Adskillige løsninger til administration af webadgang blev testet for Webex-organisationer. De dokumenter, der er linket til nedenfor, indeholder vejledning til, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.

Disse vejledninger dækker SSO-integration for Webex-tjenester, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter SSO-integration af et Webex Meetings-websted (administreret i Webstedsadministration), skal du læse Konfigurer enkeltlogon for Cisco Webex-websted.

Hvis du vil opsætte SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere IdP'er i Webex.

Hvis du ikke kan se din IdP angivet nedenfor, skal du følge de overordnede trin på fanen SSO-opsætning i denne artikel.

Enkeltlogon (SSO) gør det muligt for brugere at logge sikkert ind på Webex ved at godkende via din organisations fælles identitetsudbyder (IdP). Webex-appen bruger Webex-tjenesten til at kommunikere med Webex Platform Identity Service. Identitetstjenesten godkendes hos din identitetsudbyder (IdP).

Du starter konfigurationen i Control Hub. Dette afsnit indeholder overordnede, generelle trin til integration af en tredjeparts-IdP.

Når du konfigurerer SSO med din IdP, kan du knytte enhver attribut til UID'et. Tilknyt f.eks. userPrincipalName, et e-mailalias, en alternativ e-mailadresse eller enhver anden relevant attribut til UID'et. IdP'en skal matche en af brugerens e-mailadresser med UID'et, når du logger ind. Webex understøtter tilknytning af op til 5 e-mailadresser til UID'et.

Vi anbefaler, at du medtager enkeltlogout (SLO) til din metadatakonfiguration, mens du konfigurerer Webex SAML-sammenslutning. Dette trin er afgørende for at sikre, at brugertokens ugyldiggøres på både identitetsudbyderen (IdP) og serviceudbyderen (SP). Hvis denne konfiguration ikke udføres af en administrator, giver Webex brugere besked om at lukke deres browsere for at ugyldiggøre sessioner, der er tilbage åbne.

Krav til identitetsudbydere

For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

  • Indstil attributten NameID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:Kortvarig

  • Konfigurer et IdP-krav i henhold til typen af SSO, du implementerer:

    • SSO (for en organisation): Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at omfatte uid-attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).

    • Partner-SSO (kun for tjenesteudbydere): Hvis du er administrator for en tjenesteudbyder, der konfigurerer Partner-SSO til brug af de kundeorganisationer, som tjenesteudbyderen administrerer, skal du konfigurere IdP-kravet til at omfatte attributten mail (i stedet for uid). Værdien skal knyttes til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten.

    Få flere oplysninger om tilknytning af brugerdefinerede attributter for enten SSO eller Partner-SSO i https://www.cisco.com/go/hybrid-services-directory.

  • Kun Partner-SSO. Identitetsudbyderen skal understøtte flere ACS-URL'er (Assertion Consumer Service). Se eksempler på, hvordan du konfigurerer flere ACS-URL'er på en identitetsudbyder:

  • Brug en understøttet browser: Vi anbefaler den seneste version af Mozilla Firefox eller Google Chrome.

  • Deaktiver blokering af pop op-vinduer i din browser.

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel dokumenteres integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andre formater, som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress kan bruges til SSO-integration, men ligger uden for omfanget af vores dokumentation.

Opret en SAML-aftale

Du skal oprette en SAML-aftale mellem Webex Platform Identity Service og din IdP.

Du skal bruge to filer for at oprette en SAML-aftale:

  • En metadatafil fra IdP'en, der skal gives til Webex.

  • En metadatafil fra Webex, der skal gives til IdP'en.

Flow af udveksling af metadatafiler mellem Webex og identitetsudbyderen.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP'en.

Skærmbillede af en PingFederate-metadatafil, der viser metadata fra identitetsudbyderen.

Metadatafil fra identitetstjenesten.

Skærmbillede af metadatafilen fra identitetstjenesten.

Du kan forvente at se følgende i metadatafilen fra identitetstjenesten.

Skærmbillede af metadatafilen fra identitetstjenesten.

  • EntityID – dette bruges til at identificere SAML-aftalen i IdP-konfigurationen

  • Der er intet krav om en signeret AuthN-anmodning eller nogle signaturantagelser. Den overholder det, IdP'en anmoder om i metadatafilen.

  • En signeret metadatafil til IdP'en for at bekræfte, at metadataene tilhører identitetstjenesten.

Skærmbillede af en underskrevet metadatafil til identitetsudbyderen for at bekræfte, at metadataene tilhører identitetstjenesten.

Skærmbillede af en underskrevet metadatafil ved brug af Okta.

Konfigurer Webex Identity Service
1

Fra kundevisningen i Control Hub ( https://admin.webex.com) skal du gå til Administration > Organisationsindstillinger, rulle ned til Godkendelse og klikke på Aktivér SSO -indstilling for at starte konfigurationsguiden.

2

Vælg Webex som din IdP, og klik på Næste.

3

Markér Jeg har læst og forstået, hvordan Webex IdP fungerer , og klik på Næste.

