SSO con múltiples IdP en Webex
El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en Webex de forma segura mediante la autenticación con el proveedor de identidad común de su organización. Un proveedor de identidad (IdP) almacena y administra de forma segura las identidades digitales de sus usuarios y proporciona el servicio de autenticación de usuarios para sus usuarios de Webex.
Por qué podría necesitar varios IdP
Muchas grandes empresas experimentan fusiones y adquisiciones, y estas rara vez tienen la misma infraestructura de TI y los mismos proveedores de identidad. Las instituciones gubernamentales tienen varias organizaciones y agencias bajo su mando. A menudo, estas organizaciones tienen una única dirección de correo electrónico para sus propios departamentos de TI e infraestructura, respectivamente. Las principales instituciones educativas tienen un departamento central de compras, pero distintas universidades y colegios tienen distintas organizaciones y departamentos de TI.
Es común ver a los IdP y proveedores de servicios (SP) federarse entre sí. El IdP es responsable de autenticar las credenciales de sus usuarios y el SP confía en la autenticación realizada por el IdP. Esto permite a sus usuarios acceder a diversas aplicaciones y servicios SaaS utilizando la misma identidad digital. Pero, si por alguna razón su organización no puede federarse entre los IdP, entonces Webex ofrece una solución alternativa para admitir múltiples IdP. Por estos motivos, le brindamos la opción de configurar SSO para múltiples IdP en Webex y simplificar el proceso de autenticación de sus usuarios.
Limitaciones
- Todos los usuarios deben tener instalado Directory Connector si está utilizando Directory Connector en su organización. Consulte la guía de implementación del Conector de directorio para obtener más información.
- Actualmente solo admitimos SAML, OpenID Connect y Webex Identity como proveedores de identidad.
Fuera de alcance
- Configurar asignaciones de grupo.
- Verificación de dominio. Consulta Administrar tus dominios para obtener más información.
- Aprovisionamiento de usuarios. Consulta Formas de agregar usuarios a tu organización del Centro de control para obtener más información.
Esta sección explica cómo puede integrar sus proveedores de identidad (IdP) con su organización de Webex. Puede elegir los IdP que mejor se adapten a los requisitos de su organización.
Si está buscando la integración de SSO de un sitio de Webex Meetings (administrado en la Administración del sitio), consulte Configurar el inicio de sesión único para la administración de Webex.
Antes de comenzar
Asegúrese de que se cumplan las siguientes condiciones:
- Debes tener un rol de administrador completo en Control Hub.
- Un archivo de metadatos del IdP para entregar a Webex y un archivo de metadatos de Webex para entregar al IdP. Para obtener más información, consulte Integración de inicio de sesión único en Control Hub. Esto solo se aplica a la configuración SAML.
- Debe planificar el comportamiento de sus reglas de enrutamiento antes de configurar varios IdP.
La regla de enrutamiento predeterminada se aplica una vez que configura su IdP inicial. Pero puedes establecer otro IdP como predeterminado. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO. |
4 |
Seleccione SAML como su IdP y haga clic en Siguiente. |
5 |
Elija el tipo de certificado:
Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP. |
6 |
Haga clic en Descargar metadatos y Siguiente. El nombre del archivo de metadatos de la aplicación Webex es idb-meta-<org-ID>-SP.xml. |
7 |
Cargue su archivo de metadatos de IdPs o complete el formulario de configuración. Al cargar el archivo de metadatos, hay dos formas de validar los metadatos del IdP del cliente:
Haga clic en Siguiente. |
8 |
(Opcional) Puede cambiar el nombre del atributo SAML para Nombre de usuario de Webex o Dirección de correo electrónico principal de |
9 |
(Opcional) Configure los ajustes Just In Time (JIT) y la respuesta de mapeo SAML. Consulta Configurar Just In Time (JIT) y mapeo SAML en la pestaña Administrar tus IdP en este artículo.
|
10 |
Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión SSO, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y la pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO. |
11 |
Vuelva a la ficha del navegador de Control Hub.
La configuración de SSO no tendrá efecto en su organización a menos que elija el primer botón de opción y active SSO. |
Qué hacer a continuación
Puede configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.
Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos enviados a nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO. |
4 |
Seleccione OpenID Connect como su IdP y haga clic en Siguiente. |
5 |
Ingrese la información de su IdP.
|
6 |
Elija cómo agregar puntos finales. Esto se puede hacer de forma automática o manual.
|
7 |
(Opcional) Configure los ajustes de Just In Time (JIT). Consulta Configurar Just In Time (JIT) y mapeo SAML en la pestaña Administrar tus IdP en este artículo.
|
8 |
Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión SSO, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y la pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO. |
9 |
Vuelva a la ficha del navegador de Control Hub.
