Webex-organisaatioissa testattiin seuraavia verkkokäytönhallinta- ja federaatioratkaisuja. Alla olevissa asiakirjoissa kerrotaan, miten kyseinen identiteetin tarjoaja (IdP) integroidaan Webex-organisaatioon.

Nämä oppaat käsittelevät SSO-integraatiota Webex-palveluihin, joita hallitaan Control Hubissa ( https://admin.webex.com). Jos etsit Webex Meetings -sivuston SSO-integraatiota (jota hallitaan sivuston hallinnassa), lue Configure Single Sign-On for Cisco Webex Site.

Jos haluat määrittää SSO:n useille identiteetin tarjoajille organisaatiossasi, katso SSO useiden IdP:iden kanssa Webexissä.

Jos IdP:täsi ei ole lueteltu alla, noudata tämän artikkelin SSO-asetukset -välilehdellä olevia korkean tason ohjeita.

Single sign-on (SSO) mahdollistaa käyttäjien kirjautumisen Webexiin turvallisesti tunnistautumalla organisaatiosi yhteiseen identiteetin tarjoajiin (IdP). Webex-sovellus käyttää Webex-palvelua kommunikoidakseen Webex Platform Identity Service -palvelun kanssa. Identiteettipalvelu todennetaan identiteetin tarjoajan (IdP) kanssa.

Aloitat konfiguroinnin Control Hubissa. Tässä osassa kuvataan kolmannen osapuolen idP:n integroinnin yleiset vaiheet.

Kun määrität SSO:n IdP:n kanssa, voit liittää minkä tahansa attribuutin uid:iin. Esimerkiksi userPrincipalName, sähköpostiosoite, vaihtoehtoinen sähköpostiosoite tai mikä tahansa muu sopiva attribuutti voidaan liittää uid:iin. IdP:n on sovitettava yksi käyttäjän sähköpostiosoitteista uid:iin kirjautumisen yhteydessä. Webex tukee enintään 5 sähköpostiosoitteen yhdistämistä uid:iin.

Suosittelemme, että sisällytät Single Log Out (SLO) -palvelun metatietomääritykseen Webex SAML -yhteenliittymän määrityksen yhteydessä. Tämä vaihe on ratkaisevan tärkeä sen varmistamiseksi, että käyttäjätunnukset mitätöidään sekä tunnistuspalveluntarjoajalla (IdP) että palveluntarjoajalla (SP). Jos järjestelmänvalvoja ei tee tätä määritystä, Webex varoittaa käyttäjiä sulkemaan selaimensa, jotta kaikki avoimeksi jääneet istunnot mitätöidään.

Identiteetin tarjoajia koskevat vaatimukset

SSO:n ja Control Hubin osalta id-palveluntarjoajien on oltava SAML 2.0 -määrittelyn mukaisia. Lisäksi IdP:t on määritettävä seuraavalla tavalla:

  • Aseta NameID Format -attribuutin arvoksi urn:oasis:names:tc:SAML:2.0:nameid-format:transientti

  • Määritä IdP:n väite käyttöönotettavan SSO-tyypin mukaisesti:

    • SSO (organisaation puolesta)- Jos määrität SSO:n organisaation puolesta, määritä IdP-vaatimus sisältämään uid -attribuutin nimi arvolla, joka on yhdistetty Directory Connectorissa valittuun attribuuttiin tai Webex-tunnistuspalvelussa valittua attribuuttia vastaavaan käyttäjäattribuuttiin. (Tämä määrite voi olla esimerkiksi sähköpostiosoite tai käyttäjän pääkäyttäjän nimi.)

    • Partner SSO (vain palveluntarjoajille)- Jos olet palveluntarjoajan järjestelmänvalvoja, joka määrittää Partner SSO:n käytettäväksi palveluntarjoajan hallinnoimissa asiakasorganisaatioissa, määritä IdP-vaatimus sisältämään mail -attribuutti ( uid sijaan). Arvon on vastattava Directory Connectorissa valittua attribuuttia tai Webex-tunnistuspalvelussa valittua attribuuttia vastaavaa käyttäjäattribuuttia.

    Lisätietoja mukautettujen ominaisuuksien kartoittamisesta joko SSO:ta tai Partner SSO:ta varten on osoitteessa https://www.cisco.com/go/hybrid-services-directory.