4

Opsæt en dirigeringsregel.

Når du har tilføjet en dirigeringsregel, tilføjes din IdP og vises under fanen Identitetsudbyder .
Få flere oplysninger i SSO med flere IdP'er i Webex.

Uanset om du har modtaget en meddelelse om et certifikat, der snart udløber, eller du ønsker at kontrollere din eksisterende SSO-konfiguration, kan du bruge Administrationsfunktioner til enkeltlogon (SSO) i Control Hub til certifikatadministration og generelle SSO-vedligeholdelsesaktiviteter.

Hvis du oplever problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at udføre fejlfinding for SAML-flowet mellem din IdP og Webex.

Krav til SSO-fejlfinding

  • Brug tilføjelsesprogrammet SAML Tracer til Firefox, Chrome eller Edge.

  • Når du vil udføre fejlfinding, skal du bruge den webbrowser, hvor du installerede SAML-sporingsværktøjet til fejlfinding, og gå til webversionen af Webex på https://web.webex.com.

Fejlfinding af SAML-flowet mellem Webex-appen, din IdP og Webex-tjenester

Følgende er flowet af meddelelser mellem Webex-appen, Webex-tjenesterne, Webex Platform Identity Service og identitetsudbyderen (IdP).

SAML-flow mellem Webex-appen, Webex-tjenesteydelser, Webex Platform Identity Service og identitetsudbyderen.
1

Gå til https://admin.webex.com. Når SSO er aktiveret, beder appen om en e-mailadresse.

Control Hub-logonskærm.

Appen sender oplysningerne til Webex-tjenesten, der bekræfter e-mailadressen.

Oplysninger sendt til Webex-tjenesteydelsen med henblik på bekræftelse af e-mailadresse.

2

Appen sender en GET-anmodning til OAuth-godkendelsesserveren om et token. Anmodningen omdirigeres til identitetstjenesten for at tilgå flowet for SSO eller brugernavn og adgangskode. URL-adressen for godkendelsesserveren returneres.

Du kan se GET-anmodningen i sporingsfilen.

Få ANMODNINGSOPLYSNINGER i logfilen.

I afsnittet med parametre søger tjenesten efter en OAuth-kode, e-mailen på den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og Scope.

Afsnittet Parametre, der viser OAuth-oplysninger, såsom ClientID, redirectURI og Scope.

3

Webex-appen anmoder om en SAML-antagelse fra IdP'en ved hjælp af en SAML HTTP POST-meddelelse.

Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i identitetstjenesten til IdP'ens URL for SSO. Den IdP-URL, der blev angivet, da metadataene blev udvekslet.

Godkendelsesprogrammet omdirigerer brugere til den identitetsudbyders URL-adresse, der er angivet under metadataudvekslingen.

Kontrollér i sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til IdP'en, som IdPbroker har anmodet om.

SAML POST-meddelelse til identitetsudbyderen.

Parameteren RelayState viser det rigtige svar fra IdP'en.

RelayState-parameter, der viser det korrekte svar fra identitetsudbyderen.

Gennemgå afkodningsversionen af SAML-anmodningen. Der er ikke nogen godkendt AuthN, og destinationen for svaret skal være IdP'ens URL. Sørg for, at nameid-formatet er konfigureret korrekt i IdP'en under det korrekte entityID (SPNameQualifier)

SAML-anmodning, der viser det nameid-format, der er konfigureret i identitetsudbyderen.

IdP'ens nameid-format blev angivet, og navnet på aftalen blev konfigureret, da SAML-aftalen blev oprettet.

4

Godkendelsen af appen sker mellem operativsystemets webressourcer og IdP'en.

Afhængigt af din IdP og de godkendelsesmekanismer, der er konfigureret i IdP'en, startes forskellige flows fra IdP'en.

Identitetsudbyders pladsholder for din organisation.

5

Appen sender en HTTP Post-meddelelse tilbage til identitetstjenesten og inkluderer de attributter, der er leveret af IdP'en som aftalt i den indledende aftale.

Når godkendelsen er gennemført, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjenesten.

SAML POST-meddelelse til identitetstjenesten.

RelayState er det samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP'en, hvilket EntityID der anmoder om antagelsen.

HTTP POST-meddelelse, der angiver, hvilket entitets-id der anmoder om erklæringen fra identitetsudbyderen.

6

SAML-antagelse fra IdP til Webex.

SAML-erklæring fra identitetsudbyderen til Webex.

SAML-erklæring fra identitetsudbyderen til Webex.

SAML-erklæring fra identitetsudbyderen til Webex: NameID-format er ikke angivet.

SAML-erklæring fra identitetsudbyderen til Webex: NameID-format e-mail.

SAML-erklæring fra identitetsudbyderen til Webex: NameID-format er kortvarigt.

7

Identitetstjenesten modtager en autorisationskode, der erstattes med et OAuth-adgangs- og opdateringstoken. Dette token bruges til at få adgang til ressourcer på vegne af brugeren.

Når identitetstjenesten har valideret svaret fra IdP'en, udstedes der et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.

OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenesteydelser.