيح أخطاء SAML باستخدامه، وانتقل إلى إصدار الويب من Webex على https://web.webex.com.

استكشاف أخطاء تدفق SAML بين تطبيق Webex وموفر التعريف وخدمات Webex وإصلاحها

يرد فيما يلي تدفق الرسائل بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر التعريف.

تدفق SAML بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر التعريف.
1

انتقل إلى https://admin.webex.com، ومع تمكين تسجيل الدخول الفردي، سيطلب التطبيق منك تقديم عنوان بريد إلكتروني.

شاشة تسجيل الدخول إلى Control Hub.

يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقَّق بدورها من عنوان البريد الإلكتروني.

تم إرسال المعلومات إلى خدمة Webex للتحقق من عنوان البريد الإلكتروني.

2

يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للحصول على رمز. يتم إعادة توجيه الطلب إلى خدمة الهوية مرورًا بتسجيل الدخول الفردي أو اسم المستخدم وكلمة المرور. يتم إرجاع عنوان URL لخادم المصادقة.

يمكنك رؤية طلب GET في ملف التتبع.

احصل على تفاصيل الطلب في ملف السجل.

في قسم المعلمات، تبحث الخدمة عن رمز OAuth، والبريد الإلكتروني للمستخدم الذي أرسل الطلب، وتفاصيل OAuth الأخرى مثل ClientID وredirectURI وScope.

قسم المعلمات يعرض تفاصيل OAuth مثل ClientID وredirectURI وScope.

3

يطلب تطبيق Webex تأكيد SAML من موفر التعريف باستخدام SAML HTTP POST.

عند تمكين تسجيل الدخول الفردي، يعمل محرك المصادقة الموجود في خدمة التعريف على إعادة التوجيه إلى عنوان URL لموفر التعريف من أجل تسجيل الدخول الفردي. يتم توفير عنوان URL لموفر التعريف عند تبادل بيانات التعريف.

يعيد محرك المصادقة توجيه المستخدمين إلى عنوان URL لموفر التعريف المحدد أثناء تبادل بيانات التعريف.

تحقَّق من أداة التتبع بحثًا عن رسالة SAML POST. تظهر لك رسالة قائمة بروتوكول نقل النص الفائق إلى موفر التعريف المطلوبة من IdPbroker.

رسالة SAML POST إلى موفر التعريف.

تُظهر معلمة RelayState الرد الصحيح من موفر التعريف.

معلمة RelayState التي تعرض الرد الصحيح من موفر الهوية.

راجع إصدار فك تشفير طلب SAML، بحيث لا يكون هناك أي تفويض للمصادقة، ويجب أن تنتقل وجهة الرد إلى عنوان URL الخاص بوجهة موفر التعريف. تأكَّد من تكوين تنسيق Nameid بشكل صحيح في موفر التعريف ضمنentityID (SPNameQualifier) الصحيح

عرض طلب SAML تنسيق nameid الذي تم تكوينه في موفر الهوية.

يتم تحديد تنسيق nameid الخاص بموفر التعريف، وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML.

4

يتم منح مصادقة التطبيق بين موارد الويب الخاصة بنظام التشغيل وموفر التعريف.

اعتمادًا على موفر التعريف الخاص بك وآليات المصادقة التي يتم تكوينها في موفر التعريف، يتم بدء التدفقات المختلفة من موفر التعريف.

العنصر النائب لموفر الهوية لمؤسستك.

5

يرسل التطبيق SAML POST مرة أخرى إلى خدمة التعريف، ويتضمَّن السمات التي يقدمها موفر التعريف والمتفق عليها في الاتفاقية الأوَّلية.

عند نجاح المصادقة، يرسل التطبيق المعلومات الموجودة في رسالة SAML POST إلى خدمة الهوية.

رسالة SAML POST إلى خدمة الهوية.

تُعد RelayState هي ذاتها رسالة HTTP POST السابقة، حيث يخبر التطبيق موفر التعريف عن EntityID الذي يطلب التأكيد.

رسالة HTTP POST تشير إلى EntityID الذي يطلب التأكيد من موفر الهوية.

6

تأكيد لغة توصيف تأكيد الأمان من موفر التعريف إلى Webex.

تأكيد SAML من موفر التعريف إلى Webex.

تأكيد SAML من موفر التعريف إلى Webex.

تأكيد SAML من موفر التعريف إلى Webex: تنسيق NameID غير محدد.

تأكيد SAML من موفر التعريف إلى Webex: البريد الإلكتروني بتنسيق NameID.

تأكيد SAML من موفر التعريف إلى Webex: تنسيق NameID عابر.

7

تتلقَّى خدمة الهوية رمز التفويض الذي يتم استبداله برمز وصول OAuth والتحديث. يتم استخدام هذا الرمز للوصول إلى الموارد نيابة عن المستخدم.

بعد أن تتحقَّق خدمة التعريف من صحة الإجابة من موفر التعريف، فإنها تصدر رمز مصادقة OAuth الذي يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.

يسمح رمز OAuth لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.