La configuración de SSO no tendrá efecto en su organización a menos que elija el primer botón de opción y active SSO. |
Qué hacer a continuación
Puede configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.
Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos enviados a nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO. |
4 |
Seleccione Webex como su IdP y haga clic en Siguiente. |
5 |
Marque He leído y comprendido cómo funciona Webex IdP y haga clic en Siguiente. |
6 |
Establecer una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo. |
Una vez que haya agregado una regla de enrutamiento, su IdP se agregará y se mostrará en la pestaña Proveedor de identidad.
Qué hacer a continuación
Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.
Las reglas de enrutamiento se aplican cuando se configura más de un IdP. Las reglas de enrutamiento permiten a Webex identificar a qué IdP enviar a sus usuarios cuando ha configurado varios IdP.
Al configurar más de un IdP, puede definir sus reglas de enrutamiento en el asistente de configuración de SSO. Si omite el paso de la regla de enrutamiento, Control Hub agrega el IdP pero no lo activa. Debe agregar una regla de enrutamiento para activar el IdP.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Reglas de enrutamiento. Al configurar su primer IdP, la regla de enrutamiento se agrega automáticamente y se establece como la Regla predeterminada. Puede elegir otro IdP para establecer como regla predeterminada más adelante. |
4 |
Haga clic en Agregar nueva regla de enrutamiento. |
5 |
Introduzca los detalles de una regla de enrutamiento:
|
6 |
Seleccione el método de autenticación multifactor (MFA):
Para obtener más información sobre cómo configurar MFA para su organización, consulte Habilitar la integración de autenticación multifactor en Control Hub. |
7 |
Haga clic en Agregar. |
8 |
Seleccione la nueva regla de enrutamiento y haga clic en Activar. |
Puede cambiar el orden de prioridad de las reglas de enrutamiento si tiene reglas de enrutamiento para varios IdP.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Reglas de enrutamiento. |
4 |
Seleccione la regla de enrutamiento. |
5 |
Elija si desea Desactivar o Eliminar la regla de enrutamiento. Se recomienda que tenga otra regla de enrutamiento activa para el IdP. De lo contrario, podría tener problemas con su inicio de sesión SSO. |
La regla predeterminadano se puede desactivar ni eliminar, pero puedes modificar el IdP enrutado.
Antes de comenzar
De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado idP caducará. Como los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub , junto con pasos genéricos para recuperar metadatos del IdP actualizados y cargarlos en Control Hub para renovar el certificado.
Esto solo se aplica a la configuración SAML.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad. |
4 |
Vaya al IdP, haga clic en Para descargar el archivo de metadatos, haga clic en
![]() |
5 |
Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos. |
6 |
Regrese al Centro de control y arrastre y suelte su archivo de metadatos de IdP en el área de carga o haga clic en Elegir un archivo para cargar los metadatos. |
7 |
Elija Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), según cómo estén firmados sus metadatos de IdP y haga clic en Guardar. |
8 |
Configure los ajustes Just In Time (JIT) y la respuesta de mapeo SAML. Consulta Configurar Just In Time (JIT) y mapeo SAML en la pestaña Administrar tus IdP en este artículo.
|
9 |
Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión SSO, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y la pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO. |
10 |
Haga clic en Guardar. |
Antes de comenzar
Se recomienda que actualice todos sus IdP en su organización al renovar su certificado SP.
Esto solo se aplica a la configuración SAML.
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad. |
4 |
Vaya al IdP y haga clic en |
5 |
Haga clic en Revisar certificados y fecha de vencimiento. Esto lo llevará a la ventana Certificados del proveedor de servicios (SP).
