Následující řešení pro správu webových přístupů a federace byla testována pro organizace Webex. Níže uvedené dokumenty vás provedou, jak integrovat tohoto konkrétního poskytovatele identity (IdP) s vaší organizací Webex.


Tyto příručky zahrnují integraci SSO pro služby Webex, které jsou spravovány v Control Hub (https://admin.webex.com). Pokud hledáte integraci jednotného přihlašování na webu Webex Meetings (spravovaném v části Správa webů), přečtěte si článek Konfigurace jednotného přihlašování pro web Cisco Webex.

Pokud idP níže nevidíte, postupujte podle kroků na vysoké úrovni na kartě Nastavení SSO v tomto článku.

Jednotné přihlašování (SSO) umožňuje uživatelům bezpečně se přihlásit k Webexu ověřením společného poskytovatele identity (IdP) vašich organizací. Aplikace Webex používá službu Webex ke komunikaci se službou Webex Platform Identity Service. Služba identit se ověřuje u vašeho poskytovatele identity (IdP).

Spustíte konfiguraci v Ovládacím centru. Tato část zachycuje obecné kroky na vysoké úrovni pro integraci idP třetí strany.

Pro SSO a Control Hubmusí idp odpovídat specifikaci SAML 2.0. Kromě toho musí být vnitřně nutné konfigurovat následujícím způsobem:

  • Nastavte atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte deklaraci identity na IdP podle typu jednotného systému jednotného systému, které nasazujete:

    • Jednotného jména (pro organizaci)– Pokud konfigurujete jednotné jméno jménem organizace, nakonfigurujte deklaraci identity IDP tak, aby zahrnovala název atributu uid s hodnotou, která je mapována na atribut vybraný v konektoru adresáře, nebo atribut uživatele, který odpovídá atributu vybranému ve službě Identity Webex. (Tento atribut může být například E-mailové adresy nebo název hlavního uživatele.)

    • Jednotného oddělení služeb partnera (pouze pro poskytovatele služeb)– Pokud jste správcem poskytovatele služeb, který konfiguruje jednotné služby partnera tak, aby ho používaly organizace zákazníků, které poskytovatel služeb spravuje, nakonfigurujte deklaraci identity tak, aby obsahovala atribut pošty (nikoli uid). Hodnota se musí mapovat na atribut vybraný v konektoru adresářenebo na atribut uživatele, který odpovídá atributu vybranému ve službě Identity Webex.


    Další informace o mapování vlastních atributů pro SSO nebo partnera SSO naleznete v tématu https://www.cisco.com/go/hybrid-services-directory.

  • Pouze partner SSO. Poskytovatel identity musí podporovat více adres URL služby Assertion Consumer Service (ACS). Příklady konfigurace více adres URL služby ACS u poskytovatele identity najdete v těchto tématech:

  • Použijte podporovaný prohlížeč: doporučujeme nejnovější verzi Mozilla Firefox nebo Google Chrome.

  • Zakažte všechny blokování vyskakovacích okna v prohlížeči.


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Musíte vytvořit smlouvu SAML mezi službou Identity Service platformy Webex a vaším IdP.

K dosažení úspěšné smlouvy SAML potřebujete dva soubory:

  • Soubor metadat z idp, který má být kádr webexu .

  • Soubor metadat z Webexu , který se má idp předat.

Toto je příklad souboru metadat PingFederate s metadaty z IdP.

Soubor metadat ze služby identity.

Následuje to, co očekáváte, že uvidíte v souboru metadat ze služby identity.

  • EntityID – používá se k identifikaci smlouvy SAML v konfiguraci IdP

  • Neexistuje žádný požadavek na podepsaný požadavek AuthN ani žádné kontrolní výrazy znaménka, vyhovuje tomu, co IdP požaduje v souboru metadat.

  • Podepsaný soubor metadat pro IdP k ověření, že metadata patří do služby identity.

1

V zobrazení zákazníka v Ovládacím centru přejdětehttps://admin.webex.comna Správa > Nastavení organizace přejděte na Ověřování a přepněte nastavení Jednotné přihlašování a spusťte průvodce konfigurací.

2

Vyberte typ certifikátu:

  • Společnost Cisco podepsala smlouvu s vlastnímdržitelem – Doporučujeme zvolit tuto možnost, abychom se stali SP. Certifikát musíte také obnovovat pouze každých pět let.
  • Podepsáno veřejným certifikačním úřadem– Tato možnost je bezpečná a vhodná, pokud získáte certifikáty podepsané od veřejné certifikační autority, jako je Hydrant nebo Godaddy. Certifikát je však nutné obnovit jednou ročně.
3

Klikněte na Stáhnout metadata a klikněte na Další .

4

Služba Webex Platform Identity ověřuje soubor metadat z IdP.

