Ennen kertakirjautumisen (SSO) integrointia Webex käyttää oletusarvoisesti perustodennusta. Perustodennus edellyttää, että käyttäjät antavat Webex-käyttäjätunnuksensa ja -salasanansa joka kerta sisäänkirjautumisen yhteydessä. Jos organisaatiossasi on oma identiteetintarjoaja (IdP), voit integroida sen organisaatioosi Control Hub for SSO:ssa. SSO:n avulla käyttäjäsi voivat käyttää yhtä yhteistä tunnistetietojoukkoa organisaatiosi Webex-sovelluksissa.

Jos haluat käyttää perustunnistusta, sinun ei tarvitse tehdä mitään. Ota kuitenkin huomioon, että perustunnistus voi olla käyttäjille vähemmän turvallinen ja kätevä kuin kertakirjautuminen, varsinkin jos organisaatiossasi on jo käytössä IdP. Perustodennuksen tehostamiseksi suosittelemme monivaiheisen todennuksen (MFA) käyttöä Control Hubissa. Lisätietoja on kohdassa Monivaiheisen todennuksen integroinnin käyttöönotto Control Hubissa.

Seuraavia verkkokäytön hallinta- ja federaatioratkaisuja testattiin Webex-organisaatioille. Alla olevat linkit opastavat sinua integroimaan kyseisen identiteetintarjoajan (IdP) Webex-organisaatioosi.

Nämä oppaat käsittelevät Control Hubissa ( https://admin.webex.com) hallittavien Webex-palveluiden kertakirjautumisen integrointia. Jos etsit Webex Meetings -sivuston kertakirjautumisen integrointia (hallitaan sivuston hallinnassa), lue Cisco Webex -sivuston kertakirjautumisen määrittäminen.

Jos haluat määrittää kertakirjautumisen (SSO) useille identiteetintarjoajille organisaatiossasi, katso Kertakirjautuminen useiden identiteetintarjoajien kanssa Webexissä.

Jos et näe IdP:täsi alla olevassa luettelossa, noudata tämän artikkelin SSO-asetukset -välilehden yleisiä ohjeita.

Kertakirjautumisen (SSO) avulla käyttäjät voivat kirjautua Webexiin turvallisesti todentamalla itsensä organisaatiosi yhteiselle identiteetintarjoajalle (IdP). Webex-sovellus käyttää Webex-palvelua kommunikoidakseen Webex-alustan identiteettipalvelun kanssa. Identiteettipalvelu todennetaan identiteetintarjoajasi (IdP) avulla.

Aloitat määrityksen Control Hubissa. Tässä osiossa käsitellään kolmannen osapuolen IdP:n integroinnin yleisiä vaiheita.

Kun määrität kertakirjautumisen (SSO) IdP:n kanssa, voit yhdistää minkä tahansa attribuutin uid:hen. Yhdistä esimerkiksi userPrincipalName, sähköpostiosoitealias, vaihtoehtoinen sähköpostiosoite tai mikä tahansa muu sopiva attribuutti uid:hen. IdP:n on yhdistettävä yhden käyttäjän sähköpostiosoite UID:hen sisäänkirjautumisen yhteydessä. Webex tukee jopa viiden sähköpostiosoitteen yhdistämistä UID:hen.

Suosittelemme, että lisäät kertauloskirjautumisen (SLO) metatietomäärityksiisi Webex SAML -federaation määrityksen yhteydessä. Tämä vaihe on ratkaisevan tärkeä sen varmistamiseksi, että käyttäjätunnukset mitätöidään sekä identiteetintarjoajalla (IdP) että palveluntarjoajalla (SP). Jos järjestelmänvalvoja ei suorita tätä määritystä, Webex kehottaa käyttäjiä sulkemaan selaimensa mitätöidäkseen kaikki avoimet istunnot.

Vaatimukset henkilöllisyyden tarjoajille

SSO:n ja Control Hubin osalta IdP:iden on oltava SAML 2.0 -spesifikaation mukaisia. Lisäksi IdP:t on konfiguroitava seuraavalla tavalla:

  • Aseta NameID Format -attribuutin arvoksi urn:oasis:names:tc:SAML:2.0:nameid-format:ohimenevä

  • Määritä IdP:lle vaatimus käyttöönotettavan kertakirjautumisen tyypin mukaan:

    • SSO (organisaatiolle) – Jos määrität kertakirjautumisen organisaation puolesta, määritä IdP-väite sisältämään uid -attribuutin nimi, jonka arvo on yhdistetty hakemistoliittimessä valittuun attribuuttiin tai käyttäjäattribuuttiin, joka vastaa Webex-identiteettipalvelussa valittua attribuuttia. (Tämä ominaisuus voi olla esimerkiksi Sähköpostiosoitteet tai Käyttäjätunnus.)

