Následující řešení správy webového přístupu a federace byla testována pro organizace Webex. Níže uvedené dokumenty vás projdou tím, jak integrovat konkrétního poskytovatele identity (IDP) s vaší organizací Webex.


Tato vodítka pokrývají integraci SSO pro služby Webex, které jsou spravovány v Ovládacím centru (https://admin.webex.com). Pokud hledáte integraci jednotného přihlašování webu webů webů Webex Meetings (spravovaných ve správě webu), přečtěte si část Konfigurace jednotného přihlašování pro web Cisco Webex.

Pokud idp nevidíte níže, postupujte podle kroků na vysoké úrovni na kartě Nastavení SSO v tomto článku.

Jednotné přihlašování (SSO) umožňuje uživatelům bezpečné přihlášení k webexu ověřením u společného poskytovatele identity (IdP) vašich organizací. Webex App používá službu Webex ke komunikaci se službou Identity platformy Webex. Služba identity se ověřuje u vašeho poskytovatele identity (IdP).

Konfiguraci spustíte v Ovládacím centru. Tato část zachycuje obecné kroky na vysoké úrovni pro integraci IDP třetí strany.

U SSO a Control Hub musí IDPs odpovídat specifikaci SAML 2.0. Kromě toho musí být IPS nakonfigurovány následujícím způsobem:

  • Nastavení atributu NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:přechodný

  • Nakonfigurujte nárok na IDP podle typu SSO, který nasazujete:

    • SSO (pro organizaci)— Pokud konfigurujete SSO jménem organizace, nakonfigurujte nárok IDP tak, aby zahrnoval název atributu uid s hodnotou, která je mapována na atribut vybraný v konektoru adresáře, nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tento atribut může být například E-mailové adresy nebo Jméno hlavního uživatele.)

    • Partnerské SSO (pouze pro poskytovatele služeb) – Pokud jste správcem poskytovatele služeb, který konfiguruje SO partnera tak, aby byl používán organizacemi zákazníků, které poskytovatel služeb spravuje, nakonfigurujte deklaraci IDP tak, aby zahrnovala atribut pošty(nikoli uid). Hodnota musí být mapovat na atribut vybraný v konektoru adresáře nebo na atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex.


    Další informace o mapování vlastních atributů pro SSO nebo Partnerské SSO naleznete v tématu https://www.cisco.com/go/hybrid-services-directory.

  • Pouze partnerské SSO. Zprostředkovatel identity musí podporovat více adres URL služby Assertion Consumer Service (ACS). Příklady konfigurace více adres URL ACS u zprostředkovatele identity najdete v těchto tématech:

  • Použití podporovaného prohlížeče: doporučujeme nejnovější verzi Mozilla Firefox nebo Google Chrome.

  • Zakažte všechny blokování automaticky otevíraných okna v prohlížeči.


Konfigurační příručky ukazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Jsou například zdokumentovány kroky integrace pro urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty jako urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Musíte vytvořit dohodu SAML mezi službou Identity platformy Webex a vaším IDP.

K dosažení úspěšné dohody SAML potřebujete dva soubory:

  • Soubor metadat z IDP, který má být křest společnosti Webex.

  • Soubor metadat od společnosti Webex, který má být předáno IDP.

Toto je příklad souboru metadat PingFederate s metadaty z IDP.

Soubor metadat ze služby identity.

Následující je to, co očekáváte, že uvidíte v souboru metadat ze služby identity.

  • EntityID – Slouží k identifikaci dohody SAML v konfiguraci IDP

  • Neexistuje žádný požadavek na podepsaný požadavek AuthN ani na žádné kontrolní výrazy podepisování, splňuje požadavky IDP v souboru metadat.

  • Podepsaný soubor metadat pro IDP k ověření, že metadata patří službě identity.

1

Přihlaste se k ovládacímu centru (https://admin.webex.com), přejděte do Nastavení ,přejděte na Ověřování a klepněte na Změnit.

2

Klikněte na Integrovat poskytovatele identity třetí strany. (Pokročilé) a potom klepněte na tlačítko Začínáme.

3

Klepněte na tlačítko Stáhnout soubor metadat a klepněte na tlačítko Další.

4

Služba Identity platformy Webex ověřuje soubor metadat z IDP.

Existují dva možné způsoby ověření metadat z IDP zákazníka:

  • IdP zákazníka poskytuje podpis v metadatech podepsaných veřejným kořenovým certifikačním úřadem.

  • IdP zákazníka poskytuje soukromý certifikační úřad podepsaný svým zákazníkem nebo neposkytuje podpis pro jejich metadata. Tato možnost je méně bezpečná.

5

Před povolením otestujte připojení SSO.

6

Pokud test uspěje, povolte jednotné přihlášení.

Pokud na navážete na problémy s integrací SSO, použijte požadavky a postup v této části k řešení toku SAML mezi vaším IDP a Webexem.

  • Použijte doplněk trasování SAML pro Firefox nebo Chrome .

  • Chcete-li řešit potíže, použijte webový prohlížeč, do kterém jste nainstalovali nástroj pro ladění trasování SAML, a přejděte na webovou verzi webexu na webu https://teams.webex.com.

Následuje tok zpráv mezi aplikací Webex, službami Webex, službou Identity platformy Webex a poskytovatelem identity (IDP).

  1. Přejděte https://admin.webex.com na a s povoleným SSO se aplikace zobrazí výzva k zadání e-mailové adresy.
  2. Aplikace odešle požadavek GET na autorizační server OAuth pro token. Požadavek je přesměrován na službu identity do SSO nebo toku uživatelského jména a hesla. Adresa URL ověřovacího serveru je vrácena.
  3. Aplikace Webex požaduje od IDP kontrolní výraz SAML pomocí SAML HTTP POST.
  4. Ověřování aplikace probíhá mezi webovými prostředky operačního systému a IDP.
  5. Aplikace odešle příspěvek HTTP zpět do služby identity a obsahuje atributy poskytnuté IDP a dohodnuté v původní dohodě.
  6. Saml Assertion z IDP na Webex.
  7. Služba identity obdrží autorizační kód, který je nahrazen přístupem OAuth a tokenem aktualizace. Tento token se používá pro přístup k prostředkům jménem uživatele.
1

Přejděte https://admin.webex.com na a s povoleným SSO se aplikace zobrazí výzva k zadání e-mailové adresy.

Aplikace odešle informace službě Webex, která ověří e-mailovou adresu.

2

Aplikace odešle požadavek GET na autorizační server OAuth pro token. Požadavek je přesměrován na službu identity do SSO nebo toku uživatelského jména a hesla. Adresa URL ověřovacího serveru je vrácena.

Požadavek GET můžete zobrazit v souboru trasování.

V části parametry služba vyhledá kód OAuth, e-mail uživatele, který požadavek odeslal, a další podrobnosti o OAuth, jako je ClientID, redirectURI a Scope.

3

Aplikace Webex požaduje od IDP kontrolní výraz SAML pomocí SAML HTTP POST.

Pokud je povoleno SSO, ověřovací modul ve službě identity přesměruje na ADRESU URL IDP pro SSO. Adresa URL IDP poskytnutá při výměně metadat.

Zkontrolujte nástroj trasování zprávy SAML POST. Zobrazí se zpráva HTTP POST idp požadované idpbrokerem.

Parametr RelayState zobrazuje správnou odpověď z IDP.

Zkontrolujte dekódovací verzi požadavku SAML, neexistuje žádný mandát AuthN a cíl odpovědi by měl přejít na cílovou adresu URL IDP. Ujistěte se, že formát nameid je správně nakonfigurován v IDP pod správnou entitouID (SPNameQualifier)

Je zadán formát IDP nameid a název dohody nakonfigurovaný při vytvoření dohody SAML.

4

Ověřování aplikace probíhá mezi webovými prostředky operačního systému a IDP.

V závislosti na vašem IDP a ověřovacích mechanismech nakonfigurovaných v IDP se z IDP sstartují různé toky.

5

Aplikace odešle příspěvek HTTP zpět do služby identity a obsahuje atributy poskytnuté IDP a dohodnuté v původní dohodě.

Po úspěšném ověření aplikace odešle informace ve zprávě SAML POST službě identit.

RelayState je stejný jako předchozí zpráva HTTP POST, kde aplikace sdílá IDP, která EntityID požaduje kontrolní výraz.

6

Saml Assertion z IDP na Webex.

7

Služba identity obdrží autorizační kód, který je nahrazen přístupem OAuth a tokenem aktualizace. Tento token se používá pro přístup k prostředkům jménem uživatele.

Poté, co služba identity ověří odpověď z IDP, vystaví token OAuth, který umožňuje aplikaci Webex přístup k různým službám Webex.