تم اختبار حلول إدارة الوصول إلى الويب والاتحاد التالية لمؤسسات Webex.ترشدك المستندات المرتبطة أدناه إلى كيفية دمج موفر الهوية المحدد (IdP) مع مؤسسة Webex الخاصة بك.


 

تغطي هذه الأدلة تكامل الدخول الموحد (SSO) لخدمات Webex التي تتم إدارتها في مركز التحكم ( https://admin.webex.com).إذا كنت تبحث عن تكامل الدخول الموحد (SSO) لموقع اجتماعات Webex (تتم إدارته في إدارة الموقع)، فاقرأ تكوين تسجيل الدخول الموحد لموقع Cisco Webex.

إذا كنت لا ترى موفر الهوية مدرجا أدناه، فاتبع الخطوات عالية المستوى في علامة التبويب إعداد الدخول الموحد (SSO) في هذه المقالة.

يمكن الدخول الموحد (SSO) المستخدمين من تسجيل الدخول إلى Webex بأمان من خلال المصادقة مع موفر الهوية المشتركة (IdP) لمؤسستك.يستخدم تطبيق Webex خدمة Webex للتواصل مع خدمة هوية منصة Webex.تتم مصادقة خدمة الهوية مع موفر الهوية (IdP).

بدء التكوين في مركز التحكم.يلتقط هذا القسم خطوات عامة عالية المستوى لدمج موفر هوية تابع لجهة خارجية.


 
عند تكوين الدخول الموحد (SSO) باستخدام موفر الهوية، يمكنك تعيين أي سمة إلى uid.على سبيل المثال، قم بتعيين userPrincipalName أو اسم مستعار للبريد الإلكتروني أو عنوان بريد إلكتروني بديل أو أي سمة أخرى مناسبة إلى uid.يجب أن يطابق موفر الهوية أحد عناوين البريد الإلكتروني للمستخدم مع uid عند تسجيل الدخول.يدعم Webex تعيين ما يصل إلى 5 عناوين بريد إلكتروني إلى uid.

بالنسبة إلى الدخول الموحد (SSO) ومركز التحكم، يجب أن يتوافق موفر الهوية مع مواصفات SAML 2.0.بالإضافة إلى ذلك، يجب تكوين معرفات الهوية بالطريقة التالية:

  • تعيين السمة NameID Format (تنسيق NameID) إلى urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • تكوين مطالبة على موفر الهوية وفقا لنوع الدخول الموحد (SSO) الذي تقوم بنشره:

    • الدخول الموحد (SSO) (لمؤسسة)—إذا كنت تقوم بتكوين الدخول الموحد (SSO) نيابة عن مؤسسة، فقم بتكوين مطالبة موفر الهوية لتضمين اسم سمة uid بقيمة تم تعيينها إلى السمة التي تم اختيارها في "موصل الدليل"، أو سمة المستخدم التي تطابق السمة التي تم اختيارها في خدمة هوية Webex.(قد تكون هذه السمة عناوين البريد الإلكتروني أو اسم المستخدم الرئيسي، على سبيل المثال.)

    • الدخول الموحد (SSO) للشركاء (لموفري الخدمة فقط)—إذا كنت مسؤولا عن مقدم الخدمة وتقوم بتكوين الدخول الموحد (SSO) للشريك لتستخدمه مؤسسات العملاء التي يديرها موفر الخدمة، فقم بتكوين مطالبة موفر الهوية لتضمين سمة البريد (بدلا من uid).يجب تعيين القيمة إلى السمة التي تم اختيارها في موصل الدليل أو سمة المستخدم التي تطابق السمة التي تم اختيارها في خدمة هوية Webex.


     

    لمزيد من المعلومات حول تعيين السمات المخصصة للدخول الموحد (SSO) أو الدخول الموحد (SSO) للشريك، راجع https://www.cisco.com/go/hybrid-services-directory.

  • الدخول الموحد (SSO) للشركاء فقط.يجب أن يدعم موفر الهوية عناوين URL متعددة لخدمة المستهلك للتأكيد (ACS).للحصول على أمثلة حول كيفية تكوين عناوين URL متعددة ل ACS على موفر الهوية، راجع:

  • استخدام متصفح مدعوم:نوصي بأحدث إصدار من موزيلا فايرفوكس أو جوجل كروم.