  • Vain kumppanin SSO. Tunnistuspalveluntarjoajan on tuettava useita ACS-URL-osoitteita (Assertion Consumer Service). Esimerkkejä useiden ACS-URL-osoitteiden määrittämisestä identiteettipalveluntarjoajassa on kohdassa:

  • Käytä tuettua selainta: suosittelemme Mozilla Firefoxin tai Google Chromen uusinta versiota.

  • Poista selaimesi ponnahdusikkunoiden estolaitteet käytöstä.

Määritysoppaat esittävät tietyn esimerkin SSO-integraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi integraatiovaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified tai urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , toimivat SSO-integroinnissa, mutta ne eivät kuulu dokumentaatiomme piiriin.

SAML-sopimuksen luominen

Sinun on luotava SAML-sopimus Webex Platform Identity Service -palvelun ja IdP:n välille.

Tarvitset kaksi tiedostoa, jotta SAML-sopimus onnistuu:

  • IdP:n metatietotiedosto, joka annetaan Webexille.

  • Webexin metatietotiedosto, joka annetaan IdP:lle.

Metatietotiedostojen vaihdon kulku Webexin ja identiteetin tarjoajan välillä.

Tämä on esimerkki PingFederate-metatietotiedostosta, jossa on IdP:n metatietoja.

Kuvakaappaus PingFederaten metatietotiedostosta, jossa näkyy identiteetin tarjoajan metatiedot.

Tunnistuspalvelun metatietotiedosto.

Kuvakaappaus identiteettipalvelun metatietotiedostosta.

Tunnistuspalvelun metatietotiedoston odotetaan olevan seuraava.

Kuvakaappaus identiteettipalvelun metatietotiedostosta.

  • EntityID-Tämän avulla tunnistetaan SAML-sopimus IdP-konfiguraatiossa.

  • Allekirjoitettua AuthN-pyyntöä tai allekirjoitusväitteitä ei vaadita, vaan se vastaa sitä, mitä IdP pyytää metatietotiedostossa.

  • Allekirjoitettu metatietotiedosto, jonka avulla IdP voi tarkistaa, että metatiedot kuuluvat tunnistuspalveluun.

Kuvakaappaus allekirjoitetusta metatietotiedostosta identiteetin tarjoajalle, jotta voidaan varmistaa, että metatiedot kuuluvat identiteettipalveluun.

Kuvakaappaus allekirjoitetusta metatietotiedostosta Ocktan avulla.

Webex Identity Service -palvelun määrittäminen
1

Siirry Control Hubin asiakasnäkymästä ( https://admin.webex.com) kohtaan Management > Organization Settings, selaa kohtaan Authentication ja valitse Activate SSO -asetus käynnistääksesi ohjatun määrityksen.

2

Valitse IdP:ksi Webex ja napsauta Seuraava.

3

Tarkista Olen lukenut ja ymmärtänyt, miten Webex IdP toimii ja napsauta Seuraava.

4

Määritä reitityssääntö.

Kun olet lisännyt reitityssäännön, IdP:si on lisätty ja näkyy Identity provider -välilehdellä.
Lisätietoja on osoitteessa SSO useiden IdP:iden kanssa Webexissä.

Saitpa sitten ilmoituksen varmenteen vanhenemisesta tai haluat tarkistaa nykyisen SSO-kokoonpanon, voit käyttää varmenteiden hallintaan ja SSO:n yleisiin ylläpitotoimintoihin Control Hubin Single Sign-On (SSO) -hallintaominaisuuksia .

Jos SSO-integraatiossa ilmenee ongelmia, käytä tässä osassa esitettyjä vaatimuksia ja menettelytapoja vianmääritykseen IdP:n ja Webexin välisessä SAML-virtauksessa.

SSO:n vianmäärityksen vaatimukset

  • Käytä SAML tracer -lisäosaa Firefox, Chrome tai Edge.

  • Käytä vianmääritystä varten verkkoselainta, johon olet asentanut SAML trace debug -työkalun, ja siirry Webexin verkkoversioon osoitteessa https://web.webex.com.

Webex-sovelluksen, IdP:n ja Webex-palveluiden välisen SAML-virran vianmääritys

Seuraavassa on kuvattu viestien kulku Webex-sovelluksen, Webex-palveluiden, Webex Platform Identity Service -palvelun ja identiteetin tarjoajan (IdP) välillä.

SAML-virta Webex Appin, Webex-palveluiden, Webex Platform Identity Service -palvelun ja identiteetin tarjoajan välillä.
1

Siirry osoitteeseen https://admin.webex.com , ja kun SSO on käytössä, sovellus pyytää sähköpostiosoitetta.

