قبل دمج تسجيل الدخول الفردي (SSO)، يستخدم Webex المصادقة الأساسية بشكل افتراضي. تتطلب المصادقة الأساسية من المستخدمين إدخال اسم المستخدم وكلمة المرور الخاصة بـ Webex في كل مرة يقومون فيها بتسجيل الدخول. إذا كان لديك موفر هوية خاص بك (IdP) في مؤسستك، فيمكنك دمجه مع مؤسستك في Control Hub لـ SSO. يتيح SSO لمستخدميك استخدام مجموعة واحدة مشتركة من بيانات الاعتماد لتطبيقات Webex في مؤسستك.

إذا كنت تفضل استخدام المصادقة الأساسية، فلن تحتاج إلى اتخاذ أي إجراء. ومع ذلك، ضع في اعتبارك أن المصادقة الأساسية قد تكون أقل أمانًا وأقل ملاءمة للمستخدمين من تسجيل الدخول الفردي (SSO)، خاصةً إذا كانت مؤسستك تستخدم بالفعل موفر هوية. لتعزيز الأمان باستخدام المصادقة الأساسية، نوصي باستخدام المصادقة متعددة العوامل (MFA) في Control Hub. لمزيد من المعلومات، راجع تمكين تكامل المصادقة متعددة العوامل في Control Hub.

تم اختبار إدارة الوصول إلى الويب وحلول الاتحاد التالية لمؤسسات Webex. يمكنك من خلال الوثائق المرتبطة أدناه استعراض كيفية دمج موفر التعريف المُحدَّد بمؤسسة Webex الخاصة بك.

تغطي هذه الأدلة دمج تسجيل الدخول الفردي لخدمات Webex التي تتم إدارتها في Control Hub ( https://admin.webex.com). إذا كنت تبحث عن دمج تسجيل الدخول الفردي لموقع Webex Meetings (تتم إدارته في إدارة الموقع)، تفضل بقراءة تكوين تسجيل الدخول الفردي لموقع Cisco Webex.

إذا كنت تريد إعداد SSO لموفري هوية متعددين في مؤسستك، راجع SSO مع موفري هوية متعددين في Webex.

إذا كان يتعذَّر عليك العثور على موفر التعريف الخاص بك فيما يلي، يمكنك اتباع الخطوات عالية المستوى في علامة التبويب إعداد تسجيل الدخول الفردي الواردة في هذه المقالة.

يُتيح تسجيل الدخول الفردي (SSO) للمستخدمين تسجيل الدخول إلى Webex بأمان من خلال المصادقة على موفر التعريف المشترك لمؤسستك (IdP). يستخدم تطبيق Webex خدمة Webex للاتصال بخدمة Webex Platform Identity. يتم المصادقة على خدمة التعريف باستخدام موفر التعريف.

يمكنك بدء التكوين في Control Hub. يتناول هذا القسم خطوات عامة عالية المستوى لدمج موفر التعريف التابع لجهة خارجية.

عندما تقوم بتكوين تسجيل الدخول الفردي باستخدام موفر التعريف الخاص بك، يمكنك تعيين أي سمة إلى معرف المستخدم. على سبيل المثال، يمكنك تعيين userPrincipalName أو اسم مستعار للبريد الإلكتروني أو عنوان بريد إلكتروني بديل أو أي سمة مناسبة أخرى لمعرف المستخدم. يجب أن يطابق موفر التعريف أحد عناوين البريد الإلكتروني للمستخدم مع معرف المستخدم عند تسجيل الدخول. تدعم Webex تعيين ما يصل إلى 5 عناوين بريد إلكتروني إلى معرف المستخدم.

نوصيك بتضمين تسجيل الخروج الفردي (SLO) إلى تكوين البيانات الوصفية أثناء إعداد اتحاد Webex SAML. تعتبر هذه الخطوة ضرورية لضمان إبطال رموز المستخدم لدى كل من موفر الهوية (IdP) وموفر الخدمة (SP). إذا لم يقم المسؤول بتنفيذ هذا التكوين، فإن Webex ينبه المستخدمين إلى إغلاق متصفحاتهم لإبطال أي جلسات مفتوحة.

متطلبات موفري الهوية

فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:

  • تعيين سمة تنسيق معرف الاسم إلى urn:oasis:names:tc:SAML:2.0:nameid-format:عابر

  • تكوين مطالبة على موفر التعريف وفقًا لنوع تسجيل الدخول الفردي الذي تقوم بنشره:

    • تسجيل الدخول الفردي (لمؤسسة) - إذا كنت تقوم بتكوين تسجيل الدخول الفردي نيابةً عن مؤسسة ما، يتعيَّن تكوين مطالبة موفر التعريف لتضمين اسم سمة معرف المستخدم بقيمة يتم تعيينها للسمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين البريد الإلكتروني أو اسم المستخدم الأساسي).

