Die folgenden WebZugriffsverwaltungs- und Federation-Lösungen wurden für Webex-Organisationen getestet. In den unten verlinkten Dokumenten erfahren Sie, wie Sie diesen spezifischen Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können.


Diese Leitfäden behandeln SSO-Integration für Webex-Dienste, die in Control Hub ( ) verwaltethttps://admin.webex.comwerden. Wenn Sie nach einer SSO-Integration einer Webex Meetings-Site suchen (verwaltet in Site-Administration), lesen Sie Konfigurieren der einmaligen Anmeldung für Cisco Webex Meetings-Seite.

Wenn Ihr IdP unten nicht aufgeführt ist, befolgen Sie die oben aufgeführten Schritte auf der registerkarte SSO Setup in diesem Artikel.

Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer auf sichere Weise bei Webex anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren. Die Webex-App verwendet das Webex-Dienst um mit dem Webex Platform-Identitätsdienst zu kommunizieren. Der Identitätsdienst authentifiziert sich Ihrem Identitätsanbieter (IdP).

Sie starten die Konfiguration in Control Hub. In diesem Abschnitt finden Sie wichtige und allgemeine Schritte für die Integration eines externen IdP.

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie einen Anspruch an den IdP entsprechend der Art SSO, die Sie bereitstellen:

    • SSO (für eine Organisation) – Wenn Sie SSO im Auftrag einer Organisation konfigurieren, konfigurieren Sie den IdP-Anspruch so, dass er den Namen des uid-Attributs mit einem Wert enthält, der dem im Verzeichniskonnektor ausgewählten Attribut zugeordnet ist, oder dem Benutzerattribut, das mit dem im Webex-Identitätsdienst gewählt wurde. (Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.)

    • Partner SSO (nur für Dienstanbieter) – Wenn Sie ein Dienstleister-Administrator sind, der Partner SSO für die Verwendung durch die Kundenorganisationen konfiguriert, die der Dienstleister verwaltet, konfigurieren Sie den IdP-Anspruch so, dass das E-Mail-Attribut enthalten ist (statt uid). Der Wert muss dem im Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zuordnen, das mit dem in der Webex-Auswahl ausgewählten Attribut Identitätsdienst.


    Weitere Informationen zum Zuordnen benutzerdefinierter Attribute für SSO- oder Partner SSO finden Sie unter https://www.cisco.com/go/hybrid-services-directory.

  • Nur SSO Partner. Die Identitätsanbieter muss mehrere ACS-URLs (Assertion-Verbraucherdienst Support) unterstützen. Beispiele für die Konfiguration mehrerer ACS-URLs auf einem Identitätsanbieter Sie unter:

  • Verwenden Sie einen unterstützten Browser: Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.


Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Sie müssen eine SAML-Vereinbarung zwischen dem Webex-Plattform-Identitätsdienst und Ihrem IdP einrichten.

Sie benötigen zwei Dateien, um eine erfolgreiche SAML-Vereinbarung zu erzielen:

  • Eine Metadatendatei des IdP, die Sie an Webex geben müssen.

  • Eine Metadatendatei von Webex, die dem IdP zu verfügungt.

Dies ist ein Beispiel für eine PingFederate-Metadatendatei mit Metadaten aus dem IdP.

Metadaten-Datei vom Identitätsdienst.

Folgendes erwartet Sie in der Metadatendatei vom Identitätsdienst.

  • EntityID: Sie wird verwendet, um die SAML-Vereinbarung in der IdP-Konfiguration zu identifizieren

  • Es besteht keine Notwendigkeit für eine signierte AuthN-Anfrage oder eine Sign-Assertion, sie entspricht den Anforderungen des IdP in der Metadatendatei.

  • Eine signierte Metadatendatei für den IdP, um zu überprüfen, ob die Metadaten zum Identitätsdienst gehören.

1

Melden Sie sich bei Control Hub (https://admin.webex.com) an, gehen Sie zu Einstellungen , blättern Sie zuAuthentifizierung und klicken Sie auf Ändern .

