Før integration af single sign-on (SSO) bruger Webex som standard grundlæggende godkendelse. Grundlæggende godkendelse kræver, at brugerne indtaster deres Webex-brugernavn og adgangskode, hver gang de logger ind. Hvis du har din egen identitetsudbyder (IdP) i din organisation, kan du integrere den med din organisation i Control Hub til SSO. SSO giver dine brugere mulighed for at bruge et enkelt, fælles sæt legitimationsoplysninger til Webex-applikationer i din organisation.

Hvis du foretrækker at bruge grundlæggende godkendelse, behøver du ikke at foretage dig noget. Husk dog, at grundlæggende godkendelse kan være mindre sikker og mindre bekvem for brugerne end SSO, især hvis din organisation allerede bruger en IdP. For forbedret sikkerhed med grundlæggende godkendelse anbefaler vi at bruge multifaktorgodkendelse (MFA) i Control Hub. Du kan finde flere oplysninger i Aktivér integration af multifaktorgodkendelse i Control Hub.

Adskillige løsninger til administration af webadgang blev testet for Webex-organisationer. De dokumenter, der er linket til nedenfor, indeholder vejledning til, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.

Disse vejledninger dækker SSO-integration for Webex-tjenester, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter SSO-integration af et Webex Meetings-websted (administreret i Webstedsadministration), skal du læse Konfigurer enkeltlogon for Cisco Webex-websted.

Hvis du vil konfigurere SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere IdP'er i Webex.

Hvis du ikke kan se din IdP angivet nedenfor, skal du følge de overordnede trin på fanen SSO-opsætning i denne artikel.

Enkeltlogon (SSO) gør det muligt for brugere at logge sikkert ind på Webex ved at godkende via din organisations fælles identitetsudbyder (IdP). Webex-appen bruger Webex-tjenesten til at kommunikere med Webex Platform Identity Service. Identitetstjenesten godkendes hos din identitetsudbyder (IdP).

Du starter konfigurationen i Control Hub. Dette afsnit indeholder overordnede, generelle trin til integration af en tredjeparts-IdP.

Når du konfigurerer SSO med din IdP, kan du knytte enhver attribut til UID'et. Tilknyt f.eks. userPrincipalName, et e-mailalias, en alternativ e-mailadresse eller enhver anden relevant attribut til UID'et. IdP'en skal matche en af brugerens e-mailadresser med UID'et, når du logger ind. Webex understøtter tilknytning af op til 5 e-mailadresser til UID'et.

Vi anbefaler, at du inkluderer enkeltlogning (SLO) i din metadatakonfiguration, når du konfigurerer Webex SAML-føderation. Dette trin er afgørende for at sikre, at brugertokens ugyldiggøres hos både identitetsudbyderen (IdP) og tjenesteudbyderen (SP). Hvis denne konfiguration ikke udføres af en administrator, advarer Webex brugerne om at lukke deres browsere for at ugyldiggøre eventuelle åbne sessioner.

Krav til identitetsudbydere

For SSO og Control Hub skal IdP'er være i overensstemmelse med SAML 2.0-specifikationen. Derudover skal IdP'er konfigureres på følgende måde:

  • Indstil attributten NameID Format til urn:oasis:names:tc:SAML:2.0:nameid-format:forbigående

  • Konfigurer et IdP-krav i henhold til typen af SSO, du implementerer:

    • SSO (for en organisation): Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at omfatte uid-attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).

    • Partner-SSO (kun for tjenesteudbydere): Hvis du er administrator for en tjenesteudbyder, der konfigurerer Partner-SSO til brug af de kundeorganisationer, som tjenesteudbyderen administrerer, skal du konfigurere IdP-kravet til at omfatte attributten mail (i stedet for uid). Værdien skal knyttes til den attribut, der er valgt i Directory Connector, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjenesten.

    Få flere oplysninger om tilknytning af brugerdefinerede attributter for enten SSO eller Partner-SSO i https://www.cisco.com/go/hybrid-services-directory.

  • Kun Partner-SSO. Identitetsudbyderen skal understøtte flere ACS-URL'er (Assertion Consumer Service). Se eksempler på, hvordan du konfigurerer flere ACS-URL'er på en identitetsudbyder:

  • Brug en understøttet browser: Vi anbefaler den seneste version af Mozilla Firefox eller Google Chrome.

  • Deaktiver blokering af pop op-vinduer i din browser.

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel er integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteret. Andre formater som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer også til SSO-integration, men er uden for rammerne af vores dokumentation.

Opret en SAML-aftale

Du skal oprette en SAML-aftale mellem Webex Platform Identity Service og din IdP.

Du skal bruge to filer for at oprette en SAML-aftale:

  • En metadatafil fra IdP'en, der skal gives til Webex.

  • En metadatafil fra Webex, der skal gives til IdP'en.

Flow af metadatafiludveksling mellem Webex og identitetsudbyderen.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP'en.

Skærmbillede af en PingFederate-metadatafil, der viser metadata fra identitetsudbyderen.

Metadatafil fra identitetstjenesten.

Skærmbillede af metadatafilen fra identitetstjenesten.

Du kan forvente at se følgende i metadatafilen fra identitetstjenesten.

Skærmbillede af metadatafilen fra identitetstjenesten.

  • EntityID – dette bruges til at identificere SAML-aftalen i IdP-konfigurationen

  • Der er intet krav om en signeret AuthN-anmodning eller nogle signaturantagelser. Den overholder det, IdP'en anmoder om i metadatafilen.

  • En signeret metadatafil til IdP'en for at bekræfte, at metadataene tilhører identitetstjenesten.