Existují dva možné způsoby, jak ověřit metadata z IdP zákazníka:

  • IdP zákazníka poskytuje podpis v metadatech podepsaných veřejnou kořenovou certifikační autoritou.

  • IdP zákazníka poskytuje soukromou certifikační autoritu podepsanou svým držitelem nebo neposkytuje podpis pro jejich metadata. Tato možnost je méně bezpečná.

5

Před povolením otestujte připojení SSO. Tento krok funguje jako suchý běh a neovlivní nastavení vaší organizace, dokud v dalším kroku nepovolíte SSO.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve webovém prohlížeči, které by mohly poskytnout falešně pozitivní výsledek při testování konfigurace SSO.

6

Pokud test uspěje, otočte SSO a uložte změny.

Aby se SSO projevilo ve vaší organizaci, musíte uložit změny.

Pokud narazíte na problémy s integrací SSO, použijte požadavky a postup v této části k řešení potíží s tokem SAML mezi idp a Webexem.

  • Použijte addon trasování SAML pro Firefox nebo Chrome .

  • Chcete-li řešit problémy, použijte webový prohlížeč, ve kterém jste nainstalovali nástroj pro ladění trasování SAML, a přejděte na webovou verzi webexu na adrese https://web.webex.com.

Následuje tok zpráv mezi aplikací Webex, službami Webex, službou Webex Platform Identity Service a poskytovatelem identity (IdP).

  1. Přejděte na https://admin.webex.com a s povoleným SSO aplikace vyzve k e-mailové adrese.
  2. Aplikace odešle požadavek GET na autorizační server OAuth pro token. Požadavek je přesměrován na službu identit na jednotné přihlašování nebo tok uživatelského jména a hesla. Adresa URL ověřovacího serveru je vrácena.
  3. Aplikace Webex požaduje kontrolní výraz SAML od IdP pomocí SAML HTTP POST.
  4. Ověřování aplikace probíhá mezi webovými prostředky operačního systému a IdP.
  5. Aplikace odešle http post zpět do služby identity a obsahuje atributy poskytované IdP a dohodnuté v počáteční dohodě.
  6. Saml Assertion z IdP na Webex.
  7. Služba identit obdrží autorizační kód, který je nahrazen přístupovým a obnovovacím tokenem OAuth. Tento token se používá pro přístup k prostředkům jménem uživatele.
1

Přejděte na https://admin.webex.com a s povoleným SSO aplikace vyzve k e-mailové adrese.

Aplikace odešle informace službě Webex, která ověřuje e-mailovou adresu.

2

Aplikace odešle požadavek GET na autorizační server OAuth pro token. Požadavek je přesměrován na službu identit na jednotné přihlašování nebo tok uživatelského jména a hesla. Adresa URL ověřovacího serveru je vrácena.

Požadavek GET můžete zobrazit v trasovacím souboru.

V části Parametry služba hledá kód OAuth, e-mail uživatele, který požadavek odeslal, a další podrobnosti OAuth, jako je ClientID, redirectURI a Scope.

3

Aplikace Webex požaduje kontrolní výraz SAML od IdP pomocí SAML HTTP POST.

Pokud je povoleno SSO, modul ověřování ve službě identit přesměruje na adresu URL IdP pro SSO. Adresa URL idp poskytnutá při výměně metadat.

Zkontrolujte v nástroji pro trasování zprávu SAML POST. Zobrazí se zpráva HTTP POST idp požadované idpbroker.

Parametr RelayState zobrazuje správnou odpověď z IdP.

Zkontrolujte dekódovací verzi požadavku SAML, neexistuje žádný mandát AuthN a cíl odpovědi by měl přejít na cílovou adresu URL IdP. Ujistěte se, že formát nameid je správně nakonfigurován v IdP pod správnou entitouID (SPNameQualifier)

Je zadán formát idp nameid a název dohody nakonfigurovaný při vytvoření dohody SAML.

4

Ověřování aplikace probíhá mezi webovými prostředky operačního systému a IdP.

V závislosti na idp a mechanismech ověřování nakonfigurovaných v IdP se z IdP spustí různé toky.

5

Aplikace odešle http post zpět do služby identity a obsahuje atributy poskytované IdP a dohodnuté v počáteční dohodě.

Po úspěšném ověření aplikace odešle informace ve zprávě SAML POST do služby identit.

RelayState je stejný jako předchozí zpráva HTTP POST, kde aplikace informuje IdP, který EntityID požaduje kontrolní výraz.

6

Saml Assertion z IdP na Webex.

7

Služba identit obdrží autorizační kód, který je nahrazen přístupovým a obnovovacím tokenem OAuth. Tento token se používá pro přístup k prostředkům jménem uživatele.

Poté, co služba identit ověří odpověď z IdP, vydají token OAuth, který umožňuje aplikaci Webex přístup k různým službám Webex.