2

Klicken Sie auf Drittanbieter-Identitätsanbieter integrieren (Erweitert) und dann auf Erste Schritte.

3

Klicken Sie auf Metadatendatei herunterladen und klicken Sie dann auf Weiter.

4

Der Webex Platform-Identitätsdienst validiert die Metadatendatei vom IdP.

Es gibt zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.

  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.

5

Testen Sie die SSO-Verbindung, bevor Sie sie aktivieren.

6

Wenn der Test erfolgreich ist, aktivieren Sie Einmaliges Anmelden.

Wenn bei der Integration Ihrer SSO Probleme auftreten, verwenden Sie die Anforderungen und das Verfahren in diesem Abschnitt, um die Fehler beim SAML-Flow zwischen Ihrem IdP und Webex zu beheben.

  • Verwenden Sie das SAML-Trace-Add-on für Firefox oder Chrome.

  • Verwenden Sie zur Fehlerbehebung den Webbrowser, in dem Sie das SAML-Trace-Debug-Tool installiert haben, und wechseln Sie zur Webversion von Webex unter https://teams.webex.com.

Im Folgenden wird der Nachrichtenfluss zwischen der Webex-App, Webex-Diensten, dem Webex Platform-Identitätsdienst und dem Identitätsanbieter (IdP) angezeigt.

  1. Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com
  2. Die App sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.
  3. Die Webex-App fordert mithilfe eines SAML-HTTP-POST eine SAML-Zusicherung vom IdP an.
  4. Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.
  5. Die App sendet einen HTTP-Post zurück an den Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.
  6. SAML-Assertion vom IdP an Webex.
  7. Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.
1

Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com

Die App sendet die Informationen an den Webex-Dienst damit die E-Mail-Adresse überprüft wird.

2

Die App sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.

Sie können die GET-Anfrage in der Trace-Datei sehen.

Im Parameterabschnitt sucht der Dienst nach einem OAuth-Code, einer E-Mail des Benutzers, der die Anfrage gesendet hat, und anderen OAuth-Details wie ClientID, redirectURI und Scope.

3

Die Webex-App fordert mithilfe eines SAML-HTTP-POST eine SAML-Zusicherung vom IdP an.

Wenn SSO aktiviert ist, leitet das Authentifizierungsmodul im Identitätsdienst die IDP-URL für SSO um. Die IdP-URL, die beim Austausch der Metadaten angegeben wurde.

Überprüfen Sie das Trace-Tool für eine SAML POST-Nachricht. Sie sehen eine HTTP-POST-Nachricht des IdP, der vom IdPbroker angefordert wurde.

Der RelayState-Parameter zeigt die richtige Antwort vom IdP an.

Überprüfen Sie die Decodierungsversion der SAML-Anforderung, es gibt kein Mandaten-AuthN und das Ziel der Antwort sollte auf die Ziel-URL des IdP verweisen. Stellen Sie sicher, dass das nameid-Format im IdP unter der richtigen EntityID (SPNameQualifier) korrekt konfiguriert ist.

Das nameid-Format des IdP wird angegeben und der Name der Vereinbarung, der beim Erstellen der SAML-Vereinbarung konfiguriert wurde.

4

Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.

Abhängig von Ihrem IdP und den im IdP konfigurierten Authentifizierungsmechanismen werden verschiedene Flüsse vom IdP gestartet.

5

Die App sendet einen HTTP-Post zurück an den Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.

Wenn die Authentifizierung erfolgreich ist, sendet die App die Informationen in einer SAML POST-Nachricht an Identitätsdienst.

Der RelayState entspricht der vorherigen HTTP POST-Nachricht, wobei die App dem IdP mitteilt, welche EntityID die Zusicherung anfordert.

6

SAML-Assertion vom IdP an Webex.

7

Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.

Nachdem der Identitätsdienst die Antwort vom IdP validiert hat, gibt er ein OAuth-Token aus, mit dem die Webex-App auf die verschiedenen Webex-Dienste zugreifen kann.