Следните решения за управление на уеб достъп и федерация са тествани за webex организации. Документите, свързани по-долу, ви преглеждат как да интегрирате този конкретен доставчик на самоличност (IdP) с вашата Webex организация.


Тези ръководства обхващат SSO интеграция за Webex услуги, които се управляват в Control Hub (https://admin.webex.com). Ако търсите Интегриране на SSO на сайт на Webex Meetings (управляван в администрацията на сайта), прочетете Конфигуриране на еднократна идентификация за Cisco Webex Сайт.

Ако не виждате вашия IdP, посочен по-долу, следвайте стъпките на високо ниво в раздела Настройка на SSO в тази статия.

Еднократна идентификация (SSO) дава възможност на потребителите да влизат в Webex сигурно чрез удостоверяване на вашите организации общ доставчик на самоличност (IdP). Приложението Webex използва услугата Webex, за да комуникира с услугата за самоличност на платформата Webex. Услугата за самоличност удостоверява с вашия доставчик на самоличност (IdP).

Стартирате конфигурацията в контролния център. Този раздел улавя високо ниво, генерични стъпки за интегриране на IdP на трета страна.

За SSO и Control Hub, ИДД трябва да съответстват на спецификацията SAML 2.0. Освен това IDPs трябва да бъдат конфигурирани по следния начин:

  • Задайте атрибута NameID Формат на урната:oasis:names:tc:SAML:2.0:nameid-формат:преходен

  • Конфигуриране на рекламация на IdP според типа на SSO, който разполагате:

    • SSO (за организация)—Ако конфигурирате SSO от името на организация, конфигурирайте IdP претенцията да включва името на атрибута uid със стойност, която е съпоставена с атрибута, който е избран в конектора надиректорията , или потребителския атрибут, който съответства на този, който е избран в услугата за самоличност на Webex. (Този атрибут може да бъде Имейл адреси или User-Principal-Name, например.)

    • SSO на партньори (само за доставчици на услуги)—Ако сте администратор на Доставчик на услуги, който конфигурира SSO партньор да се използва от клиентските организации, които Доставчикът на услуги управлява, конфигурирайте IdP претенцията да включва атрибута поща (а не uid). Стойността трябва да съпостави атрибута, който е избран в конектора надиректорията , или потребителския атрибут, който съответства на този, който е избран в услугата за самоличност на Webex.


    За повече информация относно съпоставянето на персонализирани атрибути или за SSO, или за Партньорски SSO вижте https://www.cisco.com/go/hybrid-services-directory.

  • Само партньор SSO. Доставчикът на самоличност трябва да поддържа множество URL адреси на assertion consumer Service (ACS). За примери за това как да конфигурирате няколко URL адреси на ACS на доставчик на самоличност вижте:

  • Използване на поддържан браузър: препоръчваме най-новата версия на Mozilla Firefox или Google Chrome.

  • Деактивирайте всички изскачащи блокери във вашия браузър.


Ръководствата за конфигуриране показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интеграция за nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:transient са документирани. Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интегриране на SSO, но са извън обхвата на нашата документация.

Трябва да установите SAML споразумение между услугата за самоличност на платформата Webex и вашия IdP.

Имате нужда от два файла, за да постигнете успешно СПОРАЗУМЕНИЕ SAML:

  • Файл с метаданни от IdP, да се даде на Webex.

  • Файл с метаданни от Webex, за да се даде на IdP.

Това е пример за файл с метаданни на PingFederate с метаданни от IdP.

Файл с метаданни от услугата за самоличност.

По-долу е това, което очаквате да видите във файла с метаданни от услугата за самоличност.

  • EntityID—Това се използва за идентифициране на SAML споразумението в конфигурацията на IdP

  • Няма изискване за подписан AuthN заявка или някакви знакови твърдения, той отговаря на това, което IdP иска във файла с метаданни.

  • Подписан файл с метаданни за IdP, за да проверите дали метаданните принадлежат към услугата за самоличност.

1

От изгледа на клиента в контролния център ( ), отидете наhttps://admin.webex.comНастройки за управление > организация , превъртете до Удостоверяване и превключвайте на настройката Еднократна идентификация, за да стартирате съветника за конфигуриране.

2

Изберете типа сертификат:

  • Самоподписан от Cisco— Препоръчваме ви да изберете тази опция, за да ни позволите да станем СП. Също така, трябва да подновявате сертификата само на всеки пет години.
  • Подписана от орган за публичен сертификат — Тази опция е сигурна и препоръчително, ако получите вашите сертификати,подписани от публичен CA като Hydrant или Godaddy. Трябва обаче да подновявате сертификата веднъж годишно.
3

Щракнете върху Изтегляне на метаданни и щракнете върху Напред.

4

Услугата за самоличност на webex платформа валидира файла с метаданни от IdP.

Има два възможни начина за валидиране на метаданните от ИДП на клиента:

  • IdP на клиента предоставя подпис в метаданните, който е подписан от Public Root CA.

