Las siguientes soluciones de federación y administración del acceso web se probaron para Cisco Webex organizaciones con usuarios de Webex. Los documentos vinculados a continuación le indican cómo integrar ese proveedor específico de servicios de identidad (IdP) con Webex y su organización de Webex administrada a través de Cisco Webex Control Hub .


Si no ve su IdP listado a continuación, utilice los pasos de alto nivel en la ficha "Configuración de SSO" en este artículo.

Las guías anteriores cubren la SSO integración de dispositivos para los servicios Webex que se administran en Cisco Webex Control Hub (https://admin.webex.com). Si está buscando una integración SSO para un sitio de Webex clásico (administrado en Administración del sitio), utilice el artículo Configurar el inicio de sesión único para Sitio de Cisco Webex Meetings sitio.

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en Cisco Webex en forma segura autenticando al proveedor de servicios de identidad (IdP) común de su organización. Cisco Webex usa el servicio de Cisco Webex para comunicarse con el servicio de identidad de Cisco Webex plataforma. El servicio de identidad se autentica con su proveedor de servicios de identidad (IdP).

La configuración se inicia en Cisco Webex Control Hub. En esta sección se describen pasos genéricos de alto nivel para integrar un IdP externo.

Para SSO y Cisco Webex Control Hub , los IdP deben cumplir con la especificación SAML 2.0. Además, los IdP se deben configurar de la siguiente manera:

  • Defina el atributo NameID Format en urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure una instancia de reclamo en el IdP para incluir el nombre de atributo uid con un valor que se asignó al atributo que se elige en Cisco Conector de directorios o el atributo de usuario que coincida con el que se eligió en el Cisco Webex servicio de identidad. (Este atributo puede ser Direcciones de correo electrónico o Usuario-Principal-Nombre, por ejemplo).) Consulte la información de atributos personalizados en https://www.cisco.com/go/hybrid-services-directory para obtener ayuda.

  • Utilice un navegador compatible: le recomendamos la última versión de Mozilla Firefox o Google Chrome.

  • Deshabilite cualquier bloqueador de ventanas emergentes en su navegador.


En las guías de configuración se muestra un ejemplo específico para SSO integración de dispositivos, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionará para la integración de SSO pero están fuera del alcance de nuestra documentación.

Debe establecer un acuerdo SAML entre el servicio Cisco Webex de identidad de la plataforma de colaboración y su IdP.

Necesita dos archivos para lograr un acuerdo SAML exitoso.

Esto es un ejemplo de un archivo de metadatos PingFederate con metadatos del IdP.

Archivo de metadatos del servicio de identidad.

Lo siguiente es lo que espera ver en el archivo de metadatos del servicio de identidad.

  • EntityID: esto se utiliza para identificar el acuerdo SAML en la configuración de IdP.

  • No hay requisitos para una solicitud de autenticación firmada ni aserciones de firma; cumple con lo que el IdP solicita en el archivo de metadatos.

  • Un archivo de metadatos firmado para que el IdP verifique que los metadatos pertenecen al servicio de identidad.

1

Desde la vista del cliente en , vaya a Configuración, desplácese a Autenticación y haga clic en Modificar.https://admin.webex.com

2

Haga clic en Integrar un proveedor de servicios de identidad de terceros. (Avanzado) y luego haga clic en Introducción.

3

Haga clic en Descargar archivo de metadatos y haga clic en Siguiente.

4

Cisco Webex servicio de identidad de la plataforma de valida el archivo de metadatos del IdP.

Hay dos maneras posibles de validar los metadatos desde el IdP de cliente:

  • El IdP de cliente proporciona una firma en los metadatos que están firmados por una autoridad de certificación raíz pública.

  • El IdP de cliente proporciona una autoridad de certificación privada autofirmada o no proporciona una firma para sus metadatos. Esta opción es menos segura.

5

Pruebe la conexión de SSO antes de habilitarla.

6

Si la prueba tiene éxito, habilite el inicio de sesión único.

Si tiene problemas con su integración de SSO, utilice los requisitos y el procedimiento de esta sección para solucionar problemas de flujo SAML entre su IdP y el servicio Cisco Webex cliente.

