Las siguientes soluciones de federación y administración del acceso web se probaron para las organizaciones de Webex. Los documentos vinculados a continuación le indican cómo integrar ese proveedor específico de servicios de identidad (IdP) con su organización de Webex.


Estas guías cubren la SSO integración de dispositivos para los servicios de Webex que se administran en Control Hub (https://admin.webex.com). Si está buscando una integración SSO de un sitio de Webex Meetings (administrado en Administración del sitio), lea Configurar el inicio de sesión único para Sitio de Cisco Webex Meetings.

Si no ve su IdP listado a continuación, siga los pasos de alto nivel en la ficha SSO de la aplicación en este artículo.

El inicio de sesión único (SSO) permite que los usuarios inicien sesión en Webex en forma segura autenticando al proveedor de servicios de identidad (IdP) común de su organización. La aplicación de Webex utiliza las servicio de Webex para comunicarse con el servicio de identidad de la plataforma de Webex. El servicio de identidad se autentica con su proveedor de servicios de identidad (IdP).

La configuración se inicia en Control Hub. En esta sección se describen pasos genéricos de alto nivel para integrar un IdP externo.

Para SSO Control Hub, los IdP deben cumplir con la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:

  • Establezca el atributo del formato de NameID en urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure un reclamo en el IdP de acuerdo con el tipo de SSO que está implementando:

    • SSO (para una organización): si está configurando SSO en nombre de una organización, configure el reclamo de IdP para que incluya el nombre de atributo uid con un valor que se asignó al atributo que se eligió en el Conector de directorios, o el atributo de usuario que coincide con el que se eligió en el servicio de identidad de Webex. (por ejemplo, este atributo podría ser Direcciones de correo electrónico o Nombre principal de usuario).

    • Administrador de SSO (solo para proveedores de servicios): si es un administrador de Proveedor de servicios que está configurando partner SSO para que las organizaciones del cliente las utilicen las organizaciones de clientes que administra Proveedor de servicios, configure el reclamo de IdP para que incluya el atributo de correo (en lugar de uid). El valor debe asignarse al atributo que se elige en el Conector de directorios, o al atributo de usuario que coincida con el que se eligió en el cuadro de servicio de identidad de Webex.


    Para obtener más información sobre la asignación de atributos personalizados para SSO partner SSO partner, consulte https://www.cisco.com/go/hybrid-services-directory.

  • Solo para SSO socio. El Proveedor de servicios de identidad debe admitir direcciones URL Servicio al cliente de aserción de perfil (ACS). Para ver ejemplos de cómo configurar varias URL de ACS en un Proveedor de servicios de identidad, consulte:

  • Utilice un navegador compatible: le recomendamos la última versión de Mozilla Firefox o Google Chrome.

  • Deshabilite cualquier bloqueador de ventanas emergentes en su navegador.


Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.

Debe establecer un acuerdo SAML entre el servicio de identidad de la plataforma de Webex y su IdP.

Necesita dos archivos para lograr un acuerdo SAML exitoso:

  • Un archivo de metadatos del IdP, para dar a Webex.

  • Un archivo de metadatos de Webex, para entregar al IdP.

Esto es un ejemplo de un archivo de metadatos PingFederate con metadatos del IdP.

Archivo de metadatos del servicio de identidad.

Lo siguiente es lo que espera ver en el archivo de metadatos del servicio de identidad.

  • EntityID: esto se utiliza para identificar el acuerdo SAML en la configuración de IdP.

  • No hay requisitos para una solicitud de autenticación firmada ni aserciones de firma; cumple con lo que el IdP solicita en el archivo de metadatos.

  • Un archivo de metadatos firmado para que el IdP verifique que los metadatos pertenecen al servicio de identidad.

1

Inicie sesión en Control Hub (https://admin.webex.com), vaya a Configuración ,desplácese hasta Autenticación y haga clic en Modificar.

2

Haga clic en Integrar un proveedor de servicios de identidad de terceros. (Avanzado) y luego haga clic en Introducción.

3

Haga clic en Descargar archivo de metadatos y haga clic en Siguiente.

4

El servicio de identidad de la plataforma de Webex valida el archivo de metadatos del IdP.

Hay dos maneras posibles de validar los metadatos desde el IdP de cliente:

  • El IdP de cliente proporciona una firma en los metadatos que están firmados por una autoridad de certificación raíz pública.

  • El IdP de cliente proporciona una autoridad de certificación privada autofirmada o no proporciona una firma para sus metadatos. Esta opción es menos segura.

