Следните уеб достъп и федерационно решения са тествани за Webex организации. Документите, свързани по-долу, ви предоставят информация как да интегрирате този конкретен доставчик на самоличност (IdP) с вашата Webex организация.


Тези ръководства обхващат SSO интеграция за Webex услуги, които се управляват в центъра за управление (https://admin.webex.com). Ако търсите SSO интеграция на Webex срещи сайт (управляван в администриране на сайт), прочетете Конфигуриране на еднократна идентификация за Cisco Webex сайт.

Ако не виждате вашия IdP в списъка по-долу, следвайте стъпките на високо ниво в раздела SSO настройка в тази статия.

Еднократна идентификация (SSO) позволява на потребителите да влизат в Webex по сигурен начин чрез удостоверяване до вашите организации доставчик на обща самоличност (IdP). Webex приложението използва услугата Webex за комуникация с услугата за самоличност на Webex платформа. Услугата за самоличност се удостоверява с вашия доставчик на самоличност (IdP).

Стартиране на конфигурацията в центъра за управление. Тази секция обхваща високо ниво, общи стъпки за интегриране на други idP.

За SSO и контролния център, idPs трябва да отговарят на спецификацията на SAML 2.0. Освен това idPs трябва да бъдат конфигурирани по следния начин:

  • Задайте атрибута NameID формат urn: oasis:names:tc:SAML:2.0:nameid-формат:преходен

  • Конфигуриране на иск на IdP според типа на SSO, които разполагате:

    • SSO (за организация) - Ако конфигурирате SSO от името на организация, конфигуриране на IdP претенция да включва uid атрибут име със стойност, която е нанесена атрибут, който е избран в конектора на директория или потребителски атрибут, който отговаря на този, който е избран в услугата за самоличност на Webex. (Този атрибут може да бъде имейл адреси или потребител-главно име, например.)

    • Партньор SSO (само за доставчици на услуги) – Ако сте администратор на доставчик на услуги, който конфигурира партньори SSO да се използва от организациите на клиенти, които доставчикът на услуги управлява, конфигурирайте IdP претенцията да включва атрибута поща (а не uid). Стойността трябва да се съпоставят с атрибут, който е избран в конектора на директория или потребителски атрибут, който отговаря на този, който е избран в услугата за самоличност на Webex.


    За повече информация относно съпоставянето на персонализирани атрибути за SSO или партньор SSO https://www.cisco.com/go/hybrid-services-directoryвж.

  • Само за SSO партньор. Доставчикът на самоличност трябва да поддържа няколко URL адреси на потребителска услуга за assertion (ACS). За примери как да конфигурирате няколко ACS URL адреси на доставчик на самоличност вижте:

  • Използване на поддържан браузър: ние препоръчваме най-новата версия на Mozilla Firefox или Google Chrome.

  • Деактивирайте всички блокиращи изскачащи прозорци в браузъра си.


Конфигурационните ръководства показват конкретен пример за интегриране на SSO, но не предоставят изчерпателна конфигурация за всички възможности. Например стъпките за интегриране на nameid-формат urn:oasis:names:tc:SAML:2.0:nameid-формат:преходни са документирани. Други формати като urn: oasis: имена:tc:SAML:1.1:nameid-format:неспецикретно или urn:oasis:names:tc:tc:SAML:1.1:nameid-format:emailAddress ще работи за SSO интеграция, но са извън обхвата на нашата документация.

Трябва да сключите SAML споразумение между услугата за самоличност на Webex платформа и idP.

За да постигнете успешно SAML споразумение, са Ви нужни два файла:

  • Файл с метаданни от IdP, за да се даде на Webex.

  • Файл с метаданни от Webex, за да дадете на idP.

Това е пример за файл с метаданни PingFederate с метаданни от IdP.

Файл с метаданни от услугата за самоличност.

По-долу е това, което очаквате да видите във файла с метаданни от услугата за самоличност.

  • EntityID – Използва се за идентифициране на SAML споразумението в idP конфигурацията

  • Няма изискване за подписано authN искане или каквито и да било твърдения за знак, тя отговаря на исканията на IdP във файла с метаданни.

  • Подписан файл с метаданни за IdP да се уверите, че метаданните принадлежат на услугата за самоличност.

1

Влезте в Контролния център (https://admin.webex.com), отидете в Настройки ,превъртете до Удостоверяване и щракнете върху Промяна.

2

Щракнете върху Интегриране на трета страна доставчик на самоличност. (Разширени) и след това върху Първи стъпки.