    • تسجيل الدخول الفردي للشريك (لمزودي الخدمة فقط) — إذا كنت مسؤولًا عن مزود الخدمة، وتقوم بتكوين تسجيل الدخول الفردي للشريك لتستخدمه مؤسسات العملاء التي يتولى مزود الخدمة إدارتها، يتعيَّن عليك تكوين مطالبة موفر التعريف لتضمين سمة البريد (بدلًا من معرف المستخدم). يجب تعيين القيمة إلى السمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex.

    للحصول على مزيد من المعلومات حول تعيين السمات المُخصَّصة إما لتسجيل الدخول الفردي أو تسجيل الدخول الفردي للشريك، ارجع إلى https://www.cisco.com/go/hybrid-services-directory.

  • تسجيل الدخول الفردي للشريك فقط. يجب أن يدعم موفر الهوية عدة عناوين URL لخدمة تأكيد المستهلك (ACS). للحصول على أمثلة حول كيفية تكوين عدة عناوين URL لخدمة تأكيد المستهلك على موفر الهوية، ارجع إلى:

  • استخدام متصفح مدعوم: نوصي باستخدام أحدث إصدار من Mozilla Firefox أو Google Chrome.

  • قم بتعطيل أي أدوات تمنع النوافذ المنبثقة في متصفحك.

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، تم توثيق خطوات التكامل لـ nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress للتكامل مع SSO ولكنها خارج نطاق وثائقنا.

إنشاء اتفاقية SAML

يجب عليك إنشاء اتفاقية SAML بين خدمة Webex Platform Identity وموفر التعريف الخاص بك.

يجب عليك توفير ملفين للحصول على اتفاقية SAML ناجحة:

  • ملف بيانات تعريف من موفر التعريف لتقديمه إلى Webex.

  • ملف بيانات تعريف من Webex لتقديمه إلى موفر التعريف.

تدفق تبادل ملفات البيانات الوصفية بين Webex ومزود الهوية.

هذا مثالٌ على ملف بيانات تعريف PingFederate به بيانات تعريف من موفر التعريف.

لقطة شاشة لملف بيانات التعريف PingFederate الذي يعرض بيانات التعريف من موفر الهوية.

ملف بيانات تعريف من خدمة الهوية.

لقطة شاشة لملف البيانات الوصفية من خدمة الهوية.

يرد فيما يلي ما تتوقَّع رؤيته في ملف بيانات التعريف من خدمة الهوية.

لقطة شاشة لملف البيانات الوصفية من خدمة الهوية.

  • EntityID — يتم استخدامه لتعريف اتفاقية SAML في تكوين موفر التعريف

  • لا توجد متطلبات لطلب AuthN موقَّع أو أي تأكيدات توقيع، وإنما يتوافق مع ما يطلبه موفر التعريف في ملف بيانات التعريف.

  • ملف بيانات تعريف موقَّع لموفر التعريف للتحقُّق من أن بيانات التعريف تنتمي إلى خدمة التعريف.

لقطة شاشة لملف بيانات وصفية موقّع لمزود الهوية للتحقق من أن البيانات الوصفية تنتمي إلى خدمة الهوية.

لقطة شاشة لملف البيانات الوصفية الموقّع باستخدام Okta.

تكوين خدمة Webex Identity
1

سجل الدخول إلى مركزالتحكم.

2

انتقل إلى الإدارة > حماية > المصادقة.

3

انتقل إلى علامة التبويب موفر الهوية وانقر فوق تنشيط SSO.

4

حدد Webex كموفر هوية خاص بك وانقر فوق التالي.

5

تحقق من لقد قرأت وفهمت كيفية عمل Webex IdP وانقر فوق التالي.

6

إعداد قاعدة التوجيه.

بمجرد إضافة قاعدة التوجيه، تتم إضافة موفر الهوية الخاص بك ويظهر ضمن علامة التبويب موفر الهوية.
لمزيد من المعلومات، راجع SSO مع موفري هوية متعددين في Webex.

سواء تلقَّيت إشعارًا بانتهاء صلاحية الشهادة، أو كنت ترغب في التحقق من تكوين الدخول الفردي الحالي، يمكنك استخدام ميزات إدارة تسجيل الدخول الفردي في Control Hub لإدارة الشهادات وأنشطة صيانة تسجيل الدخول الفردي العامة.

في حال مواجهة مشكلة في دمج تسجيل الدخول الفردي، ما عليك سوى استخدام المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء تدفق SAML بين موفر التعريف وWebex وإصلاحها.

متطلبات استكشاف أخطاء تسجيل الدخول الفردي وإصلاحها

  • استخدم الوظيفة الإضافية لتتبع SAML لمتصفح Firefoxأو Chromeأو Edge.

  • لاستكشاف الأخطاء وإصلاحها، استخدم متصفح الويب الذي قمت بتثبيت أداة تعقب وتصحيح أخطاء SAML باستخدامه، وانتقل إلى إصدار الويب من Webex على https://web.webex.com.

