Следните решения за управление на интернет достъп и федериране бяха тествани за организации на Webex. Документите, към които има връзка по-долу, ви обясняват стъпките за интегриране на този конкретен доставчик на самоличност (IdP) с вашата организация на Webex.

Тези ръководства обхващат интегрирането на SSO за услугите на Webex, които се управляват в Control Hub ( https://admin.webex.com). Ако търсите интегриране на SSO на сайт на Webex Meetings (управляван в „Администрация на сайта“), прочетете Конфигуриране на еднократна идентификация за сайт на Cisco Webex.

Ако искате да настроите SSO за множество доставчици на самоличност във вашата организация, вижте SSO с множество IdP в Webex.

Ако не виждате вашия доставчик на самоличност в списъка по-долу, следвайте стъпките от високо ниво в раздела Настройка на еднократна идентификация в тази статия.

Еднократната идентификация (SSO) позволява на потребителите да влизат в Webex по защитен начин, като се удостоверяват пред общия доставчик на самоличност (IdP) на вашата организация. Приложението Webex използва услугата на Webex, за да комуникира с услугата за самоличност в платформата на Webex. Услугата за самоличност удостоверява с вашия доставчик на самоличност (IdP).

Започвате конфигуриране в Control Hub. В този раздел са събрани общи стъпки на високо ниво за интегриране на друг IdP.

Когато конфигурирате SSO с вашия IdP, можете да съпоставите всеки атрибут с uid. Например съпоставете userPrincipalName, имейл псевдоним, алтернативен имейл адрес или всеки друг подходящ атрибут с uid. IdP трябва да съпостави един от имейл адресите на потребителя с uid при влизане. Webex поддържа съпоставяне на до 5 имейл адреса с uid.

Препоръчваме ви да включите еднократното излизане (SLO) в конфигурацията на метаданните, докато настройвате федерирането на Webex SAML. Тази стъпка е от решаващо значение, за да се гарантира, че потребителските маркери са невалидни както в доставчика на самоличност (IdP), така и в доставчика на услуги (SP). Ако тази конфигурация не се извърши от администратор, тогава Webex предупреждава потребителите да затворят браузърите си и да обезсилят всички останали отворени сесии.

Изисквания към доставчиците на самоличност

За SSO и Control Hub, IdP трябва да отговарят на спецификацията SAML 2.0. В допълнение, IdP трябва да бъдат конфигурирани по следния начин:

  • Задайте атрибута NameID Format на urn:oasis:names:tc:SAML:2.0:nameid-format:преходно

  • Конфигурирайте заявка към IdP според типа SSO, който разполагате:

    • SSO (за организация) – ако конфигурирате SSO от името на организация, конфигурирайте заявката към IdP да включва името на атрибута uid със стойност, която е съпоставена с атрибута, избран в Directory Connector, или потребителския атрибут, който съвпада с този, избран в Webex Identity Service. (Този атрибут може да бъде например E-mail-Addresses или User-Principal-Name.)

    • SSO на партньор (само за доставчици на услуги) – ако сте администратор на доставчик на услуги, конфигуриращ еднократна идентификация на партньор, която да се използва от клиентските организации, управлявани от доставчика на услуги, конфигурирайте заявката към IdP така, че да включва атрибута mail (а не uid). Стойността трябва да е съпоставена с атрибута, избран в Directory Connector, или потребителския атрибут, който съвпада с този, избран в Webex Identity Service.

    За повече информация относно съпоставянето на персонализирани атрибути за SSO или SSO на партньор вижте https://www.cisco.com/go/hybrid-services-directory.

  • Само за SSO на партньор. Доставчикът на самоличност трябва да поддържа множество URL адреси на Assertion Consumer Service (ACS). За примери как да конфигурирате множество URL адреси на ACS на доставчик на самоличност, вижте:

  • Използвайте поддържан браузър: препоръчваме най-новата версия на Mozilla Firefox или Google Chrome.

  • Деактивирайте всички програми за блокиране на изскачащите прозорци във вашия браузър.

Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Сключване на SAML споразумение

Трябва да сключите SAML споразумение между услугата за самоличност в платформата на Webex и вашия IdP.

Имате нужда от два файла, за да постигнете успешно SAML споразумение:

  • Файл с метаданни от IdP, който да се даде на Webex.

  • Файл с метаданни от Webex, който да се даде на IdP.

Поток на обмен на файлове с метаданни между Webex и доставчика на самоличност.

Това е пример за файл с метаданни PingFederate с метаданни от IdP.

Екранна снимка на файл с метаданни на PingFederate, показващ метаданни от доставчика на самоличност.

Файл с метаданни от услугата за самоличност.

Екранна снимка на файла с метаданни от услугата за самоличност.

Ето какво очаквате да видите във файла с метаданни от услугата за самоличност.

Екранна снимка на файла с метаданни от услугата за самоличност.

  • EntityID – използва се за идентифициране на SAML споразумението в конфигурацията на IdP

  • Няма изискване за подписана AuthN заявка или някакви потвърждения за знак, съответства на това, което IdP иска във файла с метаданни.

  • Подписан файл с метаданни за IdP, за да провери дали метаданните принадлежат на услугата за самоличност.

Екранна снимка на подписан файл с метаданни, за да може доставчикът на самоличност да потвърди, че метаданните принадлежат на услугата за самоличност.

Екранна снимка на подписан файл с метаданни с използване на Okta.