5

Pruebe la conexión de SSO antes de habilitarla.

6

Si la prueba tiene éxito, habilite el inicio de sesión único.

Si tiene problemas con su integración de SSO, utilice los requisitos y el procedimiento de esta sección para solucionar problemas de flujo SAML entre su IdP y Webex.

  • Utilizar el complemento de seguimiento SAML para Firefox o Chrome.

  • Para solucionar el problema, utilice el navegador web en el que instaló la herramienta de depuración de seguimiento SAML y vaya a la versión web de Webex en https://teams.webex.com.

A continuación se muestra el flujo de mensajes entre la aplicación de Webex, los servicios de Webex, el servicio de identidad de la plataforma de Webex y el proveedor de servicios de identidad (IdP).

  1. Vaya a y, con el SSO habilitado, la aplicación solicita una dirección de correo electrónico.https://admin.webex.com
  2. La aplicación envía una solicitud GET al servidor de autorización de autenticación O para un token. La solicitud se redirige al servicio de identidad para el rlujo de contraseña y nombre de usuario o SSO. Se devuelve la URL del servidor de autenticación.
  3. La aplicación Webex solicita una aserción SAML del IdP mediante un HTTP POST de SAML.
  4. La autenticación para la aplicación sucede entre los recursos web del sistema operativo y el IdP.
  5. La aplicación envía un HTTP Post de nuevo al sitio servicio de identidad incluye los atributos proporcionados por el IdP y acordados en el acuerdo inicial.
  6. Aserción SAML del IdP a Webex.
  7. El servicio de identidad recibe un código de autorización que se reemplaza por un acceso de autenticación abierta y un token de actualización. Este token de se utiliza para acceder a los recursos en nombre del usuario.
1

Vaya a y, con el SSO habilitado, la aplicación solicita una dirección de correo electrónico.https://admin.webex.com

La aplicación envía la información al servicio de servicio de Webex que verifica la dirección de correo electrónico.

2

La aplicación envía una solicitud GET al servidor de autorización de autenticación O para un token. La solicitud se redirige al servicio de identidad para el rlujo de contraseña y nombre de usuario o SSO. Se devuelve la URL del servidor de autenticación.

Puede ver la solicitud GET en el archivo de seguimiento.

En la sección de parámetros, el servicio busca un código de autenticación abierta, el correo electrónico del usuario que envió la solicitud y otros detalles de la autenticación abierta, como ClientID, redirectURI y alcance.

3

La aplicación Webex solicita una aserción SAML del IdP mediante un HTTP POST de SAML.

Cuando el SSO esté habilitado, el motor de autenticación en el servicio de identidad se redirige a la URL de IdP del SSO. La URL del IdP proporcionada cuando se intercambiaron los metadatos.

Compruebe la herramienta de seguimiento para un mensaje POST de SAML. Verá un mensaje de HTTP POST para el IdP solicitado por la IdPbroker.

El parámetro de RelayState muestra la respuesta correcta del IdP.

Revise la versión decodificada de la solicitud de SAML, no hay ninguna autenticación obligatoria y el destino de la respuesta debe ir a la URL de destino del IdP. Asegúrese de que el formato nameid esté configurado correctamente en el IdP en el entityID correcto (SPNameQualifier)

Se especifica el formato nameid del IdP y el nombre del acuerdo configurado cuando se creó el acuerdo SAML.

4

La autenticación para la aplicación sucede entre los recursos web del sistema operativo y el IdP.

Según su IdP y los mecanismo de autenticación configurados en el IdP, se inician diferentes flujos desde el IdP.

5

La aplicación envía un HTTP Post de nuevo al sitio servicio de identidad incluye los atributos proporcionados por el IdP y acordados en el acuerdo inicial.

Cuando la autenticación es exitosa, la aplicación envía la información en un mensaje POST de SAML al servicio de identidad.

El RelayState es el mismo que el mensaje HTTP POST anterior en el que la aplicación le indica al IdP qué EntityID está solicitando la aserción.

6

Aserción SAML del IdP a Webex.

7

El servicio de identidad recibe un código de autorización que se reemplaza por un acceso de autenticación abierta y un token de actualización. Este token de se utiliza para acceder a los recursos en nombre del usuario.

Después de servicio de identidad valida la respuesta del IdP, emite un token de autenticación O que permite que la aplicación de Webex acceda a los diferentes servicios de Webex.