Pro organizace Webex byla testována následující řešení pro správu webového přístupu a federace. Níže uvedené dokumenty vás provedou postupem integrace konkrétního poskytovatele identity (IdP) s vaší organizací Webex.


 

Tyto příručky pokrývají integraci jednotného přihlašování pro služby Webex spravované v prostředí Control Hub (https://admin.webex.com). Pokud vás zajímá integrace SSO webu Webex Meetings (spravovaného ve správě webu), přečtěte si téma Konfigurace jediného přihlášení pro správu webu Cisco Webex.

Pokud chcete ve své organizaci nastavit jednotné přihlašování pro více poskytovatelů identity, podívejte se na jednotné přihlašování s více Idps ve službě Webex.

Pokud dole svého poskytovatele identity nevidíte, postupujte podle hlavních kroků na záložce Nastavení jednotného přihlašování v tomto článku.

Jednotné přihlašování (SSO) umožňuje uživatelům bezpečně se přihlásit ke službě Webex ověřením u společného poskytovatele identity (IdP) vaší organizace. Aplikace Webex používá ke komunikaci se službou Webex Platform Identity Service službu Webex. Služba identity se ověřuje u vašeho poskytovatele identity (IdP).

Konfiguraci zahájíte v prostředí Control Hub. V této části jsou zachyceny obecné hlavní kroky integrace poskytovatele identity třetí strany.


 
Když nakonfigurujete jednotné přihlašování prostřednictvím svého poskytovatele identity, můžete na uid namapovat jakýkoli atribut. Na uid namapujte například parametr userPrincipalName, e-mailový alias, alternativní e-mailovou adresu nebo jakýkoli jiný vhodný atribut. Poskytovatel identity musí při přihlašování k uid přiřadit jednu z e-mailových adres uživatele. Webex podporuje mapování až 5 e-mailových adres na uid.

 
Při nastavování federace Webex SAML doporučujeme do konfigurace metadat zahrnout jednotné odhlášení (SLO). Tento krok je zásadní pro zajištění neplatnosti tokenů uživatelů jak u poskytovatele identity (Idp), tak u poskytovatele služeb (SP). Pokud tuto konfiguraci neprovede správce, služba Webex upozorní uživatele, aby zavřeli své prohlížeče a zrušili platnost všech zbývajících otevřených relací.

Pro SSO a prostředí Control Hub musí poskytovatelé identity splňovat specifikaci SAML 2.0. Kromě toho musí být poskytovatelé identity nakonfigurováni následujícím způsobem:

  • Nastavte atribut NameID Format na hodnotu urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte požadavek na poskytovatele identity podle typu SSO, které nasazujete:

    • SSO (pro organizaci) – Pokud konfigurujete jednotné přihlašování jménem organizace, nakonfigurujte požadavek na poskytovatele identity tak, aby obsahoval název atributu uid s hodnotou, která je namapována na atribut vybraný v konektoru adresáře, nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tímto atributem mohou být například e-mailové adresy nebo User-Principal-Name.)

    • SSO partnera (pouze pro poskytovatele služeb) – Pokud jste správcem poskytovatele služeb, který konfiguruje jednotné přihlašování partnera tak, aby ho mohly používat organizace zákazníků, které spravuje poskytovatel služeb, nakonfigurujte požadavek na poskytovatele identity tak, aby zahrnoval atribut mail (namísto uid). Hodnota musí být namapována na atribut vybraný v konektoru adresáře, nebo na atribut uživatele odpovídající atributu vybranému ve službě identity Webex.


     

    Další informace o mapování vlastních atributů pro SSO nebo SSO partnera najdete na stránce https://www.cisco.com/go/hybrid-services-directory.

  • Pouze SSO partnera. Poskytovatel identity musí podporovat více adres URL služby Assertion Consumer Service (ACS). Příklady konfigurace více adres URL služby ACS u poskytovatele identity najdete v těchto dokumentech:

  • Použijte podporovaný prohlížeč: doporučujeme používat nejnovější verzi prohlížeče Mozilla Firefox nebo Google Chrome.

  • V prohlížeči deaktivujte veškeré blokování vyskakovacích oken.


 

Konfigurační příručky ukazují konkrétní příklad integrace SSO, ale neuvádějí vyčerpávající konfiguraci pro všechny možnosti. Jsou zdokumentovány například integrační kroky pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou při integraci SSO fungovat, avšak naše dokumentace je neuvádí.

Musíte uzavřít smlouvu SAML mezi službou Webex Platform Identity Service a vaším poskytovatelem identity.

K úspěšnému uzavření smlouvy SAML potřebujete dva soubory:

  • Soubor metadat od poskytovatele identity pro Webex.

  • Soubor metadat ze služby Webex pro poskytovatele identity.

Toto je příklad souboru metadat PingFederate s metadaty od poskytovatele identity.

Soubor metadat ze služby identity.

V souboru metadat ze služby identity můžete očekávat toto.

