Adskillige løsninger til administration af webadgang blev testet for Webex-organisationer. De dokumenter, der er linket til nedenfor, indeholder vejledning til, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.


 

Disse vejledninger dækker SSO-integration for Webex-tjenester, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter SSO-integration af et Webex Meetings-websted (administreret i Webstedsadministration), skal du læse Konfigurer enkeltlogon for Cisco Webex-websted.

Hvis du ikke kan se din IdP angivet nedenfor, skal du følge de overordnede trin på fanen SSO-opsætning i denne artikel.

Enkeltlogon (SSO) gør det muligt for brugere at logge sikkert ind på Webex ved at godkende via din organisations fælles identitetsudbyder (IdP). Webex-appen bruger Webex-tjenesten til at kommunikere med Webex Platform Identity Service. Identitetstjenesten godkendes hos din identitetsudbyder (IdP).

Du starter konfigurationen i Control Hub. Dette afsnit indeholder overordnede, generelle trin til integration af en tredjeparts-IdP.


 
Når du konfigurerer SSO med din IdP, kan du knytte enhver attribut til UID'et. Tilknyt f.eks. userPrincipalName, et e-mailalias, en alternativ e-mailadresse eller enhver anden relevant attribut til UID'et. IdP'en skal matche en af brugerens e-mailadresser med UID'et, når du logger ind. Webex understøtter tilknytning af op til 5 e-mailadresser til UID'et.

Krav til identitetsudbydere

For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

  • Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et IdP-krav i henhold til typen af SSO, du implementerer:

    • SSO (for en organisation): Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at omfatte uid-attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).

    • Partner-SSO (kun for tjenesteudbydere): Hvis du er administrator for en tjenesteudbyder, der konfigurerer Partner-SSO til brug af de kundeorganisationer, som tjenesteudbyderen administrerer, skal du konfigurere IdP-kravet til at omfatte attributten mail (i stedet for uid). Værdien skal knyttes til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten.


     

    Få flere oplysninger om tilknytning af brugerdefinerede attributter for enten SSO eller Partner-SSO i https://www.cisco.com/go/hybrid-services-directory.

  • Kun Partner-SSO. Identitetsudbyderen skal understøtte flere ACS-URL'er (Assertion Consumer Service). Se eksempler på, hvordan du konfigurerer flere ACS-URL'er på en identitetsudbyder:

  • Brug en understøttet browser: Vi anbefaler den seneste version af Mozilla Firefox eller Google Chrome.

  • Deaktiver blokering af pop op-vinduer i din browser.


 

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenterede. Andre formater som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integration, men er uden for vores dokumentationsrammer.

Opret en SAML-aftale

Du skal oprette en SAML-aftale mellem Webex Platform Identity Service og din IdP.

Du skal bruge to filer for at oprette en SAML-aftale:

  • En metadatafil fra IdP'en, der skal gives til Webex.

  • En metadatafil fra Webex, der skal gives til IdP'en.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP'en.

Metadatafil fra identitetstjenesten.

Du kan forvente at se følgende i metadatafilen fra identitetstjenesten.

  • EntityID – dette bruges til at identificere SAML-aftalen i IdP-konfigurationen

  • Der er intet krav om en signeret AuthN-anmodning eller nogle signaturantagelser. Den overholder det, IdP'en anmoder om i metadatafilen.

  • En signeret metadatafil til IdP'en for at bekræfte, at metadataene tilhører identitetstjenesten.

Konfigurer Webex Identity Service

1

Fra kundevisningen i Control Hub (https://admin.webex.com): Gå til Administration > Organisationsindstillinger, rul til Godkendelse, og slå indstillingen Enkeltlogon til for at starte konfigurationsguiden.

2

Vælg certifikattype:

  • Selvsigneret af Cisco – Vi anbefaler, at du vælger denne indstilling for at lade os blive SP. Du behøver desuden kun at forny certifikatet hvert femte år.
  • Signeret af en offentlig certifikatmyndighed – Denne valgmulighed er sikker og anbefales, hvis du får dine certifikater signeret af en offentlig certifikatmyndighed som f.eks. Hydrant eller GoDaddy. Du skal dog forny certifikatet en gang om året.
3

Klik på Download metadata, og klik på Næste.

4

Webex Platform Identity-tjenesten validerer metadatafilen fra IdP'en.

