הפתרונות הבאים לניהול גישה לאינטרנט ופדרציה נבחנו עבור ארגוני Webex. המסמכים המקושרים להלן יסבירו לך כיצד לשלב את ספק הזהויות הספציפי (IDP) עם ארגון ה - Webex שלך.


מדריכים אלה מכסים שילוב SSO עבור שירותי Webex המנוהלים במרכז הבקרהhttps://admin.webex.com (). אם אתה מחפש שילוב SSO של אתר פגישות Webex (מנוהל בניהול אתרים), קרא את הגדרות כניסה בודדת עבור אתר Cisco Webex.

אם אינך רואה את ה - IDP שלך בהמשך, בצע את השלבים ברמה גבוהה בכרטיסייה הגדרת SSO במאמר זה.

כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל - Webex באופן מאובטח על ידי אימות לספק הזהות המשותף של הארגונים שלך (IDP). אפליקציית Webex משתמשת בשירות Webex כדי לתקשר עם שירות הזהות של פלטפורמת Webex. שירות הזהויות מאמת את הזהות שלך עם ספק הזהויות שלך (IDP).

אתה מתחיל את התצורה במרכז הבקרה. סעיף זה מצלם שלבים כלליים ברמה גבוהה לשילוב IDP של צד שלישי.

עבור SSO ו - Control Hub, IDPs חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר IDPs באופן הבא:

  • הגדר את תכונת ה - NameID לכד:נווה מדבר:שמות: tc:SAML: 2.0:nameid - format:ארעי

  • הגדר דרישת בעלות ב - IDP בהתאם לסוג ה - SSO שאתה פורס:

    • SSO (עבור ארגון)- אם אתה מגדיר SSO מטעם ארגון, הגדר את תביעת ה - IDP כך שתכלול את שם תכונת ה - UID עם ערך שמופה לתכונה שנבחרה ב - Directory Connector, או את תכונת המשתמש שתואמת לתכונה שנבחרה בשירות הזהות של Webex. (תכונה זו יכולה להיות כתובות דואר אלקטרוני או שם משתמש ראשי, לדוגמה).

    • SSO של שותף (עבור ספקי שירות בלבד)- אם אתה מנהל ספק שירות שמגדיר את תצורת SSO של שותף לשימוש על ידי ארגוני הלקוחות שספק השירות מנהל, הגדר את תביעת ה - IDP כך שתכלול את תכונת הדואר (ולא את ה - UID). הערך חייב למפות את התכונה שנבחרה ב - Directory Connector, או את תכונת המשתמש שתואמת את התכונה שנבחרה בשירות הזהות של Webex.


    למידע נוסף על מיפוי תכונות מותאמות אישית עבור SSO או SSO שותף, ראהhttps://www.cisco.com/go/hybrid-services-directory.

  • SSO שותף בלבד. ספק הזהויות חייב לתמוך בכתובות אתרים מרובות של שירותי הגנת הצרכן (ACS). לקבלת דוגמאות להגדרת מספר כתובות URL של ACS בספק זהויות, ראה:

  • השתמש בדפדפן נתמך: אנו ממליצים על הגרסה העדכנית ביותר של Mozilla Firefox או Google Chrome.

  • השבת כל חוסם חלונות קופצים בדפדפן שלך.


מדריכי התצורה מציגים דוגמה ספציפית לשילוב SSO אך אינם מספקים תצורה ממצה לכל האפשרויות. לדוגמה, שלבי האינטגרציה לכד פורמט - שם:נווה מדבר:שמות: tc:SAML:2.0: פורמט - שם:ארעי מתועדים. פורמטים אחרים כגון כד:נווה מדבר:שמות: tc:SAML:1.1: nameid - format: unpecified or urn: noasis:names: tc:SAML:1.1: nameid - format:emailAddress יעבוד עבור שילוב SSO אך הם מחוץ לתחום של התיעוד שלנו.

עליך ליצור הסכם SAML בין שירות הזהות של פלטפורמת Webex לבין ה - IDP שלך.