  • Utilizar el complemento de seguimiento SAML para Firefox o Chrome.

  • Para solucionar el problema, utilice el explorador web donde ha instalado la herramienta de depuración de seguimiento SAML y vaya a la versión web de las Cisco Webex en https://teams.webex.com.

A continuación se muestra el flujo de mensajes entre Cisco Webex , Cisco Webex, Cisco Webex Platform Identity Service y el proveedor de servicios de identidad (IdP).

  1. Vaya a y, con el SSO habilitado, la aplicación solicita una dirección de correo electrónico.https://admin.webex.com
  2. El cliente envía una solicitud GET al servidor de autorización de autenticación abierta para un token. La solicitud se redirige al servicio de identidad para el rlujo de contraseña y nombre de usuario o SSO. Se devuelve la URL del servidor de autenticación.
  3. Cisco Webex solicita una aserción SAML del IdP mediante un HTTP POST de SAML.
  4. La autenticación para la aplicación sucede entre los recursos web del sistema operativo y el IdP.
  5. Cisco Webex un HTTP Post de nuevo al sitio servicio de identidad incluye los atributos proporcionados por el IdP y acordados en el acuerdo inicial.
  6. Aserción SAML del IdP a Webex.
  7. El servicio de identidad recibe un código de autorización que se reemplaza por un acceso de autenticación abierta y un token de actualización. Este token de se utiliza para acceder a los recursos en nombre del usuario.
1

Vaya a y, con el SSO habilitado, la aplicación solicita una dirección de correo electrónico.https://admin.webex.com

La aplicación envía la información al servicio de Cisco Webex de mantenimiento y el servicio verifica la dirección de correo electrónico.

2

El cliente envía una solicitud GET al servidor de autorización de autenticación abierta para un token. La solicitud se redirige al servicio de identidad para el rlujo de contraseña y nombre de usuario o SSO. Se devuelve la URL del servidor de autenticación.

Puede ver la solicitud GET en el archivo de seguimiento.

En la sección de parámetros, el servicio busca un código de autenticación abierta, el correo electrónico del usuario que envió la solicitud y otros detalles de la autenticación abierta, como ClientID, redirectURI y alcance.

3

Cisco Webex solicita una aserción SAML del IdP mediante un HTTP POST de SAML.

Cuando el SSO esté habilitado, el motor de autenticación en el servicio de identidad se redirige a la URL de IdP del SSO. La URL del IdP proporcionada cuando se intercambiaron los metadatos.

Compruebe la herramienta de seguimiento para un mensaje POST de SAML. Verá un mensaje de HTTP POST para el IdP solicitado por la IdPbroker.

El parámetro de RelayState muestra la respuesta correcta del IdP.

Revise la versión decodificada de la solicitud de SAML, no hay ninguna autenticación obligatoria y el destino de la respuesta debe ir a la URL de destino del IdP. Asegúrese de que el formato nameid esté configurado correctamente en el IdP en el entityID correcto (SPNameQualifier)

Se especifica el formato nameid del IdP y el nombre del acuerdo configurado cuando se creó el acuerdo SAML.

4

La autenticación para la aplicación sucede entre los recursos web del sistema operativo y el IdP.

Según su IdP y los mecanismo de autenticación configurados en el IdP, se inician diferentes flujos desde el IdP.

5

Cisco Webex un HTTP Post de nuevo al sitio servicio de identidad incluye los atributos proporcionados por el IdP y acordados en el acuerdo inicial.

Cuando la autenticación es exitosa, Cisco Webex la información en un mensaje POST de SAML al servicio de identidad.

El RelayState es el mismo que el mensaje HTTP POST anterior en el que la aplicación le indica al IdP qué EntityID está solicitando la aserción.

6

Aserción SAML del IdP a Webex.

7

El servicio de identidad recibe un código de autorización que se reemplaza por un acceso de autenticación abierta y un token de actualización. Este token de se utiliza para acceder a los recursos en nombre del usuario.

Después de servicio de identidad valida la respuesta del IdP, emite un token de autenticación O que permite a Cisco Webex acceder a los diferentes servicios Cisco Webex nube de .