Die folgenden WebZugriffsverwaltungs- und Federation-Lösungen wurden für organisationen Cisco WebexWebex-Benutzer getestet. In den unten verlinkten Dokumenten erfahren Sie, wie Sie diesen spezifischen Identitätsanbieter (IdP) in Webex und Ihre webex Organisation integrieren können, die über Cisco Webex Control Hub.


Wenn Ihr IdP unten nicht aufgeführt ist, verwenden Sie die oben genannten Schritte auf der Registerkarte "SSO Setup" in diesem Artikel.

Die vorangegangenen Leitfäden behandeln SSO-Integration für Webex-Dienste, die in folgenden Cisco Webex Control Hub (https://admin.webex.com). Wenn Sie nach SSO-Integration für eine klassische Webex-Site (verwaltet in Site-Administration) suchen, verwenden Sie stattdessen den Artikel Einmalige Anmeldung konfigurieren für Cisco Webex Meetings-Seite Konfigurieren.

Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer auf Cisco Webex sicher anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren. Cisco Webex verwendet den Cisco Webex-Dienst, um mit dem Cisco Webex Platform-Identitätsdienst zu kommunizieren. Der Identitätsdienst authentifiziert sich Ihrem Identitätsanbieter (IdP).

Sie beginnen mit der Konfiguration in Cisco Webex Control Hub. In diesem Abschnitt finden Sie wichtige und allgemeine Schritte für die Integration eines externen IdP.

Für SSO und Cisco Webex Control Hub müssendie IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

  • Legen Sie das Attribut NameID-Format auf urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie einen Anspruch an den IdP so, dass er den Namen des uid-Attributs mit einem Wert enthält, der dem in Cisco Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das mit dem in der Cisco Webex Identitätsdienst. (Dieses Attribut kann beispielsweise E-Mail-Adressen oder User-Principal-Name sein.) Weitere Informationen finden Sie in den Informationen zu https://www.cisco.com/go/hybrid-services-directory benutzerdefinierten Attributen in .

  • Verwenden Sie einen unterstützten Browser: Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.


Die Konfigurationsleitfäden zeigen ein spezifisches Beispiel für SSO Integration, bieten jedoch keine umfassende Konfiguration für alle Möglichkeiten. Beispiel: Die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient werden dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren für die SSO-Integration, befinden sich jedoch außerhalb des Umfangs unserer Dokumentation.

Sie müssen eine SAML-Vereinbarung zwischen dem Cisco Webex Platform Identity Service und Ihrem IdP einrichten.

Sie benötigen zwei Dateien, um eine erfolgreiche SAML-Vereinbarung zu erzielen.

Dies ist ein Beispiel für eine PingFederate-Metadatendatei mit Metadaten aus dem IdP.

Metadaten-Datei vom Identitätsdienst.

Folgendes erwartet Sie in der Metadatendatei vom Identitätsdienst.

  • EntityID: Sie wird verwendet, um die SAML-Vereinbarung in der IdP-Konfiguration zu identifizieren

  • Es besteht keine Notwendigkeit für eine signierte AuthN-Anfrage oder eine Sign-Assertion, sie entspricht den Anforderungen des IdP in der Metadatendatei.

  • Eine signierte Metadatendatei für den IdP, um zu überprüfen, ob die Metadaten zum Identitätsdienst gehören.

1

Wechseln Sie aus der Kundenansicht in zu Einstellungen, scrollen Sie zu Authentifizierung und klicken Sie auf Ändern.https://admin.webex.com

2

Klicken Sie auf Drittanbieter-Identitätsanbieter integrieren (Erweitert) und dann auf Erste Schritte.

3

Klicken Sie auf Metadatendatei herunterladen und klicken Sie dann auf Weiter.

4

Cisco Webex Platform Identity Service validiert die Metadatendatei vom IdP.

Es gibt zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.

  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.

5

Testen Sie die SSO-Verbindung, bevor Sie sie aktivieren.

6

Wenn der Test erfolgreich ist, aktivieren Sie Einmaliges Anmelden.

Wenn bei ihrer SSO-Integration Probleme auftreten, verwenden Sie die Anforderungen und das Verfahren in diesem Abschnitt, um den SAML-Flow zwischen Ihrem IdP und dem Cisco Webex zu beheben.

  • Verwenden Sie das SAML-Trace-Add-on für Firefox oder Chrome.

  • Verwenden Sie zur Fehlerbehebung den Webbrowser, in dem Sie das SAML-Trace-Debug-Tool installiert haben, und wechseln Sie zur Webversion des Cisco Webex unter https://teams.webex.com.

Im Folgenden wird der Nachrichtenfluss zwischen Cisco Webex , Cisco Webex-Dienst, Cisco Webex Platform-Identitätsdienst und dem Identitätsanbieter (IdP) angezeigt.

  1. Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com
  2. Der Client sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.
  3. Cisco Webex fordert mithilfe eines SAML-HTTP-POST eine SAML-Assertion vom IdP an.
  4. Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.
  5. Cisco Webex sendet einen HTTP-Post zurück an die Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.
  6. SAML-Assertion vom IdP an Webex.
  7. Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.
1

Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com

Die App sendet die Informationen an den Cisco Webex dienst und der Dienst überprüft die E-Mail-Adresse.

2

Der Client sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token. Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet. Die URL für den Authentifizierungsserver wird zurückgegeben.

Sie können die GET-Anfrage in der Trace-Datei sehen.

Im Parameterabschnitt sucht der Dienst nach einem OAuth-Code, einer E-Mail des Benutzers, der die Anfrage gesendet hat, und anderen OAuth-Details wie ClientID, redirectURI und Scope.

3

Cisco Webex fordert mithilfe eines SAML-HTTP-POST eine SAML-Assertion vom IdP an.

Wenn SSO aktiviert ist, leitet das Authentifizierungsmodul im Identitätsdienst die IDP-URL für SSO um. Die IdP-URL, die beim Austausch der Metadaten angegeben wurde.

Überprüfen Sie das Trace-Tool für eine SAML POST-Nachricht. Sie sehen eine HTTP-POST-Nachricht des IdP, der vom IdPbroker angefordert wurde.

Der RelayState-Parameter zeigt die richtige Antwort vom IdP an.

Überprüfen Sie die Decodierungsversion der SAML-Anforderung, es gibt kein Mandaten-AuthN und das Ziel der Antwort sollte auf die Ziel-URL des IdP verweisen. Stellen Sie sicher, dass das nameid-Format im IdP unter der richtigen EntityID (SPNameQualifier) korrekt konfiguriert ist.

Das nameid-Format des IdP wird angegeben und der Name der Vereinbarung, der beim Erstellen der SAML-Vereinbarung konfiguriert wurde.

4

Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.

Abhängig von Ihrem IdP und den im IdP konfigurierten Authentifizierungsmechanismen werden verschiedene Flüsse vom IdP gestartet.

5

Cisco Webex sendet einen HTTP-Post zurück an die Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.

Wenn die Authentifizierung erfolgreich ist, Cisco Webex die Informationen in einer SAML POST-Nachricht an den Identitätsdienst.

Der RelayState entspricht der vorherigen HTTP POST-Nachricht, wobei die App dem IdP mitteilt, welche EntityID die Zusicherung anfordert.

6

SAML-Assertion vom IdP an Webex.

7

Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird. Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.

Nachdem der Identitätsdienst die Antwort vom IdP validiert hat, gibt er ein OAuth-Token aus, mit dem Cisco Webex auf die verschiedenen Cisco Webex-Cloud-Dienste zugreifen kann.