יש צורך בשני קבצים כדי להשיג הסכם SAML מוצלח:

  • קובץ metadata מ - IDP, לתת ל - Webex.

  • קובץ metadata מ - Webex, לתת ל - IDP.

זוהי דוגמה לקובץ מטא נתונים של PingFederate עם מטא נתונים מ - IDP.

קובץ Metadata משירות הזהות.

להלן מה שאתה מצפה לראות בקובץ metadata משירות הזהות.

  • EntityID - אפשרות זו משמשת לזיהוי הסכם ה - SAML בתצורת IDP

  • אין דרישה לבקשת AuthN חתומה או לכל קביעת סימן, היא תואמת לבקשות ה - IDP בקובץ המטא נתונים.

  • קובץ מטא נתונים חתום עבור ה - IDP כדי לוודא שהמטא נתונים שייכים לשירות הזהויות.

1

מתצוגת הלקוח במרכז הבקרה (https://admin.webex.com), עבור אל ניהול > הגדרות ארגון, גלול אל אימות והחלף בהגדרת כניסה בודדת כדי להפעיל את אשף התצורה.

2

בחר את סוג התעודה:

  • חתימה עצמית של Cisco- מומלץ לבחור באפשרות זו כדי לאפשר לנו להפוך ל - SP. כמו כן, אתה רק צריך לחדש את התעודה כל חמש שנים.
  • חתום על ידי רשות תעודה ציבורית - אפשרות זו מאובטחת ומומלצת אם אתה מקבל את האישורים שלך חתומים על ידי CA ציבורי כגון Hydrant או Godaddy. עם זאת, עליך לחדש את האישור פעם בשנה.
3

לחץ על הורד מטא נתונים ולחץ על הבא.

4

שירות הזהות של פלטפורמת Webex מאמת את קובץ המטא נתונים מ - IDP.

ישנן שתי דרכים אפשריות לאמת את המטא נתונים מ - IDP של הלקוח:

  • מזהה לקוח מספק חתימה במטא נתונים שחתומה על ידי Public Root CA.

  • מזהה לקוח מספק CA פרטי חתום בעצמו או לא מספק חתימה עבור המטא נתונים שלהם. אפשרות זו פחות מאובטחת.

5

בדוק את חיבור SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד להפעלת SSO בשלב הבא.


 

כדי לראות את חוויית הכניסה ל - SSO באופן ישיר, תוכל גם ללחוץ על העתק כתובת אתר ללוח מתוך מסך זה ולהדביק אותה בחלון דפדפן פרטי. משם, אתה יכול ללכת דרך כניסה עם SSO. פעולה זו מסייעת בהסרת כל מידע שמוצג במטמון בדפדפן האינטרנט שלך ועשוי לספק תוצאה חיובית שגויה בעת בדיקת תצורת ה - SSO שלך.

6

אם הבדיקה מצליחה, פנה ל - SSO ושמור את השינויים.

עליך לשמור שינויים כדי ש - SSO ייכנס לתוקף בארגון שלך.

בין אם קיבלת הודעה על אישור שתוקפו פג ובין אם ברצונך לבדוק את תצורת ה - SSO הקיימת שלך, תוכל להשתמש בתכונות הניהול של כניסה יחידה (SSO) במרכז הבקרה לניהול אישורים ופעילויות תחזוקה כלליות של SSO.

אם אתה נתקל בבעיות עם שילוב ה - SSO שלך, השתמש בדרישות ובנהלים בסעיף זה כדי לפתור את זרימת ה - SAML בין ה - IDP שלך ל - Webex.

  • השתמש בהרחבת המעקב של SAML עבור Firefox או Chrome.

  • כדי לפתור בעיות, השתמש בדפדפן האינטרנט שבו התקנת את כלי איתור הבאגים של SAML ועבור לגרסת האינטרנט של Webex בכתובתhttps://web.webex.com.

להלן זרימת ההודעות בין אפליקציית Webex, שירותי Webex, שירות הזהות של פלטפורמת Webex, לבין ספק הזהות (IDP).

