Děkujeme za vaši zpětnou vazbu.
Integrace jednotného přihlašování v prostředí Control Hub
Zpětná vazba?Před integrací jednotného přihlašování (SSO) používá Webex ve výchozím nastavení základní ověřování. Základní ověřování vyžaduje, aby uživatelé při každém přihlášení zadali své uživatelské jméno a heslo Webex. Pokud máte ve své organizaci vlastního poskytovatele identity (IdP), můžete ho integrovat s vaší organizací v Control Hub pro SSO. Jednotné přihlašování (SSO) umožňuje vašim uživatelům používat jednu společnou sadu přihlašovacích údajů pro aplikace Webex ve vaší organizaci.
Pokud dáváte přednost základnímu ověřování, nemusíte nic dělat. Mějte však na paměti, že základní ověřování může být pro uživatele méně bezpečné a méně pohodlné než SSO, zejména pokud vaše organizace již používá poskytovatele identity. Pro zvýšení zabezpečení se základním ověřováním doporučujeme v Control Hubu používat vícefaktorové ověřování (MFA). Další informace naleznete v článku Povolení integrace vícefaktorového ověřování v Control Hub.
Pro organizace Webex byla testována následující řešení pro správu webového přístupu a federace. Níže uvedené dokumenty vás provedou postupem integrace konkrétního poskytovatele identity (IdP) s vaší organizací Webex.
Tyto příručky pokrývají integraci jednotného přihlašování pro služby Webex spravované v prostředí Control Hub (https://admin.webex.com). Pokud vás zajímá integrace SSO webu Webex Meetings (spravovaného ve správě webu), přečtěte si téma Konfigurace jediného přihlášení pro správu webu Cisco Webex.
Pokud chcete nastavit jednotné přihlašování (SSO) pro více poskytovatelů identit ve vaší organizaci, podívejte se na Jednotné přihlašování s více poskytovateli identit ve Webexu.
Pokud dole svého poskytovatele identity nevidíte, postupujte podle hlavních kroků na záložce Nastavení jednotného přihlašování v tomto článku.
Jednotné přihlašování (SSO) umožňuje uživatelům bezpečně se přihlásit ke službě Webex ověřením u společného poskytovatele identity (IdP) vaší organizace. Aplikace Webex používá ke komunikaci se službou Webex Platform Identity Service službu Webex. Služba identity se ověřuje u vašeho poskytovatele identity (IdP).
Konfiguraci zahájíte v prostředí Control Hub. V této části jsou zachyceny obecné hlavní kroky integrace poskytovatele identity třetí strany.
Když nakonfigurujete jednotné přihlašování prostřednictvím svého poskytovatele identity, můžete na uid namapovat jakýkoli atribut. Na uid namapujte například parametr userPrincipalName, e-mailový alias, alternativní e-mailovou adresu nebo jakýkoli jiný vhodný atribut. Poskytovatel identity musí při přihlašování k uid přiřadit jednu z e-mailových adres uživatele. Webex podporuje mapování až 5 e-mailových adres na uid.
Doporučujeme, abyste při nastavování federace Webex SAML do konfigurace metadat zahrnuli jednotné odhlášení (SLO). Tento krok je klíčový k zajištění toho, aby byly uživatelské tokeny zneplatněny jak u poskytovatele identity (IdP), tak u poskytovatele služeb (SP). Pokud tuto konfiguraci neprovede správce, Webex upozorní uživatele, aby zavřeli prohlížeče, a tím zneplatnili všechny ponechané otevřené relace.
Pro SSO a prostředí Control Hub musí poskytovatelé identity splňovat specifikaci SAML 2.0. Kromě toho musí být poskytovatelé identity nakonfigurováni následujícím způsobem:
-
Nastavte atribut Formát NameID na urn:oasis:names:tc:SAML:2.0:nameid-format:přechodný
-
Nakonfigurujte požadavek na poskytovatele identity podle typu SSO, které nasazujete:
-
SSO (pro organizaci) – Pokud konfigurujete jednotné přihlašování jménem organizace, nakonfigurujte požadavek na poskytovatele identity tak, aby obsahoval název atributu uid s hodnotou, která je namapována na atribut vybraný v konektoru adresáře, nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tímto atributem mohou být například e-mailové adresy nebo User-Principal-Name.)
-
SSO partnera (pouze pro poskytovatele služeb) – Pokud jste správcem poskytovatele služeb, který konfiguruje jednotné přihlašování partnera tak, aby ho mohly používat organizace zákazníků, které spravuje poskytovatel služeb, nakonfigurujte požadavek na poskytovatele identity tak, aby zahrnoval atribut mail (namísto uid). Hodnota musí být namapována na atribut vybraný v konektoru adresáře, nebo na atribut uživatele odpovídající atributu vybranému ve službě identity Webex.
Další informace o mapování vlastních atributů pro SSO nebo SSO partnera najdete na stránce https://www.cisco.com/go/hybrid-services-directory.
-
-
Pouze SSO partnera. Poskytovatel identity musí podporovat více adres URL služby Assertion Consumer Service (ACS). Příklady konfigurace více adres URL služby ACS u poskytovatele identity najdete v těchto dokumentech:
-
Použijte podporovaný prohlížeč: doporučujeme používat nejnovější verzi prohlížeče Mozilla Firefox nebo Google Chrome.
-
V prohlížeči deaktivujte veškeré blokování vyskakovacích oken.
Konfigurační příručky ukazují konkrétní příklad integrace SSO, ale neuvádějí vyčerpávající konfiguraci pro všechny možnosti. Například jsou zdokumentovány kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budou fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.
