إذا كان لديك موفر التعريف الخاص بك في مؤسستك، فيمكنك دمج موفر تعريف SAML مع مؤسستك في Control Hub لتسجيل الدخول الفردي. يتيح تسجيل الدخول الفردي لمستخدميك استخدام مجموعة واحدة مشتركة من بيانات الاعتماد لاستخدامات تطبيق Webex وغيرها من الاستخدامات الأخرى في مؤسستك.
تم اختبار إدارة الوصول إلى الويب وحلول الاتحاد التالية لمؤسسات Webex. يمكنك من خلال الوثائق المرتبطة أدناه استعراض كيفية دمج موفر التعريف المُحدَّد بمؤسسة Webex الخاصة بك.
تغطي هذه الأدلة دمج تسجيل الدخول الفردي لخدمات Webex التي تتم إدارتها في Control Hub ( https://admin.webex.com). إذا كنت تبحث عن دمج تسجيل الدخول الفردي لموقع Webex Meetings (تتم إدارته في إدارة الموقع)، تفضل بقراءة تكوين تسجيل الدخول الفردي لموقع Cisco Webex. إذا كنت ترغب في إعداد تسجيل الدخول الفردي لموفري الهوية المتعددين في مؤسستك، ارجع إلى تسجيل الدخول الفردي باستخدام موفري التعريف المتعددين في Webex. |
إذا كان يتعذَّر عليك العثور على موفر التعريف الخاص بك فيما يلي، يمكنك اتباع الخطوات عالية المستوى في علامة التبويب إعداد تسجيل الدخول الفردي الواردة في هذه المقالة.
يُتيح تسجيل الدخول الفردي (SSO) للمستخدمين تسجيل الدخول إلى Webex بأمان من خلال المصادقة على موفر التعريف المشترك لمؤسستك (IdP). يستخدم تطبيق Webex خدمة Webex للاتصال بخدمة Webex Platform Identity. يتم المصادقة على خدمة التعريف باستخدام موفر التعريف.
يمكنك بدء التكوين في Control Hub. يتناول هذا القسم خطوات عامة عالية المستوى لدمج موفر التعريف التابع لجهة خارجية.
عندما تقوم بتكوين تسجيل الدخول الفردي باستخدام موفر التعريف الخاص بك، يمكنك تعيين أي سمة إلى معرف المستخدم. على سبيل المثال، يمكنك تعيين userPrincipalName أو اسم مستعار للبريد الإلكتروني أو عنوان بريد إلكتروني بديل أو أي سمة مناسبة أخرى لمعرف المستخدم. يجب أن يطابق موفر التعريف أحد عناوين البريد الإلكتروني للمستخدم مع معرف المستخدم عند تسجيل الدخول. تدعم Webex تعيين ما يصل إلى 5 عناوين بريد إلكتروني إلى معرف المستخدم. |
نوصيك بتضمين Single Log Out (SLO) إلى تكوين بيانات التعريف الخاصة بك أثناء إعداد اتحاد Webex SAML. تعد هذه الخطوة حاسمة لضمان إبطال رموز المستخدم في كليهما، موفر الهوية (IdP) وموفر الخدمة (SP). إذا لم يتم تنفيذ هذا التكوين بواسطة مسؤول، ينبه Webex المستخدمين لإغلاق المتصفحات الخاصة بهم لإبطال أي جلسات متبقية مفتوحة. |
فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:
تعيين السمة NameID Format على: urn:oasis:names:tc:SAML:2.0:nameid-format:transient
تكوين مطالبة على موفر التعريف وفقًا لنوع تسجيل الدخول الفردي الذي تقوم بنشره:
تسجيل الدخول الفردي (لمؤسسة) - إذا كنت تقوم بتكوين تسجيل الدخول الفردي نيابةً عن مؤسسة ما، يتعيَّن تكوين مطالبة موفر التعريف لتضمين اسم سمة معرف المستخدم بقيمة يتم تعيينها للسمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين البريد الإلكتروني أو اسم المستخدم الأساسي).
تسجيل الدخول الفردي للشريك (لمزودي الخدمة فقط) — إذا كنت مسؤولًا عن مزود الخدمة، وتقوم بتكوين تسجيل الدخول الفردي للشريك لتستخدمه مؤسسات العملاء التي يتولى مزود الخدمة إدارتها، يتعيَّن عليك تكوين مطالبة موفر التعريف لتضمين سمة البريد (بدلًا من معرف المستخدم). يجب تعيين القيمة إلى السمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex.
للحصول على مزيد من المعلومات حول تعيين السمات المُخصَّصة إما لتسجيل الدخول الفردي أو تسجيل الدخول الفردي للشريك، ارجع إلى https://www.cisco.com/go/hybrid-services-directory.
تسجيل الدخول الفردي للشريك فقط. يجب أن يدعم موفر الهوية عدة عناوين URL لخدمة تأكيد المستهلك (ACS). للحصول على أمثلة حول كيفية تكوين عدة عناوين URL لخدمة تأكيد المستهلك على موفر الهوية، ارجع إلى:
استخدام متصفح مدعوم: نوصي باستخدام أحدث إصدار من Mozilla Firefox أو Google Chrome.
قم بتعطيل أي أدوات تمنع النوافذ المنبثقة في متصفحك.
تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن |
يجب عليك إنشاء اتفاقية SAML بين خدمة Webex Platform Identity وموفر التعريف الخاص بك.
يجب عليك توفير ملفين للحصول على اتفاقية SAML ناجحة:
ملف بيانات تعريف من موفر التعريف لتقديمه إلى Webex.
ملف بيانات تعريف من Webex لتقديمه إلى موفر التعريف.