  • قم بتعطيل أي أدوات حظر النوافذ المنبثقة في متصفحك.


 

تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات.على سبيل المثال، خطوات التكامل ل nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثقة.تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا.

يجب عليك إنشاء اتفاقية SAML بين خدمة هوية منصة Webex وموفر الهوية الخاص بك.

تحتاج إلى ملفين لتحقيق اتفاقية SAML ناجحة:

  • ملف بيانات تعريف من موفر الهوية، لإعطائه ل Webex.

  • ملف بيانات وصفية من Webex، لإعطائه لموفر الهوية.

هذا مثال على ملف بيانات تعريف PingFederate مع بيانات تعريف من موفر الهوية.

ملف بيانات التعريف من خدمة الهوية.

فيما يلي ما تتوقع رؤيته في ملف بيانات التعريف من خدمة الهوية.

  • EntityID—يستخدم هذا لتحديد اتفاقية SAML في تهيئة موفر الهوية

  • لا يوجد أي شرط لطلب AuthN موقع أو أي تأكيدات إشارة، فهو يتوافق مع ما يطلبه موفر الهوية في ملف البيانات الوصفية.

  • ملف بيانات تعريف موقع لموفر الهوية للتحقق من أن بيانات التعريف تنتمي إلى خدمة الهوية.

1

من طريقة عرض العميل في Control Hub ( https://admin.webex.com) ، انتقل إلى إعدادات الإدارة > المؤسسة، وقم بالتمرير إلى المصادقة وقم بالتبديل بين إعداد تسجيل الدخول الأحادي لبدء تشغيل معالج التكوين.

2

اختر نوع الشهادة:

  • توقيع ذاتي من Cisco—نوصي بتحديد هذا الخيار للسماح لنا بأن نصبح SP.أيضا ، عليك فقط تجديد الشهادة كل خمس سنوات.
  • موقع من قبل مرجعمصدق عام—هذا الخيار آمن ومستحسن إذا حصلت على شهاداتك موقعة من مرجع مصدق عام مثل Hydrant أو Godaddy.ومع ذلك ، يجب عليك تجديد الشهادة مرة واحدة في السنة.
3

انقر فوق تنزيل بيانات التعريف وانقر فوق التالي.

4

تقوم خدمة هوية النظام الأساسي Webex بالتحقق من صحة ملف بيانات التعريف من موفر الهوية.

هناك طريقتان ممكنتان للتحقق من صحة البيانات الوصفية من موفر هوية العميل:

  • يوفر موفر هوية العميل توقيعا في بيانات التعريف الموقعة بواسطة مرجع مصدق جذر عام.

  • يوفر موفر هوية العميل مرجعا مصدقا خاصا موقعا ذاتيا أو لا يوفر توقيعا لبيانات التعريف الخاصة به.هذا الخيار أقل أمانا.

5

اختبر اتصال الدخول الموحد (SSO) قبل تمكينه.تعمل هذه الخطوة مثل التشغيل الجاف ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين الدخول الموحد (SSO) في الخطوة التالية.


 

للاطلاع على تجربة تسجيل الدخول الموحد (SSO) مباشرة، يمكنك أيضا النقر على نسخ عنوان URL إلى الحافظة من هذه الشاشة ولصقه في نافذة متصفح خاصة.من هناك، يمكنك الاطلاع على تسجيل الدخول باستخدام الدخول الموحد (SSO).يساعد ذلك في إزالة أي معلومات يتم تخزينها مؤقتا في متصفح الويب الخاص بك والتي قد توفر نتيجة إيجابية خاطئة عند اختبار تهيئة الدخول الموحد (SSO).

6

إذا نجح الاختبار، فقم بتشغيل الدخول الموحد (SSO) واحفظ التغييرات.

يجب حفظ التغييرات حتى يصبح الدخول الموحد (SSO) ساري المفعول في مؤسستك.