    • Kumppanin kertakirjautuminen (vain palveluntarjoajille) – Jos olet palveluntarjoajan järjestelmänvalvoja, joka määrittää kumppanin kertakirjautumisen palveluntarjoajan hallinnoimien asiakasorganisaatioiden käyttöön, määritä IdP-väite sisältämään mail -attribuutti ( uid-attribuutin sijaan). Arvon on vastattava hakemistoliittimessä valittua attribuuttia tai käyttäjäattribuuttia, joka vastaa Webex-identiteettipalvelussa valittua attribuuttia.

    Lisätietoja mukautettujen määritteiden yhdistämisestä joko kertakirjautumiseen tai kumppanin kertakirjautumiseen on kohdassa https://www.cisco.com/go/hybrid-services-directory.

  • Vain kumppanin kertakirjautuminen. Identiteetintarjoajan on tuettava useita Assertion Consumer Service (ACS) -URL-osoitteita. Esimerkkejä useiden ACS-URL-osoitteiden määrittämisestä identiteetintarjoajassa on kohdassa:

  • Käytä tuettua selainta: Suosittelemme Mozilla Firefoxin tai Google Chromen uusinta versiota.

  • Poista käytöstä kaikki ponnahdusikkunoiden esto-ohjelmat selaimessasi.

Määritysoppaissa on esitetty tietty esimerkki kertakirjautumisintegraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient :n integrointivaiheet on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, toimivat kertakirjautumisintegraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Laadi SAML-sopimus

Sinun on tehtävä SAML-sopimus Webex Platform Identity Servicen ja IdP:n välille.

Tarvitset kaksi tiedostoa SAML-sopimuksen tekemiseen:

  • IdP:n metatietotiedosto, joka annetaan Webexille.

  • Webexin metatietotiedosto, joka annetaan IdP:lle.

Metadatatiedostojen vaihdon kulku Webexin ja identiteetintarjoajan välillä.

Tämä on esimerkki PingFederaten metatietotiedostosta, joka sisältää IdP:n metatietoja.

Kuvakaappaus PingFederaten metatietotiedostosta, joka näyttää identiteetintarjoajan metatiedot.

Identiteettipalvelun metatietotiedosto.

Kuvakaappaus identiteettipalvelun metatietotiedostosta.

Seuraavassa on odotettavissa olevaa tietoa identiteettipalvelun metatietotiedostosta.

Kuvakaappaus identiteettipalvelun metatietotiedostosta.

  • EntityID – Tätä käytetään SAML-sopimuksen tunnistamiseen IdP-kokoonpanossa.

  • Allekirjoitettua AuthN-pyyntöä tai allekirjoitusväitteitä ei vaadita, vaan se noudattaa IdP:n metatietotiedostossa pyytämiä tietoja.

  • Allekirjoitettu metatietotiedosto, jolla IdP varmistaa metatietojen kuulumisen identiteettipalveluun.

Kuvakaappaus allekirjoitetusta metatietotiedostosta, jolla tunnistetietojen toimittaja voi varmistaa metatietojen kuuluvan tunnistepalveluun.

Kuvakaappaus allekirjoitetusta metatietotiedostosta Okta-sovelluksella.

Webex-identiteetin palvelun määrittäminen
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle ja napsauta Aktivoi kertakirjautuminen.

4

Valitse IdP:ksi Webex ja napsauta Seuraava.

5

Valitse Olen lukenut ja ymmärtänyt Webex IdP:n toiminnan ja napsauta Seuraava.

6

Määritä reitityssääntö.

Kun olet lisännyt reitityssäännön, IdP:si lisätään ja näkyy Tunnistetietojen tarjoaja -välilehdellä.
Lisätietoja on kohdassa Kertakirjautuminen useiden IdP:iden kanssa Webexissä.

Saitpa sitten ilmoituksen vanhenevasta varmenteesta tai haluat tarkistaa nykyisen kertakirjautumisen määrityksesi, voit käyttää Control Hubin kertakirjautumisen (SSO) hallintaominaisuuksia varmenteiden hallintaan ja yleisiin kertakirjautumisen ylläpitotoimiin.

Jos SSO-integraatiossasi ilmenee ongelmia, käytä tässä osiossa olevia vaatimuksia ja menettelytapoja IdP:n ja Webexin välisen SAML-työnkulun vianmääritykseen.

SSO-vianmäärityksen vaatimukset
Webex-sovelluksen, IdP:n ja Webex-palveluiden välisen SAML-työnkulun vianmääritys

Seuraavassa on viestien kulku Webex-sovelluksen, Webex-palveluiden, Webex-alustan identiteettipalvelun ja identiteetintarjoajan (IdP) välillä.

SAML-työnkulku Webex-sovelluksen, Webex-palveluiden, Webex-alustan identiteettipalvelun ja identiteetintarjoajan välillä.
1

Siirry kohtaan https://admin.webex.com ja kertakirjautumisen ollessa käytössä sovellus pyytää sähköpostiosoitetta.