Skærmbillede af en signeret metadatafil, som identitetsudbyderen kan bruge til at bekræfte, at metadataene tilhører identitetstjenesten.

Skærmbillede af en signeret metadatafil ved hjælp af Okta.

Konfigurer Webex Identity Service
1

Log ind på Control Hub.

2

Gå til Ledelse > Sikkerhed > Godkendelse.

3

Gå til fanen Identitetsudbyder og klik på Aktiver SSO.

4

Vælg Webex som din IdP, og klik på Næste.

5

Markér Jeg har læst og forstået, hvordan Webex IdP fungerer og klik på Næste.

6

Opsæt en routingregel.

Når du har tilføjet en routingregel, tilføjes din IdP og vises under fanen Identitetsudbyder.
For mere information, se SSO med flere IdP'er i Webex.

Uanset om du har modtaget en meddelelse om et certifikat, der snart udløber, eller du ønsker at kontrollere din eksisterende SSO-konfiguration, kan du bruge Administrationsfunktioner til enkeltlogon (SSO) i Control Hub til certifikatadministration og generelle SSO-vedligeholdelsesaktiviteter.

Hvis du oplever problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at udføre fejlfinding for SAML-flowet mellem din IdP og Webex.

Krav til SSO-fejlfinding

  • Brug SAML tracer-tilføjelsen til Firefox, Chromeeller Edge.

  • Når du vil udføre fejlfinding, skal du bruge den webbrowser, hvor du installerede SAML-sporingsværktøjet til fejlfinding, og gå til webversionen af Webex på https://web.webex.com.

Fejlfinding af SAML-flowet mellem Webex-appen, din IdP og Webex-tjenester

Følgende er flowet af meddelelser mellem Webex-appen, Webex-tjenesterne, Webex Platform Identity Service og identitetsudbyderen (IdP).

SAML-flow mellem Webex-appen, Webex-tjenester, Webex-platformidentitetstjeneste og identitetsudbyderen.
1

Gå til https://admin.webex.com. Når SSO er aktiveret, beder appen om en e-mailadresse.

Control Hub-logonskærm.

Appen sender oplysningerne til Webex-tjenesten, der bekræfter e-mailadressen.

Oplysninger sendt til Webex-tjenesten til bekræftelse af e-mailadresse.

2

Appen sender en GET-anmodning til OAuth-godkendelsesserveren om et token. Anmodningen omdirigeres til identitetstjenesten for at tilgå flowet for SSO eller brugernavn og adgangskode. URL-adressen for godkendelsesserveren returneres.

Du kan se GET-anmodningen i sporingsfilen.

GET-anmodningsdetaljer i logfilen.

I afsnittet med parametre søger tjenesten efter en OAuth-kode, e-mailen på den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og Scope.

Parametersektion, der viser OAuth-detaljer såsom ClientID, redirectURI og Scope.

3

Webex-appen anmoder om en SAML-antagelse fra IdP'en ved hjælp af en SAML HTTP POST-meddelelse.

Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i identitetstjenesten til IdP'ens URL for SSO. Den IdP-URL, der blev angivet, da metadataene blev udvekslet.

Godkendelsesprogrammet omdirigerer brugerne til den identitetsudbyder-URL, der er angivet under metadataudvekslingen.

Kontrollér i sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til IdP'en, som IdPbroker har anmodet om.

SAML POST-besked til identitetsudbyderen.

Parameteren RelayState viser det rigtige svar fra IdP'en.

RelayState-parameteren viser det korrekte svar fra identitetsudbyderen.

Gennemgå afkodningsversionen af SAML-anmodningen. Der er ikke nogen godkendt AuthN, og destinationen for svaret skal være IdP'ens URL. Sørg for, at nameid-formatet er konfigureret korrekt i IdP'en under det korrekte entityID (SPNameQualifier)

SAML-anmodning, der viser det nameid-format, der er konfigureret i identitetsudbyderen.

IdP'ens nameid-format blev angivet, og navnet på aftalen blev konfigureret, da SAML-aftalen blev oprettet.

4

Godkendelsen af appen sker mellem operativsystemets webressourcer og IdP'en.

Afhængigt af din IdP og de godkendelsesmekanismer, der er konfigureret i IdP'en, startes forskellige flows fra IdP'en.

Pladsholder for identitetsudbyder for din organisation.

5

Appen sender en HTTP Post-meddelelse tilbage til identitetstjenesten og inkluderer de attributter, der er leveret af IdP'en som aftalt i den indledende aftale.

Når godkendelsen er gennemført, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjenesten.

SAML POST-besked til identitetstjenesten.

RelayState er det samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP'en, hvilket EntityID der anmoder om antagelsen.

HTTP POST-meddelelse, der angiver, hvilket entitets-ID der anmoder om assertionen fra identitetsudbyderen.

6

SAML-antagelse fra IdP til Webex.

SAML-påstand fra identitetsudbyderen til Webex.

SAML-påstand fra identitetsudbyderen til Webex.

SAML-påstand fra identitetsudbyderen til Webex: Navne-ID-format er uspecificeret.

SAML-påstand fra identitetsudbyderen til Webex: E-mail i NameID-format.

SAML-påstand fra identitetsudbyderen til Webex: NameID-format forbigående.

7

Identitetstjenesten modtager en autorisationskode, der erstattes med et OAuth-adgangs- og opdateringstoken. Dette token bruges til at få adgang til ressourcer på vegne af brugeren.

Når identitetstjenesten har valideret svaret fra IdP'en, udstedes der et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.

OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.