Die folgenden WebZugriffsverwaltungs- und Federation-Lösungen wurden für Webex-Organisationen getestet. In den unten verlinkten Dokumenten erfahren Sie, wie Sie diesen spezifischen Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können.


Diese Leitfäden behandeln SSO-Integration für Webex-Dienste, die in Control Hub ( ) verwaltethttps://admin.webex.comwerden. Wenn Sie nach einer SSO-Integration einer Webex Meetings-Site suchen (verwaltet in Site-Administration), lesen Sie Konfigurieren der einmaligen Anmeldung für Cisco Webex Meetings-Seite.

Wenn Ihr IdP unten nicht aufgeführt ist, befolgen Sie die oben aufgeführten Schritte auf der registerkarte SSO Setup in diesem Artikel.

Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer auf sichere Weise bei Webex anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren. Die Webex-App verwendet das Webex-Dienst um mit dem Webex Platform-Identitätsdienst zu kommunizieren. Der Identitätsdienst authentifiziert sich Ihrem Identitätsanbieter (IdP).

Sie beginnen mit der Konfiguration im Control Hub. In diesem Abschnitt finden Sie wichtige und allgemeine Schritte für die Integration eines externen IdP.

Für SSO und Control Hubmüssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie einen Anspruch an den IdP entsprechend der Art SSO, die Sie bereitstellen:

    • SSO (für eine Organisation) – Wenn Sie SSO im Auftrag einer Organisation konfigurieren, konfigurieren Sie den IdP-Anspruch so, dass er den Namen des uid-Attributs mit einem Wert enthält, der dem in Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zugeordnet wird, das mit dem im Webex-Identitätsdienst gewählten Attribut Identitätsdienst. (Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.)

    • Partner-SSO (nur für Dienstanbieter) – Wenn Sie ein Dienstleister-Administrator sind, der Partner SSO für die Verwendung durch die von Dienstleister verwalteten Kundenorganisationen konfiguriert, konfigurieren Sie den IdP-Anspruch so, dass dieses das E-Mail-Attribut enthält (anstatt uid). Der Wert muss dem im Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zuordnen, das mit dem in der Webex-Auswahl ausgewählten Attribut Identitätsdienst.


    Weitere Informationen zum Zuordnen benutzerdefinierter Attribute für das SSO oder für SSO finden Sie unter https://www.cisco.com/go/hybrid-services-directory.

  • Nur SSO Partner. Die Identitätsanbieter muss mehrere ACS-URLs (Assertion-Verbraucherdienst Support) unterstützen. Beispiele für die Konfiguration mehrerer ACS-URLs auf einem Identitätsanbieter Sie unter:

  • Verwenden Sie einen unterstützten Browser: Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.


Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Sie müssen eine SAML-Vereinbarung zwischen dem Webex-Plattform-Identitätsdienst und Ihrem IdP einrichten.

Sie benötigen zwei Dateien, um eine erfolgreiche SAML-Vereinbarung zu erzielen:

  • Eine Metadatendatei des IdP, die Sie an Webex gebenmüssen.

  • Eine Metadatendatei von Webex, die dem IdP zu verfügungt.

Dies ist ein Beispiel für eine PingFederate-Metadatendatei mit Metadaten aus dem IdP.

Metadaten-Datei vom Identitätsdienst.

Folgendes erwartet Sie in der Metadatendatei vom Identitätsdienst.

  • EntityID: Sie wird verwendet, um die SAML-Vereinbarung in der IdP-Konfiguration zu identifizieren

  • Es besteht keine Notwendigkeit für eine signierte AuthN-Anfrage oder eine Sign-Assertion, sie entspricht den Anforderungen des IdP in der Metadatendatei.

  • Eine signierte Metadatendatei für den IdP, um zu überprüfen, ob die Metadaten zum Identitätsdienst gehören.

1

Wechseln Sie aus der Kundenansicht in Control Hub ( ) zu Management > Organisationseinstellungen , blättern Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Konfigurationsassistentenhttps://admin.webex.com zu starten.

2

Wählen Sie den Zertifikattyp aus:

  • Selbstsigniertes von Cisco – Wir empfehlen, dass Sie diese Option wählen, damit wirder Sp werden. Außerdem müssen Sie das Zertifikat nur alle fünf Jahre erneuern.
  • Von einer öffentlichen Zertifizierungsstelle signiert – Diese Option ist sicher und ratsam, wenn Sie Ihre Zertifikate von einer öffentlichen Zertifizierungsstelle wieHydrant oder Godaddy signiert haben. Sie müssen das Zertifikat jedoch einmal im Jahr erneuern.
3

Klicken Sie auf Metadaten herunterladen und dann auf Weiter.