  1. עבור אל, https://admin.webex.com ועם SSO מופעל, האפליקציה מבקשת כתובת דוא"ל.
  2. האפליקציה שולחת בקשה לקבל אישור לשרת OAuth עבור אסימון. הבקשה מנותבת מחדש לשירות הזהות אל ה - SSO או אל זרימת שם המשתמש והסיסמה. כתובת ה - URL של שרת האימות מוחזרת.
  3. אפליקציית Webex מבקשת טענה SAML מ - IDP באמצעות פוסט SAML HTTP.
  4. האימות עבור האפליקציה מתבצע בין משאבי האינטרנט של מערכת ההפעלה לבין ה - IDP.
  5. האפליקציה שולחת פוסט HTTP בחזרה לשירות הזהות וכוללת את התכונות שסופקו על ידי ה - IDP והוסכמו בהסכם הראשוני.
  6. SAML Assertion מ - IDP ל - Webex.
  7. שירות הזהות מקבל קוד הרשאה שמוחלף באסימון גישה ורענון של OAuth. אסימון זה משמש לגישה למשאבים בשם המשתמש.
1

עבור אל, https://admin.webex.com ועם SSO מופעל, האפליקציה מבקשת כתובת דוא"ל.

האפליקציה שולחת את המידע לשירות Webex שמאמת את כתובת הדוא"ל.

2

האפליקציה שולחת בקשה לקבל אישור לשרת OAuth עבור אסימון. הבקשה מנותבת מחדש לשירות הזהות אל ה - SSO או אל זרימת שם המשתמש והסיסמה. כתובת ה - URL של שרת האימות מוחזרת.

אתה יכול לראות את הבקשה לקבל בקובץ העקבות.

במקטע הפרמטרים השירות מחפש קוד OAuth, דוא"ל של המשתמש ששלח את הבקשה ופרטי OAuth אחרים כגון ClientID, REFIRECTIONURI ו - Scope.

3

אפליקציית Webex מבקשת טענה SAML מ - IDP באמצעות פוסט SAML HTTP.

כאשר SSO מופעל, מנוע האימות בשירות הזהות מפנה מחדש לכתובת ה - URL של IDP עבור SSO. כתובת ה - URL של IDP סופקה כאשר המטא נתונים הוחלפו.

בדוק בכלי המעקב עבור הודעת פוסט SAML. אתה רואה הודעת פוסט HTTP ל - IDP המבוקש על ידי IDPbroker.

פרמטר ה - RelayState מציג את התשובה הנכונה מ - IDP.

סקור את גרסת הפענוח של בקשת ה - SAML, אין AuthN עם מנדט והיעד של התשובה צריך לעבור לכתובת אתר היעד של ה - IDP. ודא כי פורמט ה - nameid מוגדר כהלכה ב - IDP תחת מזהה הישות הנכון (SPNameQualifier)

פורמט ה - IDP nameid מצוין ושם ההסכם הוגדר בעת יצירת הסכם ה - SAML.

4

האימות עבור האפליקציה מתבצע בין משאבי האינטרנט של מערכת ההפעלה לבין ה - IDP.

בהתאם ל - IDP ולמנגנוני האימות שהוגדרו ב - IDP, זרימות שונות מתחילות מה - IDP.

5

האפליקציה שולחת פוסט HTTP בחזרה לשירות הזהות וכוללת את התכונות שסופקו על ידי ה - IDP והוסכמו בהסכם הראשוני.

כאשר האימות מתבצע בהצלחה, האפליקציה שולחת את המידע בהודעת פוסט של SAML לשירות הזהויות.

ה - RelayState זהה להודעת ה - HTTP הקודמת שבה האפליקציה אומרת ל - IDP איזו ישות מבקשת את הטענה.

6

SAML Assertion מ - IDP ל - Webex.

7

שירות הזהות מקבל קוד הרשאה שמוחלף באסימון גישה ורענון של OAuth. אסימון זה משמש לגישה למשאבים בשם המשתמש.

לאחר ששירות הזהות מאמת את התשובה מ - IDP, הוא מנפיק אסימון OAuth המאפשר לאפליקציית Webex לגשת לשירותי Webex השונים.