Hvis du har din egen identitetsudbyder (IdP) i din organisation, kan du integrere SAML-IdP'en med din organisation i Control Hub til enkeltlogon (SSO). SSO lader dine brugere anvende et enkelt, fælles sæt legitimationsoplysninger til Webex App-applikationer og andre applikationer i din organisation.
Adskillige løsninger til administration af webadgang blev testet for Webex-organisationer. De dokumenter, der er linket til nedenfor, indeholder vejledning til, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.
Disse vejledninger dækker SSO-integration for Webex-tjenester, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter SSO-integration af et Webex Meetings-websted (administreret i Webstedsadministration), skal du læse Konfigurer enkeltlogon for Cisco Webex-websted. Hvis du vil opsætte SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere id'er. |
Hvis du ikke kan se din IdP angivet nedenfor, skal du følge de overordnede trin på fanen SSO-opsætning i denne artikel.
Enkeltlogon (SSO) gør det muligt for brugere at logge sikkert ind på Webex ved at godkende via din organisations fælles identitetsudbyder (IdP). Webex-appen bruger Webex-tjenesten til at kommunikere med Webex Platform Identity Service. Identitetstjenesten godkendes hos din identitetsudbyder (IdP).
Du starter konfigurationen i Control Hub. Dette afsnit indeholder overordnede, generelle trin til integration af en tredjeparts-IdP.
Når du konfigurerer SSO med din IdP, kan du knytte enhver attribut til UID'et. Tilknyt f.eks. userPrincipalName, et e-mailalias, en alternativ e-mailadresse eller enhver anden relevant attribut til UID'et. IdP'en skal matche en af brugerens e-mailadresser med UID'et, når du logger ind. Webex understøtter tilknytning af op til 5 e-mailadresser til UID'et. |
Vi anbefaler, at du medtager Single Log Out (SLO) til din metadatakonfiguration, mens du opsætter Webex SAML-sammenslutning. Dette trin er afgørende for at sikre, at brugertokens er ugyldige på både identitetsudbyderen (IdP) og tjenesteudbyderen (SP). Hvis denne konfiguration ikke udføres af en administrator, advarer Webex brugere om at lukke deres browsere for at ugyldiggøre alle sessioner, der er åbne. |
For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:
Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurer et IdP-krav i henhold til typen af SSO, du implementerer:
SSO (for en organisation): Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at omfatte uid-attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).
Partner-SSO (kun for tjenesteudbydere): Hvis du er administrator for en tjenesteudbyder, der konfigurerer Partner-SSO til brug af de kundeorganisationer, som tjenesteudbyderen administrerer, skal du konfigurere IdP-kravet til at omfatte attributten mail (i stedet for uid). Værdien skal knyttes til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten.
Få flere oplysninger om tilknytning af brugerdefinerede attributter for enten SSO eller Partner-SSO i https://www.cisco.com/go/hybrid-services-directory.
Kun Partner-SSO. Identitetsudbyderen skal understøtte flere ACS-URL'er (Assertion Consumer Service). Se eksempler på, hvordan du konfigurerer flere ACS-URL'er på en identitetsudbyder:
Brug en understøttet browser: Vi anbefaler den seneste version af Mozilla Firefox eller Google Chrome.
Deaktiver blokering af pop op-vinduer i din browser.
Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinene for |
Du skal oprette en SAML-aftale mellem Webex Platform Identity Service og din IdP.
Du skal bruge to filer for at oprette en SAML-aftale:
En metadatafil fra IdP'en, der skal gives til Webex.
En metadatafil fra Webex, der skal gives til IdP'en.
Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP'en.
Metadatafil fra identitetstjenesten.
Du kan forvente at se følgende i metadatafilen fra identitetstjenesten.
EntityID – dette bruges til at identificere SAML-aftalen i IdP-konfigurationen
Der er intet krav om en signeret AuthN-anmodning eller nogle signaturantagelser. Den overholder det, IdP'en anmoder om i metadatafilen.