  • EntityID – používá se k identifikaci smlouvy SAML v konfiguraci poskytovatele identity.

  • Není potřeba žádný podepsaný požadavek AuthN ani žádná prohlášení o podepsání, což je v souladu s tím, co poskytovatel identity požaduje v souboru metadat.

  • Podepsaný soubor metadat pro poskytovatele identity k ověření, že metadata patří službě identity.

1

V zobrazení zákazníka v centru Control Hub ( https://admin.webex.com) přejděte na Správa > Nastavení organizace, přejděte na Ověřování a kliknutím na Aktivovat nastavení SSO spusťte průvodce konfigurací.

2

Vyberte Webex jako index Idp a klikněte na Další.

3

Zkontrolujte, zda jsem si přečetl(a), jak funguje aplikace Webex Idp a porozuměl(a), a klikněte na tlačítko Další.

4

Nastavte pravidlo směrování.

Jakmile přidáte pravidlo směrování, váš Idp je přidán a zobrazí se na kartě Poskytovatel identity.
Další informace naleznete v SSO s více Idps v aplikaci Webex.

Pokud jste obdrželi oznámení o vypršení platnosti certifikátu nebo chcete zkontrolovat stávající konfiguraci jednotného přihlašování, můžete použít funkce správy jednotného přihlašování (SSO) v prostředí Control Hub pro správu certifikátů a úkony obecné údržby jednotného přihlašování.

Pokud narazíte na problémy s integrací SSO, použijte k řešení problémů s tokem SAML mezi vaším poskytovatelem identity a službou Webex požadavky a postup popsané v této části.

  • Doplněk sledování SAML použijte pro Firefox, Chrome nebo Edge.

  • Chcete-li problém vyřešit, použijte webový prohlížeč, do kterého jste nainstalovali nástroj pro ladění trasování SAML, a přejděte na webovou verzi služby Webex na adrese https://web.webex.com.

Toto je schéma toku zpráv mezi aplikací Webex, službami Webex, službou Webex Platform Identity Service a poskytovatelem identity (IdP).

1

Přejděte na stránku https://admin.webex.com a je-li aktivováno jednotné přihlašování, aplikace vás vyzve k zadání e-mailové adresy.

Aplikace odešle informace službě Webex, která e-mailovou adresu ověří.

2

Aplikace odešle požadavek GET na autorizační server OAuth, aby byl vytvořen token. Požadavek je přesměrován na službu identity na SSO nebo tok uživatelského jména a hesla. Je vrácena adresa URL autorizačního serveru.

V trasovacím souboru můžete vidět požadavek GET.

V sekci parametrů služba hledá kód OAuth, e-mail uživatele, který požadavek odeslal, a další podrobnosti OAuth, jako je ClientID, redirectURI a Rozsah (Scope).

3

Aplikace Webex požaduje potvrzení SAML od poskytovatele identity prostřednictvím SAML HTTP POST.

Když je povoleno jednotné přihlašování, ověřovací modul ve službě identity provede přesměrování na adresu URL poskytovatele identity pro jednotné přihlašování. Adresa URL poskytovatele identity byla uvedena při výměně metadat.

V trasovacím nástroji zkontrolujte zprávu POST SAML. Zobrazí se zpráva HTTP POST pro poskytovatele identity požadovaná službou IdPbroker.

Parametr RelayState zobrazuje správnou odpověď od poskytovatele identity.

Zkontrolujte dekódovací verzi požadavku SAML. Neexistuje žádné pověření AuthN a cíl odpovědi musí směřovat na cílovou adresu URL poskytovatele identity. Ujistěte se, že je pro poskytovatele identity správně nakonfigurován parametr nameid-format pod správným entityID (SPNameQualifier).

Parametr nameid-format poskytovatele identity je specifikován a název smlouvy je nakonfigurován při vytvoření smlouvy SAML.

4

Ověření pro aplikaci probíhá mezi webovými prostředky operačního systému a poskytovatelem identity.

V závislosti na vašem poskytovateli identity a ověřovacích mechanismech nakonfigurovaných pro poskytovatele identity se spouštějí různé toky směrem od poskytovatele identity.

5

Aplikace odešle HTTP Post zpět do služby identity a zahrne atributy poskytnuté poskytovatelem identity a dohodnuté v původní smlouvě.

Když je ověření úspěšné, aplikace odešle informace ve zprávě POST SAML službě identity.

Hodnota RelayState je stejná jako u předchozí zprávy HTTP POST, kde aplikace sděluje poskytovateli identity, které EntityID požaduje potvrzení.

6

Potvrzení SAML od poskytovatele identity pro Webex.

7

Služba identity obdrží autorizační kód, který je nahrazen přístupovým a obnovovacím tokenem OAuth. Tento token se používá k přístupu k prostředkům jménem uživatele.

Poté, co služba identity ověří odpověď od poskytovatele identity, vydá token OAuth, který aplikaci Webex umožní přístup k různým službám Webex.