Musíte uzavřít smlouvu SAML mezi službou Webex Platform Identity Service a vaším poskytovatelem identity.
K úspěšnému uzavření smlouvy SAML potřebujete dva soubory:
-
Soubor metadat od poskytovatele identity pro Webex.
-
Soubor metadat ze služby Webex pro poskytovatele identity.
Toto je příklad souboru metadat PingFederate s metadaty od poskytovatele identity.
Soubor metadat ze služby identity.
V souboru metadat ze služby identity můžete očekávat toto.
-
EntityID – používá se k identifikaci smlouvy SAML v konfiguraci poskytovatele identity.
-
Není potřeba žádný podepsaný požadavek AuthN ani žádná prohlášení o podepsání, což je v souladu s tím, co poskytovatel identity požaduje v souboru metadat.
-
Podepsaný soubor metadat pro poskytovatele identity k ověření, že metadata patří službě identity.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejít na . |
| 3 |
Přejděte na kartu Poskytovatel identity a klikněte na Aktivovat jednotné přihlašování. |
| 4 |
Vyberte Webex jako svého poskytovatele identity a klikněte na Další. |
| 5 |
Zaškrtněte políčko Přečetl(a) jsem si a rozumím tomu, jak funguje Webex IdP a klikněte na tlačítko Další. |
| 6 |
Nastavte pravidlo směrování. Jakmile přidáte směrovací pravidlo, váš IdP se přidá a zobrazí se na kartě Poskytovatel identity.
Další informace naleznete v článku Jednotné přihlašování s více IdP ve Webexu.
|
Pokud jste obdrželi oznámení o vypršení platnosti certifikátu nebo chcete zkontrolovat stávající konfiguraci jednotného přihlašování, můžete použít funkce správy jednotného přihlašování (SSO) v prostředí Control Hub pro správu certifikátů a úkony obecné údržby jednotného přihlašování.
Pokud narazíte na problémy s integrací SSO, použijte k řešení problémů s tokem SAML mezi vaším poskytovatelem identity a službou Webex požadavky a postup popsané v této části.
-
Chcete-li problém vyřešit, použijte webový prohlížeč, do kterého jste nainstalovali nástroj pro ladění trasování SAML, a přejděte na webovou verzi služby Webex na adrese https://web.webex.com.
Toto je schéma toku zpráv mezi aplikací Webex, službami Webex, službou Webex Platform Identity Service a poskytovatelem identity (IdP).
| 1 |
Přejděte na stránku https://admin.webex.com a je-li aktivováno jednotné přihlašování, aplikace vás vyzve k zadání e-mailové adresy.
 Aplikace odešle informace službě Webex, která e-mailovou adresu ověří.
|
| 2 |
Aplikace odešle požadavek GET na autorizační server OAuth, aby byl vytvořen token. Požadavek je přesměrován na službu identity na SSO nebo tok uživatelského jména a hesla. Je vrácena adresa URL autorizačního serveru. V trasovacím souboru můžete vidět požadavek GET.
V sekci parametrů služba hledá kód OAuth, e-mail uživatele, který požadavek odeslal, a další podrobnosti OAuth, jako je ClientID, redirectURI a Rozsah (Scope).
|
| 3 |
Aplikace Webex požaduje potvrzení SAML od poskytovatele identity prostřednictvím SAML HTTP POST.
Když je povoleno jednotné přihlašování, ověřovací modul ve službě identity provede přesměrování na adresu URL poskytovatele identity pro jednotné přihlašování. Adresa URL poskytovatele identity byla uvedena při výměně metadat.
V trasovacím nástroji zkontrolujte zprávu POST SAML. Zobrazí se zpráva HTTP POST pro poskytovatele identity požadovaná službou IdPbroker.
Parametr RelayState zobrazuje správnou odpověď od poskytovatele identity.
Zkontrolujte dekódovací verzi požadavku SAML. Neexistuje žádné pověření AuthN a cíl odpovědi musí směřovat na cílovou adresu URL poskytovatele identity. Ujistěte se, že je pro poskytovatele identity správně nakonfigurován parametr nameid-format pod správným entityID (SPNameQualifier).
Parametr nameid-format poskytovatele identity je specifikován a název smlouvy je nakonfigurován při vytvoření smlouvy SAML. |
| 4 |
Ověření pro aplikaci probíhá mezi webovými prostředky operačního systému a poskytovatelem identity.
V závislosti na vašem poskytovateli identity a ověřovacích mechanismech nakonfigurovaných pro poskytovatele identity se spouštějí různé toky směrem od poskytovatele identity.
|
| 5 |
Aplikace odešle HTTP Post zpět do služby identity a zahrne atributy poskytnuté poskytovatelem identity a dohodnuté v původní smlouvě.
Když je ověření úspěšné, aplikace odešle informace ve zprávě POST SAML službě identity.
Hodnota RelayState je stejná jako u předchozí zprávy HTTP POST, kde aplikace sděluje poskytovateli identity, které EntityID požaduje potvrzení.
|
| 6 |
Potvrzení SAML od poskytovatele identity pro Webex.
|
| 7 |
Služba identity obdrží autorizační kód, který je nahrazen přístupovým a obnovovacím tokenem OAuth. Tento token se používá k přístupu k prostředkům jménem uživatele.
Poté, co služba identity ověří odpověď od poskytovatele identity, vydá token OAuth, který aplikaci Webex umožní přístup k různým službám Webex.
|