هذا مثالٌ على ملف بيانات تعريف PingFederate به بيانات تعريف من موفر التعريف.
ملف بيانات تعريف من خدمة الهوية.
يرد فيما يلي ما تتوقَّع رؤيته في ملف بيانات التعريف من خدمة الهوية.
EntityID — يتم استخدامه لتعريف اتفاقية SAML في تكوين موفر التعريف
لا توجد متطلبات لطلب AuthN موقَّع أو أي تأكيدات توقيع، وإنما يتوافق مع ما يطلبه موفر التعريف في ملف بيانات التعريف.
ملف بيانات تعريف موقَّع لموفر التعريف للتحقُّق من أن بيانات التعريف تنتمي إلى خدمة التعريف.
1 | من عرض العميل في Control Hub ( https://admin.webex.com)، انتقل إلى ، قم بالتمرير إلى المصادقة وانقر على تنشيط إعداد SSO لبدء معالج التكوين. |
2 | حدد Webex كموفر IdP الخاص بك وانقر على Next. |
3 | تحقق من أنني قرأت وفهمت كيف يعمل Webex IdP وانقر فوق Next. |
4 | قم بإعداد قاعدة توجيه. بمجرد إضافة قاعدة توجيه، تتم إضافة موفر التعريف الخاص بك وإظهاره ضمن علامة تبويب موفر الهوية.
للحصول على مزيد من المعلومات، ارجع إلى SSO مع موفري التعريف متعددين في Webex.
|
سواء تلقَّيت إشعارًا بانتهاء صلاحية الشهادة، أو كنت ترغب في التحقق من تكوين الدخول الفردي الحالي، يمكنك استخدام ميزات إدارة تسجيل الدخول الفردي في Control Hub لإدارة الشهادات وأنشطة صيانة تسجيل الدخول الفردي العامة.
في حال مواجهة مشكلة في دمج تسجيل الدخول الفردي، ما عليك سوى استخدام المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء تدفق SAML بين موفر التعريف وWebex وإصلاحها.
استخدم الأداة الإضافية لتتبع SAML Firefox أو Chrome أو Edge.
لاستكشاف الأخطاء وإصلاحها، استخدم متصفح الويب الذي قمت بتثبيت أداة تعقب وتصحيح أخطاء SAML باستخدامه، وانتقل إلى إصدار الويب من Webex على https://web.webex.com.
يرد فيما يلي تدفق الرسائل بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر التعريف.
1 | انتقل إلى https://admin.webex.com، ومع تمكين تسجيل الدخول الفردي، سيطلب التطبيق منك تقديم عنوان بريد إلكتروني.
يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقَّق بدورها من عنوان البريد الإلكتروني.
|
2 | يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للحصول على رمز. يتم إعادة توجيه الطلب إلى خدمة الهوية مرورًا بتسجيل الدخول الفردي أو اسم المستخدم وكلمة المرور. يتم إرجاع عنوان URL لخادم المصادقة. يمكنك رؤية طلب GET في ملف التتبع. في قسم المعلمات، تبحث الخدمة عن رمز OAuth، والبريد الإلكتروني للمستخدم الذي أرسل الطلب، وتفاصيل OAuth الأخرى مثل ClientID وredirectURI وScope. |
3 | يطلب تطبيق Webex تأكيد SAML من موفر التعريف باستخدام SAML HTTP POST.
عند تمكين تسجيل الدخول الفردي، يعمل محرك المصادقة الموجود في خدمة التعريف على إعادة التوجيه إلى عنوان URL لموفر التعريف من أجل تسجيل الدخول الفردي. يتم توفير عنوان URL لموفر التعريف عند تبادل بيانات التعريف. تحقَّق من أداة التتبع بحثًا عن رسالة SAML POST. تظهر لك رسالة قائمة بروتوكول نقل النص الفائق إلى موفر التعريف المطلوبة من IdPbroker. تُظهر معلمة RelayState الرد الصحيح من موفر التعريف. راجع إصدار فك تشفير طلب SAML، بحيث لا يكون هناك أي تفويض للمصادقة، ويجب أن تنتقل وجهة الرد إلى عنوان URL الخاص بوجهة موفر التعريف. تأكَّد من تكوين تنسيق Nameid بشكل صحيح في موفر التعريف ضمنentityID (SPNameQualifier) الصحيح يتم تحديد تنسيق nameid الخاص بموفر التعريف، وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML. |
4 | يتم منح مصادقة التطبيق بين موارد الويب الخاصة بنظام التشغيل وموفر التعريف.
اعتمادًا على موفر التعريف الخاص بك وآليات المصادقة التي يتم تكوينها في موفر التعريف، يتم بدء التدفقات المختلفة من موفر التعريف. |
5 | يرسل التطبيق SAML POST مرة أخرى إلى خدمة التعريف، ويتضمَّن السمات التي يقدمها موفر التعريف والمتفق عليها في الاتفاقية الأوَّلية.
عند نجاح المصادقة، يرسل التطبيق المعلومات الموجودة في رسالة SAML POST إلى خدمة الهوية. تُعد RelayState هي ذاتها رسالة HTTP POST السابقة، حيث يخبر التطبيق موفر التعريف عن EntityID الذي يطلب التأكيد. |
6 | تأكيد لغة توصيف تأكيد الأمان من موفر التعريف إلى Webex. |
7 | تتلقَّى خدمة الهوية رمز التفويض الذي يتم استبداله برمز وصول OAuth والتحديث. يتم استخدام هذا الرمز للوصول إلى الموارد نيابة عن المستخدم.
بعد أن تتحقَّق خدمة التعريف من صحة الإجابة من موفر التعريف، فإنها تصدر رمز مصادقة OAuth الذي يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة. |