4

Der Webex Platform-Identitätsdienst validiert die Metadatendatei vom IdP.

Es gibt zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.

  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.

5

Testen Sie die SSO-Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.


 

Um den anmeldebasierten SSO können Sie von diesem Bildschirm aus auch auf URL in Zwischenablage kopieren klicken und ihn in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit Ihrem Neuen SSO. Auf diese Weise können Sie alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernen, die beim Testen Ihrer Browserkonfiguration zu einem falschen SSO führen könnten.

6

Wenn der Test erfolgreich ist, schalten Sie SSO aus und speichern Sie die Änderungen.

Sie müssen die Änderungen speichern, damit SSO Änderungen in Ihrer Organisation wirksam werden.

Sie können die Verwaltungsfunktionen der einmaligen Anmeldung (Single Sign-On, SSO) in Control Hub für Zertifikats-Management- und allgemeine SSO-Wartungsaktivitäten verwenden, unabhängig davon, ob Sie eine Benachrichtigung über ein auslaufenes Zertifikat erhalten haben oder ob Sie Ihre bestehende SSO-Konfiguration überprüfen möchten.

Wenn bei der Integration Ihrer SSO Probleme auftreten, verwenden Sie die Anforderungen und das Verfahren in diesem Abschnitt, um die Fehler beim SAML-Flow zwischen Ihrem IdP und Webex zu beheben.

  • Verwenden Sie das SAML-Trace-Add-on für Firefox oder Chrome.

  • Verwenden Sie zur Fehlerbehebung den Webbrowser, in dem Sie das SAML-Trace-Debug-Tool installiert haben, und wechseln Sie zur Webversion von Webex unter https://web.webex.com.

Im Folgenden finden Sie den Nachrichtenfluss zwischen der Webex-App, den Webex-Diensten, dem Webex-Plattform-Identitätsdienst und dem Identitätsanbieter (IdP).

  1. Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com
  2. Die App sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.
  3. Die Webex-App fordert mithilfe eines SAML-HTTP-POST eine SAML-Zusicherung vom IdP an.
  4. Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.
  5. Die App sendet einen HTTP-Post zurück an die Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.
  6. SAML-Assertion vom IdP an Webex.
  7. Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.
1

Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com

Die App sendet die Informationen an den Webex-Dienst damit die E-Mail-Adresse überprüft wird.

2

Die App sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.

Sie können die GET-Anfrage in der Trace-Datei sehen.

Im Parameterabschnitt sucht der Dienst nach einem OAuth-Code, einer E-Mail des Benutzers, der die Anfrage gesendet hat, und anderen OAuth-Details wie ClientID, redirectURI und Scope.

3

Die Webex-App fordert mithilfe eines SAML-HTTP-POST eine SAML-Zusicherung vom IdP an.

Wenn SSO aktiviert ist, leitet das Authentifizierungsmodul im Identitätsdienst die IDP-URL für SSO um. Die IdP-URL, die beim Austausch der Metadaten angegeben wurde.

Überprüfen Sie das Trace-Tool für eine SAML POST-Nachricht. Sie sehen eine HTTP-POST-Nachricht des IdP, der vom IdPbroker angefordert wurde.

Der RelayState-Parameter zeigt die richtige Antwort vom IdP an.

Überprüfen Sie die Decodierungsversion der SAML-Anforderung, es gibt kein Mandaten-AuthN und das Ziel der Antwort sollte auf die Ziel-URL des IdP verweisen. Stellen Sie sicher, dass das nameid-Format im IdP unter der richtigen EntityID (SPNameQualifier) korrekt konfiguriert ist.

Das nameid-Format des IdP wird angegeben und der Name der Vereinbarung, der beim Erstellen der SAML-Vereinbarung konfiguriert wurde.

4

Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.

Abhängig von Ihrem IdP und den im IdP konfigurierten Authentifizierungsmechanismen werden verschiedene Flüsse vom IdP gestartet.

5

Die App sendet einen HTTP-Post zurück an die Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.

Wenn die Authentifizierung erfolgreich ist, sendet die App die Informationen in einer SAML POST-Nachricht an Identitätsdienst.

Der RelayState entspricht der vorherigen HTTP POST-Nachricht, wobei die App dem IdP mitteilt, welche EntityID die Zusicherung anfordert.

6

SAML-Assertion vom IdP an Webex.

7

Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.

Nachdem der Identitätsdienst die Antwort vom IdP validiert hat, gibt er ein OAuth-Token aus, mit dem die Webex-App auf die verschiedenen Webex-Dienste zugreifen kann.