|
6 |
Haga clic en Renovar certificado. |
7 |
Elija el tipo de IdP en su organización:
|
8 |
Elija el tipo de certificado para la renovación:
Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP. |
9 |
Haga clic en Descargar metadatos o Descargar certificado para descargar una copia del archivo de metadatos actualizado o del certificado desde la nube de Webex. |
10 |
Navegue a la interfaz de administración de su IdP para cargar el nuevo archivo de metadatos o certificado de Webex. Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso. Para obtener más información, consulte nuestras guías de integración de SSO o comuníquese con su administrador de IdP para obtener ayuda. Si está en los Servicios de federación de Active Directory (AD FS), puede ver cómo actualizar los metadatos de Webex en AD FS |
11 |
Regrese a la interfaz del Centro de control y haga clic en Siguiente. |
12 |
Seleccione Se actualizaron exitosamente todos los IdP y haga clic en Siguiente. Esto carga el archivo de metadatos o el certificado del SP a todos los IdP de su organización. |
13 |
Haga clic en Finalizar renovación. |
Antes de comenzar
1 | |
2 |
Ir a . |
3 |
Vaya a la pestaña Proveedor de identidad. |
4 |
Vaya al IdP y haga clic en |
5 |
Seleccione Probar IdP. |
6 |
Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión SSO, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y la pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO. |
7 |
Vuelva a la ficha del navegador de Control Hub.
La SSO de ajustes no tendrá efecto en su organización a menos que elija el nombre botón de opciones y active SSO. |
Antes de comenzar
Asegúrese de que se cumplen las siguientes condiciones previas:
-
SSO ya está configurado.
-
Los dominios ya han sido verificados.
-
Los dominios están reclamados y activados. Esta función garantiza que los usuarios de su dominio se creen y actualicen cada vez que se autentican con su IdP.
-
Si DirSync o Azure AD están habilitados, la creación o actualización de SAML JIT no funcionará.
-
"Bloquear perfil de usuario actualización" está habilitado. La asignación de actualización de SAML está permitida porque esta configuración controla la capacidad del usuario de editar los atributos. Los métodos controlados por el administrador para la creación y la actualización todavía son compatibles.
Al configurar SAML JIT con Azure AD o un IdP donde el correo electrónico no es un identificador permanente, le recomendamos que utilice el atributo de vinculación externalId
para asignarlo a un identificador único. Si descubrimos que el correo electrónico no coincide con el atributo de vinculación, se le solicita al usuario que verifique su identidad o cree un nuevo usuario con la dirección de correo electrónico correcta.
Los usuarios recientemente creados no obtengan licencias asignadas automáticamente, a menos que la organización tenga configurada una plantilla de licencia automática.
1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2 |
Ir a . | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3 |
Vaya a la pestaña Proveedor de identidad. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4 |
Vaya al IdP y haga clic en | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5 |
Seleccione Editar mapeo SAML. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6 |
Configurar ajustes Just-in-Time (JIT).
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7 |
Configurar atributos requeridos para la asignación de SAML.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8 |
Configurar los Atributos de enlace. Esto debe ser único para el usuario. Se utiliza para buscar un usuario para que Webex pueda actualizar todos los atributos del perfil, incluido el correo electrónico de un usuario.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9 |
Configurar Atributos de perfil.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10 |
Configurar Atributos de extensión. Asigne estos atributos a atributos extendidos en Active Directory, Azure o su directorio, para códigos de seguimiento.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11 |
Configurar Atributos de grupo.
Si el usuario A está asociado con El aprovisionamiento de SAML JIT no admite la eliminación de usuarios de grupos ni ninguna eliminación de usuarios.
Para obtener una lista de atributos de aserciones SAML para Webex Meetings de red, consulte https://help.webex.com/article/WBX67566. |
Recibirá alertas en control Hub antes de que los certificados estén configurados para caducar, pero también puede configurar reglas de alertas en forma dinámica. Estas reglas le permiten saber de antemano que sus certificados SP o IdP caducarán. Podemos enviarles estos mensajes por correo electrónico, por un espacio en la aplicaciónWebex, o por ambos.
Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en el Concentrador de control. Consulte El Centro de alertas en Control Hub para obtener más información.
1 | |
2 |
Vaya a Centro de alertas. |
3 |
Elija Administrar y, a continuación, Todas las reglas. |
4 |
En la lista Reglas, elija cualquiera de las SSO de perfil que desea crear:
|
5 |
En la sección Canal de entrega, marque la casilla correspondiente a Correo electrónico, espacio de Webex, o ambos. Si elige Correo electrónico, introduzca la dirección de correo electrónico que debería recibir la notificación. Si elige la opción del espacio de Webex, se lo agregará automáticamente a un espacio dentro de la aplicación de Webex y entregamos las notificaciones allí. |
6 |
Guarde los cambios. |
Qué hacer a continuación
Enviamos alertas de caducidad de certificados una vez cada 15 días, desde 60 días antes de la caducidad. (Puede esperar alertas los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.
Si tiene problemas con su inicio de sesión SSO, puede usar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar SSO en Control Hub.