Control Hubin kirjautumisnäyttö.

Sovellus lähettää tiedot Webex-palveluun, joka vahvistaa sähköpostiosoitteen.

Tiedot lähetetty Webex-palveluun sähköpostiosoitteen vahvistamista varten.

2

Sovellus lähettää GET-pyynnön OAuth-valtuutuspalvelimelle tokenia varten. Pyyntö ohjataan tunnistuspalveluun kertakirjautumisen tai käyttäjätunnuksen ja salasanan työnkulkuun. Todennuspalvelimen URL-osoite palautetaan.

Voit nähdä GET-pyynnön jäljitystiedostossa.

GET-pyynnön tiedot lokitiedostosta.

Parametrit-osiossa palvelu etsii OAuth-koodia, pyynnön lähettäneen käyttäjän sähköpostiosoitetta ja muita OAuth-tietoja, kuten asiakastunnusta (ClientID), uudelleenohjauksen URL-osoitetta (redirectURI) ja laajuutta (Scope).

Parametriosio, jossa näkyvät OAuth-tiedot, kuten asiakastunnus, uudelleenohjattu URL-osoite ja laajuus.

3

Webex-sovellus pyytää IdP:ltä SAML-vahvistusta SAML HTTP POST -viestin avulla.

Kun kertakirjautuminen on käytössä, identiteettipalvelun todennusmoottori ohjaa kertakirjautumista varten IdP:n URL-osoitteeseen. Metadatan vaihdon yhteydessä annettu IdP:n URL-osoite.

Todennusmoottori ohjaa käyttäjät metatietojen vaihdon aikana määritettyyn identiteetintarjoajan URL-osoitteeseen.

Tarkista jäljitystyökalusta SAML POST -viesti. Näet IdPbrokerin pyytämän HTTP POST -viestin IdP:lle.

SAML POST -viesti identiteetintarjoajalle.

RelayState-parametri näyttää IdP:n oikean vastauksen.

RelayState-parametri, joka näyttää oikean vastauksen identiteetintarjoajalta.

Tarkista SAML-pyynnön dekoodausversio. Siinä ei ole AuthN-mandaattia ja vastauksen kohteen tulisi olla IdP:n kohde-URL-osoitteessa. Varmista, että nimitunnuksen muoto on määritetty oikein IdP:ssä oikean entityID:n (SPNameQualifier) alla.

SAML-pyyntö, joka näyttää identiteetintarjoajassa määritetyn nimi-ID-muodon.

IdP-nimitunnuksen muoto määritetään ja sopimuksen nimi konfiguroidaan SAML-sopimuksen luomisen yhteydessä.

4

Sovelluksen todennus tapahtuu käyttöjärjestelmän verkkoresurssien ja IdP:n välillä.

IdP:stä käynnistetään erilaisia virtoja riippuen IdP:stäsi ja IdP:ssä määritetyistä todennusmekanismeista.

Organisaatiosi identiteetintarjoajan paikkamerkki.

5

Sovellus lähettää HTTP Post -viestin takaisin tunnistuspalvelulle ja sisällyttää viestiin IdP:n toimittamat ja alkuperäisessä sopimuksessa sovitut attribuutit.

Kun todennus onnistuu, sovellus lähettää tiedot SAML POST -viestissä identiteettipalvelulle.

SAML POST -viesti identiteettipalvelulle.

RelayState on sama kuin edellinen HTTP POST -viesti, jossa sovellus kertoo IdP:lle, mikä EntityID pyytää vahvistusta.

HTTP POST -viesti, joka osoittaa, mikä EntityID pyytää vahvistusta identiteetintarjoajalta.

6

SAML-väite IdP:ltä Webexiin.

SAML-väite identiteetintarjoajalta Webexille.

SAML-väite identiteetintarjoajalta Webexille.

SAML-väite identiteetintarjoajalta Webexille: Nimitunnuksen muotoa ei ole määritelty.

SAML-väite identiteetintarjoajalta Webexille: Nimi-ID-muotoinen sähköpostiosoite.

SAML-väite identiteetintarjoajalta Webexille: Nimi-ID-muotoinen ohimenevä.

7

Identiteettipalvelu vastaanottaa valtuutuskoodin, joka korvataan OAuth-käyttöoikeus- ja päivitystunnuksella. Tätä tunnusta käytetään resurssien käyttämiseen käyttäjän puolesta.

Kun tunnistuspalvelu on vahvistanut IdP:n vastauksen, se myöntää OAuth-tunnuksen, jonka avulla Webex-sovellus voi käyttää eri Webex-palveluita.

OAuth-tunnus, jonka avulla Webex-sovellus voi käyttää eri Webex-palveluita.