Конфигуриране на Webex Identity Service
1

От изгледа за клиент в Control Hub (https://admin.webex.com) отидете на Управление > Настройки на организацията, превъртете до Удостоверяване и щракнете върху Активиране на настройката за SSO , за да стартирате съветника за конфигуриране.

2

Изберете Webex като ваш IdP и щракнете върху Напред.

3

Проверете Прочетох и разбрах как работи IdP на Webex и щракнете върху Напред.

4

Настройте правило за маршрутизиране.

След като добавите правило за маршрутизиране, вашият IdP се добавя и се показва под раздела Доставчик на самоличност .
За повече информация вижте SSO с множество IdP в Webex.

Независимо дали сте получили известие за изтичащ сертификат, или искате да проверите съществуващата си конфигурация за SSO, можете да използвате Функции за управление на еднократната идентификация (SSO) в Control Hub за управление на сертификати и общи дейности по поддръжка на SSO.

Ако срещнете проблеми с интегрирането на SSO, използвайте изискванията и процедурата в този раздел, за да отстраните неизправности в потока на SAML между вашия IdP и Webex.

Изисквания за отстраняване на неизправности в SSO

  • Използвайте добавката за SAML проследяване за Firefox, Chrome или Edge.

  • За да отстраните неизправности, използвайте интернет браузъра, където сте инсталирали инструмента за отстраняване на грешки при проследяване на SAML, и отидете на интернет версията на Webex на адрес https://web.webex.com.

Отстранете неизправности в потока на SAML между приложението Webex, вашия IdP и услугите на Webex

Следва потокът от съобщения между приложението Webex, услугите на Webex, услугата за самоличност в платформата на Webex и доставчика на самоличност (IdP).

SAML поток между приложението Webex, услугите на Webex, услугата за самоличност в платформата на Webex и доставчика на самоличност.
1

Отидете на https://admin.webex.com, и при активирана SSO приложението подканва за имейл адрес.

Влизане в екрана на Control Hub.

Приложението изпраща информацията до услугата на Webex, която потвърждава имейл адреса.

Информация, изпратена на услугата Webex за потвърждение на имейл адреса.

2

Приложението изпраща GET заявка до сървъра за OAuth упълномощаване за маркер. Заявката се пренасочва към услугата за самоличност, към SSO или потока за потребителско име и парола. Връща се URL адресът за сървъра за удостоверяване.

Можете да видите GET заявката във файла за проследяване.

Получете ПОДРОБНОСТИ за заявката в регистрационния файл.

В раздела с параметри услугата търси OAuth код, имейл на потребителя, изпратил заявката, и други подробности за OAuth като ClientID, redirectURI и Scope.

Раздел с параметри, показващ подробности за OAuth, като ClientID, redirectURI и Scope.

3

Приложението Webex изисква SAML потвърждение от IdP, използвайки SAML HTTP POST.

Когато SSO е активирана, системата за удостоверяване в услугата за самоличност пренасочва към URL адреса на IdP за SSO. URL адресът на IdP, предоставен при обмена на метаданните.

Системата за удостоверяване пренасочва потребителите към URL адреса на доставчика на самоличност, посочен по време на обмена на метаданни.

Проверете в инструмента за проследяване за SAML POST съобщение. Виждате HTTP POST съобщение до IdP, поискано от IdPbroker.

SAML POST съобщение до доставчика на самоличност.

Параметърът RelayState показва правилния отговор от IdP.

Параметър RelayState, показващ правилния отговор от доставчика на самоличност.

Прегледайте версията за декодиране на SAML заявката, няма AuthN на нареждане и местоназначението на отговора трябва да отиде до URL адреса на местоназначението на IdP. Уверете се, че nameid-format е правилно конфигуриран в IdP под правилния entityID (SPNameQualifier)

SAML заявка, показваща nameid-format, конфигуриран в доставчика на самоличност.

nameid-format за IdP е зададен и името на споразумението е конфигурирано, когато е създадено SAML споразумението.

4

Удостоверяването за приложението се случва между интернет ресурсите на операционна система и IdP.

В зависимост от вашия IdP и механизмите за удостоверяване, конфигурирани в IdP, се стартират различни потоци от IdP.

Контейнер на доставчика на самоличност за вашата организация.

5

Приложението изпраща HTTP Post обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.

Когато удостоверяването е успешно, приложението изпраща информацията в SAML POST съобщение до услугата за самоличност.

SAML POST съобщение до услугата за самоличност.

RelayState е същото като предишното HTTP POST съобщение, където приложението казва на IdP кой EntityID изисква потвърждението.

HTTP POST съобщение, показващо кой EntityID иска потвърждението от доставчика на самоличност.

6

SAML потвърждение от IdP към Webex.

SAML твърдение от доставчика на самоличност към Webex.

SAML твърдение от доставчика на самоличност към Webex.

SAML твърдение от доставчика на самоличност към Webex: Форматът на NameID не е зададен.

SAML твърдение от доставчика на самоличност към Webex: Имейл във формат на NameID.

SAML твърдение от доставчика на самоличност към Webex: Форматът на NameID е преходен.

7

Услугата за самоличност получава код за упълномощаване, който се замества с маркер за достъп и обновяване на OAuth. Този маркер се използва за достъп до ресурси от името на потребителя.

След като услугата за самоличност потвърди отговора от IdP, те издават OAuth маркер, който позволява на приложението Webex да има достъп до различните услуги на Webex.

Маркер за OAuth, позволяващ на приложението Webex достъп до различните услуги на Webex.