En signeret metadatafil til IdP'en for at bekræfte, at metadataene tilhører identitetstjenesten.
1 | Fra kundevisningen i Control Hub ( https://admin.webex.com) skal du gå til , rul til Godkendelseog klik Aktivér SSOindstilling for at starte konfigurationsguiden. |
2 | Vælg Webex som dit P-id, og klik på Næste. |
3 | Kontrollér at jeg har læst og forstået, hvordan Webex-id fungerer, og klik på Næste |
4 | Opsæt en dirigeringsregel. Når du har tilføjet en distributionsregel, tilføjes dit IDP og vises under fanen Identitetsudbyder .
Få flere oplysninger i SSO med flere id'er.
|
Uanset om du har modtaget en meddelelse om et certifikat, der snart udløber, eller du ønsker at kontrollere din eksisterende SSO-konfiguration, kan du bruge Administrationsfunktioner til enkeltlogon (SSO) i Control Hub til certifikatadministration og generelle SSO-vedligeholdelsesaktiviteter.
Hvis du oplever problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at udføre fejlfinding for SAML-flowet mellem din IdP og Webex.
Brug tilføjelsesprogrammet til SAML-sporing til Firefox, Chrome, eller Edge.
Når du vil udføre fejlfinding, skal du bruge den webbrowser, hvor du installerede SAML-sporingsværktøjet til fejlfinding, og gå til webversionen af Webex på https://web.webex.com.
Følgende er flowet af meddelelser mellem Webex-appen, Webex-tjenesterne, Webex Platform Identity Service og identitetsudbyderen (IdP).
1 | Gå til https://admin.webex.com. Når SSO er aktiveret, beder appen om en e-mailadresse.
Appen sender oplysningerne til Webex-tjenesten, der bekræfter e-mailadressen.
|
2 | Appen sender en GET-anmodning til OAuth-godkendelsesserveren om et token. Anmodningen omdirigeres til identitetstjenesten for at tilgå flowet for SSO eller brugernavn og adgangskode. URL-adressen for godkendelsesserveren returneres. Du kan se GET-anmodningen i sporingsfilen. I afsnittet med parametre søger tjenesten efter en OAuth-kode, e-mailen på den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og Scope. |
3 | Webex-appen anmoder om en SAML-antagelse fra IdP'en ved hjælp af en SAML HTTP POST-meddelelse.
Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i identitetstjenesten til IdP'ens URL for SSO. Den IdP-URL, der blev angivet, da metadataene blev udvekslet. Kontrollér i sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til IdP'en, som IdPbroker har anmodet om. Parameteren RelayState viser det rigtige svar fra IdP'en. Gennemgå afkodningsversionen af SAML-anmodningen. Der er ikke nogen godkendt AuthN, og destinationen for svaret skal være IdP'ens URL. Sørg for, at nameid-formatet er konfigureret korrekt i IdP'en under det korrekte entityID (SPNameQualifier) IdP'ens nameid-format blev angivet, og navnet på aftalen blev konfigureret, da SAML-aftalen blev oprettet. |
4 | Godkendelsen af appen sker mellem operativsystemets webressourcer og IdP'en.
Afhængigt af din IdP og de godkendelsesmekanismer, der er konfigureret i IdP'en, startes forskellige flows fra IdP'en. |
5 | Appen sender en HTTP Post-meddelelse tilbage til identitetstjenesten og inkluderer de attributter, der er leveret af IdP'en som aftalt i den indledende aftale.
Når godkendelsen er gennemført, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjenesten. RelayState er det samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP'en, hvilket EntityID der anmoder om antagelsen. |
6 | SAML-antagelse fra IdP til Webex. |
7 | Identitetstjenesten modtager en autorisationskode, der erstattes med et OAuth-adgangs- og opdateringstoken. Dette token bruges til at få adgang til ressourcer på vegne af brugeren.
Når identitetstjenesten har valideret svaret fra IdP'en, udstedes der et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester. |