3

Щракнете върху Изтегляне на файла с метаданни и щракнете върху напред.

4

Услуга за самоличност на Webex платформа проверява файла с метаданни от IdP.

Има два възможни начина за проверка на метаданните от ИРР:

  • Клиент idP предоставя подпис в метаданните, които са подписани от публичен главен сертифициращ орган.

  • Клиент idP предоставя самоподписан частен СЕРТИФИЦИРА или не предоставя подпис за метаданните си. Тази опция е по-малко сигурна.

5

Тествайте SSO връзка, преди да го разрешите.

6

Ако тестът успее, след това разрешете еднократна идентификация.

Ако се сблъскате с проблеми с интегрирането на SSO, използвайте изискванията и процедурата в този раздел, за да отстраните SAML потока между idP и Webex.

  • Използвайте SAML добавка за проследяване за Firefox или Chrome .

  • За да отстраните проблема, използвайте уеб браузъра, където сте инсталирали samL инструмент за отстраняване на грешки и отидете на уеб версията на Webex в https://teams.webex.com.

По-долу е потокът от съобщения между Webex App, Webex услуги, Уебекс платформа identity Service и доставчик на самоличност (IdP).

  1. Отидете https://admin.webex.com и с поддръжка на SSO приложението пита за имейл адрес.
  2. Приложението изпраща заявка GET до сървъра за удостоверяване на OAuth за маркер. Искането е пренасочен към услугата за самоличност на SSO или потребителско име и парола поток. Връща се URL адресът за сървъра за удостоверяване.
  3. Уебекс приложение изисква SAML потвърждение от IdP, използвайки SAML HTTP ПУБЛИКАЦИЯ.
  4. Удостоверяването за приложението се случва между уеб ресурсите на операционната система и idP.
  5. Приложението изпраща HTTP post обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.
  6. SAML Assertion от idP до Webex.
  7. Услугата за самоличност получава код за удостоверяване, който се заменя с OAuth достъп и опресняване на маркера. Този маркер се използва за достъп до ресурси от името на потребителя.
1

Отидете https://admin.webex.com и с поддръжка на SSO приложението пита за имейл адрес.

Приложението изпраща информацията до услугата Webex, която проверява имейл адреса.

2

Приложението изпраща заявка GET до сървъра за удостоверяване на OAuth за маркер. Искането е пренасочен към услугата за самоличност на SSO или потребителско име и парола поток. Връща се URL адресът за сървъра за удостоверяване.

Можете да видите get заявката във файла за проследяване.

В раздела параметри услугата търси OAuth код, имейл на потребителя, който е изпратил заявката и други OAuth подробности като ClientID, redirectURI и обхват.

3

Уебекс приложение изисква SAML потвърждение от IdP, използвайки SAML HTTP ПУБЛИКАЦИЯ.

Когато Е разрешено SSO, системата за удостоверяване в услугата за самоличност пренасочва към IDP URL за SSO. IDP URL, при който метаданните са били обменени.

Проверете инструмента за проследяване за SAML POST съобщение. Виждате СЪОБЩЕНИЕ ЗА HTTP ПУБЛИКАЦИЯ на IdP, заявено от IdPbroker.

Параметърът RelayState показва правилния отговор от IdP.

Прегледайте версията на SAML декодиране, няма мандат AuthN и местоназначението на отговора трябва да отидете на url адреса на местоназначението на idP. Уверете се, че форматът nameid е правилно конфигуриран в IdP под правилния идентификатор на обект (SPNameQualifier)

IdP nameid-формат е зададен и името на споразумението конфигурирано при saml споразумението е създаден.

4

Удостоверяването за приложението се случва между уеб ресурсите на операционната система и idP.

В зависимост от вашия IdP и механизми за удостоверяване, конфигурирани в IdP, различни потоци се стартират от IdP.

5

Приложението изпраща HTTP post обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.

Когато удостоверяването е успешно, приложението изпраща информацията в SAML POST съобщение до услугата за самоличност.

RelayState е същата като предишното HTTP POST съобщение, където приложението казва idP кой Идентификатор на обект иска потвърждение.

6

SAML Assertion от idP до Webex.

7

Услугата за самоличност получава код за удостоверяване, който се заменя с OAuth достъп и опресняване на маркера. Този маркер се използва за достъп до ресурси от името на потребителя.

След услугата за самоличност проверява отговора от idP, те издават OAuth маркер, който позволява на Webex приложение за достъп до различни Webex услуги.