سواء تلقيت إشعارا حول شهادة منتهية الصلاحية أو كنت ترغب في التحقق من تهيئة الدخول الموحد (SSO) الحالية، يمكنك استخدام ميزات إدارة الدخول الموحد (SSO) في مركز التحكم لإدارة الشهادات وأنشطة صيانة الدخول الموحد (SSO) العامة.

إذا واجهت مشكلات في تكامل الدخول الموحد (SSO)، فاستخدم المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء تدفق SAML بين موفر الهوية وWebex وإصلاحها.

  • استخدم ملحق تتبع SAML ل Firefox أو Chrome.

  • لاستكشاف الأخطاء وإصلاحها، استخدم متصفح الويب الذي قمت بتثبيت أداة تصحيح أخطاء تتبع SAML عليه وانتقل إلى إصدار الويب من Webex على . https://web.webex.com

فيما يلي تدفق الرسائل بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر الهوية (IdP).

1

انتقل إلى https://admin.webex.com الدخول الموحد (SSO) ومع تمكين الدخول الموحد (SSO)، يطالب التطبيق بعنوان بريد إلكتروني.

يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقق من عنوان البريد الإلكتروني.

2

يرسل التطبيق طلب GET إلى خادم تفويض OAuth للحصول على رمز مميز.تتم إعادة توجيه الطلب إلى خدمة الهوية إلى الدخول الموحد (SSO) أو تدفق اسم المستخدم وكلمة المرور.يتم إرجاع عنوان URL لخادم المصادقة.

يمكنك رؤية طلب GET في ملف التتبع.

في قسم المعلمات ، تبحث الخدمة عن رمز OAuth والبريد الإلكتروني للمستخدم الذي أرسل الطلب وتفاصيل OAuth الأخرى مثل ClientID و redirectURI و Scope.

3

يطلب تطبيق Webex تأكيد SAML من موفر الهوية باستخدام منشور SAML HTTP.

عند تمكين الدخول الموحد (SSO)، يقوم محرك المصادقة في خدمة الهوية بإعادة التوجيه إلى عنوان URL لموفر الهوية (SSO) لموفر الهوية.تم توفير عنوان URL لموفر الهوية عند تبادل البيانات الوصفية.

تحقق من أداة التتبع لرسالة SAML POST.تشاهد رسالة HTTP POST إلى موفر الهوية الذي يطلبه موفر الهوية.

تعرض المعلمة RelayState الرد الصحيح من موفر الهوية.

راجع إصدار فك تشفير طلب SAML ، ولا يوجد تفويض AuthN ويجب أن تنتقل وجهة الإجابة إلى عنوان URL المقصود لموفر الهوية.تأكد من تكوين تنسيق nameid بشكل صحيح في موفر الهوية ضمن معرف الكيان الصحيح (SPNameQualifier)

يتم تحديد تنسيق اسم موفر الهوية وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML.

4

تحدث مصادقة التطبيق بين موارد ويب نظام التشغيل وموفر الهوية.

استنادا إلى موفر الهوية وآليات المصادقة التي تم تكوينها في موفر الهوية، يتم بدء تدفقات مختلفة من موفر الهوية.

5

يرسل التطبيق منشور HTTP مرة أخرى إلى خدمة الهوية ويتضمن السمات التي يوفرها موفر الهوية والمتفق عليها في الاتفاقية الأولية.

عند نجاح المصادقة، يرسل التطبيق المعلومات في رسالة SAML POST إلى خدمة الهوية.

RelayState هي نفسها رسالة HTTP POST السابقة حيث يخبر التطبيق موفر الهوية الذي يطلب تأكيد معرف الكيان.

6

تأكيد SAML من موفر الهوية إلى Webex.

7

تتلقى خدمة الهوية رمز تفويض يتم استبداله برمز وصول OAuth وتحديث رمزي.يستخدم هذا الرمز المميز للوصول إلى الموارد نيابة عن المستخدم.

بعد أن تتحقق خدمة الهوية من صحة الإجابة من موفر الهوية، فإنها تصدر رمزا مميزا ل OAuth يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.