استكشاف أخطاء تدفق SAML بين تطبيق Webex وموفر التعريف وخدمات Webex وإصلاحها

يرد فيما يلي تدفق الرسائل بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر التعريف.

تدفق SAML بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex ومزود الهوية.
1

انتقل إلى https://admin.webex.com، ومع تمكين تسجيل الدخول الفردي، سيطلب التطبيق منك تقديم عنوان بريد إلكتروني.

شاشة تسجيل الدخول إلى مركز التحكم.

يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقَّق بدورها من عنوان البريد الإلكتروني.

تم إرسال المعلومات إلى خدمة Webex للتحقق من عنوان البريد الإلكتروني.

2

يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للحصول على رمز. يتم إعادة توجيه الطلب إلى خدمة الهوية مرورًا بتسجيل الدخول الفردي أو اسم المستخدم وكلمة المرور. يتم إرجاع عنوان URL لخادم المصادقة.

يمكنك رؤية طلب GET في ملف التتبع.

احصل على تفاصيل الطلب في ملف السجل.

في قسم المعلمات، تبحث الخدمة عن رمز OAuth، والبريد الإلكتروني للمستخدم الذي أرسل الطلب، وتفاصيل OAuth الأخرى مثل ClientID وredirectURI وScope.

قسم المعلمات يعرض تفاصيل OAuth مثل ClientID وredirectURI والنطاق.

3

يطلب تطبيق Webex تأكيد SAML من موفر التعريف باستخدام SAML HTTP POST.

عند تمكين تسجيل الدخول الفردي، يعمل محرك المصادقة الموجود في خدمة التعريف على إعادة التوجيه إلى عنوان URL لموفر التعريف من أجل تسجيل الدخول الفردي. يتم توفير عنوان URL لموفر التعريف عند تبادل بيانات التعريف.

يعمل محرك المصادقة على إعادة توجيه المستخدمين إلى عنوان URL لمزود الهوية المحدد أثناء تبادل البيانات الوصفية.

تحقَّق من أداة التتبع بحثًا عن رسالة SAML POST. تظهر لك رسالة قائمة بروتوكول نقل النص الفائق إلى موفر التعريف المطلوبة من IdPbroker.

رسالة SAML POST إلى موفر الهوية.

تُظهر معلمة RelayState الرد الصحيح من موفر التعريف.

معلمة RelayState تظهر الرد الصحيح من موفر الهوية.

راجع إصدار فك تشفير طلب SAML، بحيث لا يكون هناك أي تفويض للمصادقة، ويجب أن تنتقل وجهة الرد إلى عنوان URL الخاص بوجهة موفر التعريف. تأكَّد من تكوين تنسيق Nameid بشكل صحيح في موفر التعريف ضمنentityID (SPNameQualifier) الصحيح

طلب SAML يظهر تنسيق nameid الذي تم تكوينه في موفر الهوية.

يتم تحديد تنسيق nameid الخاص بموفر التعريف، وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML.

4

يتم منح مصادقة التطبيق بين موارد الويب الخاصة بنظام التشغيل وموفر التعريف.

اعتمادًا على موفر التعريف الخاص بك وآليات المصادقة التي يتم تكوينها في موفر التعريف، يتم بدء التدفقات المختلفة من موفر التعريف.

عنصر نائب لمزود الهوية لمنظمتك.

5

يرسل التطبيق SAML POST مرة أخرى إلى خدمة التعريف، ويتضمَّن السمات التي يقدمها موفر التعريف والمتفق عليها في الاتفاقية الأوَّلية.

عند نجاح المصادقة، يرسل التطبيق المعلومات الموجودة في رسالة SAML POST إلى خدمة الهوية.

رسالة SAML POST إلى خدمة الهوية.

تُعد RelayState هي ذاتها رسالة HTTP POST السابقة، حيث يخبر التطبيق موفر التعريف عن EntityID الذي يطلب التأكيد.

رسالة HTTP POST تشير إلى معرف الكيان الذي يطلب التأكيد من موفر الهوية.

6

تأكيد لغة توصيف تأكيد الأمان من موفر التعريف إلى Webex.

تأكيد SAML من موفر الهوية إلى Webex.

تأكيد SAML من موفر الهوية إلى Webex.

تأكيد SAML من موفر الهوية إلى Webex: تنسيق NameID غير محدد.

تأكيد SAML من موفر الهوية إلى Webex: تنسيق البريد الإلكتروني NameID.

تأكيد SAML من موفر الهوية إلى Webex: تنسيق NameID مؤقت.

7

تتلقَّى خدمة الهوية رمز التفويض الذي يتم استبداله برمز وصول OAuth والتحديث. يتم استخدام هذا الرمز للوصول إلى الموارد نيابة عن المستخدم.

بعد أن تتحقَّق خدمة التعريف من صحة الإجابة من موفر التعريف، فإنها تصدر رمز مصادقة OAuth الذي يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.

رمز OAuth يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.