Der er to måder, hvorpå du kan validere metadataene fra kunde-IdP'en:

  • Kunde-IdP'en leverer en signatur i metadataene, der er signeret af en Public Root-certifikatmyndighed.

  • Kunde-IdP'en leverer en selvsigneret privat certifikatmyndighed eller angiver ikke en signatur for metadataene. Denne valgmulighed er mindre sikker.

5

Test SSO-forbindelsen, før du aktiverer den. Dette trin fungerer som en prøvekørsel og påvirker ikke dine organisationsindstillinger, før du aktiverer SSO i næste trin.


 

Hvis du vil se SSO-loginprocessen direkte, kan du også klikke på Kopiér URL-adresse til udklipsholder fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette bidrager til at fjerne eventuelle oplysninger gemt i din webbrowser, som kan give et falsk positivt resultat, når du tester din SSO-konfiguration.

6

Hvis testen lykkes, skal du aktivere SSO og gemme ændringerne.

Du skal gemme ændringerne, før SSO kan træde i kraft i din organisation.

Uanset om du har modtaget en meddelelse om et certifikat, der snart udløber, eller du ønsker at kontrollere din eksisterende SSO-konfiguration, kan du bruge Administrationsfunktioner til enkeltlogon (SSO) i Control Hub til certifikatadministration og generelle SSO-vedligeholdelsesaktiviteter.

Hvis du oplever problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at udføre fejlfinding for SAML-flowet mellem din IdP og Webex.

Krav til SSO-fejlfinding

  • Brug tilføjelsesprogrammet til SAML-sporing til Firefox eller Chrome.

  • Når du vil udføre fejlfinding, skal du bruge den webbrowser, hvor du installerede SAML-sporingsværktøjet til fejlfinding, og gå til webversionen af Webex på https://web.webex.com.

Fejlfinding af SAML-flowet mellem Webex-appen, din IdP og Webex-tjenester

Følgende er flowet af meddelelser mellem Webex-appen, Webex-tjenesterne, Webex Platform Identity Service og identitetsudbyderen (IdP).

1

Gå til https://admin.webex.com. Når SSO er aktiveret, beder appen om en e-mailadresse.

Appen sender oplysningerne til Webex-tjenesten, der bekræfter e-mailadressen.

2

Appen sender en GET-anmodning til OAuth-godkendelsesserveren om et token. Anmodningen omdirigeres til identitetstjenesten for at tilgå flowet for SSO eller brugernavn og adgangskode. URL-adressen for godkendelsesserveren returneres.

Du kan se GET-anmodningen i sporingsfilen.

I afsnittet med parametre søger tjenesten efter en OAuth-kode, e-mailen på den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og Scope.

3

Webex-appen anmoder om en SAML-antagelse fra IdP'en ved hjælp af en SAML HTTP POST-meddelelse.

Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i identitetstjenesten til IdP'ens URL for SSO. Den IdP-URL, der blev angivet, da metadataene blev udvekslet.

Kontrollér i sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til IdP'en, som IdPbroker har anmodet om.

Parameteren RelayState viser det rigtige svar fra IdP'en.

Gennemgå afkodningsversionen af SAML-anmodningen. Der er ikke nogen godkendt AuthN, og destinationen for svaret skal være IdP'ens URL. Sørg for, at nameid-formatet er konfigureret korrekt i IdP'en under det korrekte entityID (SPNameQualifier)

IdP'ens nameid-format blev angivet, og navnet på aftalen blev konfigureret, da SAML-aftalen blev oprettet.

4

Godkendelsen af appen sker mellem operativsystemets webressourcer og IdP'en.

Afhængigt af din IdP og de godkendelsesmekanismer, der er konfigureret i IdP'en, startes forskellige flows fra IdP'en.

5

Appen sender en HTTP Post-meddelelse tilbage til identitetstjenesten og inkluderer de attributter, der er leveret af IdP'en som aftalt i den indledende aftale.

Når godkendelsen er gennemført, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjenesten.

RelayState er det samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP'en, hvilket EntityID der anmoder om antagelsen.

6

SAML-antagelse fra IdP til Webex.

7

Identitetstjenesten modtager en autorisationskode, der erstattes med et OAuth-adgangs- og opdateringstoken. Dette token bruges til at få adgang til ressourcer på vegne af brugeren.

Når identitetstjenesten har valideret svaret fra IdP'en, udstedes der et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.