Control Hubin kirjautumisnäyttö.

Sovellus lähettää tiedot Webex-palveluun, joka tarkistaa sähköpostiosoitteen.

Webex-palveluun lähetetyt tiedot sähköpostiosoitteen tarkistamista varten.

2

Sovellus lähettää GET-pyynnön OAuth-valtuutuspalvelimelle tunnuksen saamiseksi. Pyyntö ohjataan identiteettipalveluun SSO- tai käyttäjätunnus ja salasana -virtaan. Tunnistuspalvelimen URL-osoite palautetaan.

GET-pyyntö näkyy jäljitystiedostossa.

GET-pyynnön tiedot lokitiedostossa.

Parametrit-osiossa palvelu etsii OAuth-koodin, pyynnön lähettäneen käyttäjän sähköpostin ja muita OAuth-tietoja, kuten ClientID, redirectURI ja Scope.

Parametrit-osio, jossa näytetään OAuthin tiedot, kuten ClientID, redirectURI ja Scope.

3

Webex-sovellus pyytää SAML-vakuutusta IdP:ltä SAML HTTP POST -lähetyksen avulla.

Kun SSO on käytössä, identiteettipalvelun todennusmoottori ohjaa IdP:n URL-osoitteeseen SSO:ta varten. Metatietojen vaihdon yhteydessä annettu IdP:n URL-osoite.

Tunnistusmoottori ohjaa käyttäjät metatietojen vaihdon yhteydessä määritettyyn identiteetin tarjoajan URL-osoitteeseen.

Tarkista SAML POST -viesti jäljitystyökalusta. Näet IdPbrokerin pyytämän HTTP POST -viestin IdP:lle.

SAML POST -sanoma identiteetin tarjoajalle.

RelayState-parametrissa näkyy IdP:n oikea vastaus.

RelayState-parametri, joka osoittaa identiteetin tarjoajan oikean vastauksen.

Tarkista SAML-pyynnön dekoodausversio, mandaattia AuthN ei ole, ja vastauksen määränpään pitäisi mennä IdP:n määränpää-URL-osoitteeseen. Varmista, että nameid-muoto on määritetty oikein IdP:ssä oikean entityID:n alle (SPNameQualifier).

SAML-pyyntö, jossa näkyy identiteetin tarjoajassa määritetty nameid-muoto.

IdP:n nameid-muoto määritetään ja sopimuksen nimi määritetään, kun SAML-sopimus luotiin.

4

Sovelluksen todennus tapahtuu käyttöjärjestelmän web-resurssien ja idP:n välillä.

IdP:stä käynnistetään erilaisia virtoja riippuen IdP:stä ja IdP:ssä määritetyistä todennusmekanismeista.

Organisaatiosi identiteettipalveluntarjoajan paikanvaraaja.

5

Sovellus lähettää HTTP Post -lähetyksen takaisin tunnistuspalveluun ja sisällyttää siihen IdP:n tarjoamat ja alkuperäisessä sopimuksessa sovitut attribuutit.

Kun todennus onnistuu, sovellus lähettää tiedot SAML POST -sanomana tunnistuspalveluun.

SAML POST -sanoma tunnistuspalveluun.

RelayState on sama kuin edellisessä HTTP POST -sanomassa, jossa sovellus kertoo IdP:lle, mikä EntityID pyytää vakuutusta.

HTTP POST -viesti, jossa ilmoitetaan, mikä EntityID pyytää vakuutusta identiteetin tarjoajalta.

6

SAML-vakuutus IdP:ltä Webexiin.

SAML-vakuutus identiteetin tarjoajalta Webexille.

SAML-vakuutus identiteetin tarjoajalta Webexille.

SAML-vakuutus identiteetin tarjoajalta Webexille: NameID-muoto määrittelemätön.

SAML-vakuutus identiteetin tarjoajalta Webexille: NameID-muodossa email.

SAML-vakuutus identiteetin tarjoajalta Webexille: NameID-muoto transientti.

7

Identiteettipalvelu saa valtuutuskoodin, joka korvataan OAuth-käyttövaltuus- ja päivitystunnisteella. Tätä tunnusta käytetään resurssien käyttämiseen käyttäjän puolesta.

Kun identiteettipalvelu on validoinut IdP:n vastauksen, se antaa OAuth-tunnisteen, jonka avulla Webex-sovellus voi käyttää Webexin eri palveluita.

OAuth-tunniste, jonka avulla Webex App voi käyttää eri Webex-palveluja.