  • Идентификационният номер на клиента предоставя самоподписана частна CA или не предоставя подпис за техните метаданни. Тази опция е по-малко сигурна.

5

Тествайте SSO връзката, преди да я разрешите. Тази стъпка работи като сухо изпълнение и не влияе на настройките на организацията ви, докато не разрешите SSO в следващата стъпка.


 

За да видите директно опита за влизане в SSO, можете също да щракнете върху Копиране на URL адрес в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да минете през влизане със SSO. Това помага да премахнете всяка информация, кеширан във вашия уеб браузър, която би могла да осигури фалшив положителен резултат при тестване на вашата Конфигурация на SSO.

6

Ако тестът успее, след това завъртете SSO и запишете промените.

Трябва да запишете промените, за да може SSO да влезе в сила във вашата организация.

Независимо дали сте получили известие за изтичащ сертификат или искате да проверите на съществуващата си Конфигурация на SSO, можете да използвате функциите за управление на еднократна идентификация (SSO) в Контролния център за управление на сертификати и общи дейности по поддръжка на SSO.

Ако се сблъскате с проблеми с вашата SSO интеграция, използвайте изискванията и процедурата в този раздел, за да отстраните SAML Flow между вашия IdP и Webex.

  • Използвайте адон за проследяване SAML за Firefox или Chrome .

  • За отстраняване на неизправности използвайте уеб браузъра, където сте инсталирали инструмента за отстраняване на грешки при проследяване на SAML и отидете в уеб версията на Webex при https://web.webex.com.

По-долу е потокът от съобщения между приложението Webex, Услугите на Webex, Услугата за самоличност на платформата Webex и доставчика на самоличност (IdP).

  1. Отидете https://admin.webex.com на и, с активирана SSO, приложението подканва за имейл адрес.
  2. Приложението изпраща заявка GET на сървъра за упълномощаване на OAuth за маркер. Заявката се пренасочва към услугата за самоличност към SSO или потребителско име и поток на парола. Url адресът за сървъра за удостоверяване се връща.
  3. Приложението Webex иска SAML твърдение от IdP с помощта на SAML HTTP POST.
  4. Удостоверяването за приложението се случва между уеб ресурсите на операционната система и IdP.
  5. Приложението изпраща HTTP Post обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.
  6. SAML Assertion от IdP до Webex.
  7. Услугата за самоличност получава код за оторизация, който се заменя с маркер за достъп и обновяване на OAuth. Този маркер се използва за достъп до ресурси от името на потребителя.
1

Отидете https://admin.webex.com на и, с активирана SSO, приложението подканва за имейл адрес.

Приложението изпраща информацията до услугата Webex, която проверява имейл адреса.

2

Приложението изпраща заявка GET на сървъра за упълномощаване на OAuth за маркер. Заявката се пренасочва към услугата за самоличност към SSO или потребителско име и поток на парола. Url адресът за сървъра за удостоверяване се връща.

Можете да видите заявката GET във файла за проследяване.

В секцията за параметри услугата търси Код на OAuth, имейл на потребителя, който е изпратил заявката, и други oAuth подробности като ClientID, redirectURI и Обхват.

3

Приложението Webex иска SAML твърдение от IdP с помощта на SAML HTTP POST.

Когато SSO е разрешена, удостоверяване двигател в услугата за самоличност пренасочва към IdP URL за SSO. IdP URL адресът, предоставен при обмен на метаданните.

Проверете в инструмента за проследяване за SAML POST съобщение. Виждате HTTP POST съобщение до IdP поискани от IdPbroker.

Параметърът RelayState показва правилния отговор от IdP.

Прегледайте декод версията на заявката SAML, няма мандат AuthN и местоназначението на отговора трябва да отидете на местоназначение URL адрес на IdP. Уверете се, че nameid-формат е правилно конфигуриран в IdP под правилния обектID (SPNameQualifier)

IdP nameid-форматът е зададен и името на споразумението, конфигурирано при създаването на SAML споразумението.

4

Удостоверяването за приложението се случва между уеб ресурсите на операционната система и IdP.

В зависимост от вашия IdP и механизмите за удостоверяване, конфигурирани в IdP, различни потоци се стартират от IdP.

5

Приложението изпраща HTTP Post обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.

Когато удостоверяването е успешно, приложението изпраща информацията в SAML POST съобщение до услугата за самоличност.

RelayState е същото като предишното HTTP POST съобщение, където приложението казва на IdP кой EntityID иска твърдението.

6

SAML Assertion от IdP до Webex.

7

Услугата за самоличност получава код за оторизация, който се заменя с маркер за достъп и обновяване на OAuth. Този маркер се използва за достъп до ресурси от името на потребителя.

След като услугата за самоличност валидира отговора от IdP, те издават маркер OAuth, който позволява на Webex App достъп до различните webex услуги.