הפתרונות הבאים לניהול גישה לאינטרנט ולביצוע איחוד נבדקו עבור ארגוני Webex. המסמכים המקושרים למטה מדריכים אותך כיצד לשלב את ספק הזהויות (IdP) הספציפי הזה עם ארגון Webex שלך.

מדריכים אלה סוקרים שילוב של SSO בשירותי Webex המנוהלים ב-Control Hub ‏(https://admin.webex.com). אם אתה רוצה להגדיר שילוב SSO באתר Webex Meetings (מנוהל בניהול האתר), קרא את הגדרת כניסה יחידה לאתר Cisco Webex.

אם ברצונך להגדיר SSO עבור ספקי זהויות מרובים בארגון שלך, עיין בSSO עם ספקי זהויות מרובים ב-Webex.

אם אינך רואה את ה-IDP שלך רשום למטה, בצע את השלבים הכלליים בלשונית הגדרת SSO במאמר זה.

כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל-Webex בצורה מאובטחת באמצעות אימות מול ספק הזהויות (IdP) המשותף של הארגון שלך. יישום Webex משתמש בשירות Webex כדי לתקשר עם שירות הזהויות של פלטפורמת Webex. שירות הזהויות מבצע אימות עם ספק הזהויות (IdP) שלך.

מגדירים את התצורה ב-Control Hub. סעיף זה מספק הנחיות לשלבים כלליים לשילוב IdP של צד שלישי.

כאשר אתה מגדיר SSO עם ה-IdP שלך, אתה יכול למפות כל תכונה ל-uid. לדוגמה, מפה את userPrincipalName, כינוי דוא"ל, כתובת דוא"ל חלופית או כל תכונה אחרת שמתאימה ל-uid. ה-IdP צריך להתאים לאחת מכתובות הדוא"ל של המשתמש ב-uid בעת הכניסה לחשבון. Webex תומך במיפוי של עד 5 כתובות דוא"ל ל-uid.

מומלץ לכלול התנתקות יחידה (SLO) בתצורת המטה-נתונים שלך בעת הגדרת איחוד Webex SAML. שלב זה הוא קריטי כדי להבטיח שאסימוני המשתמש אינם מאומתים הן אצל ספק הזהויות (IdP) והן אצל ספק השירות (SP). אם תצורה זו לא מתבצעת על-ידי מנהל מערכת, Webex מתריע למשתמשים לסגור את הדפדפנים שלהם כדי לבטל את תוקף המפגשים שנותרו פתוחים.

דרישות לספקי זהויות

עבור SSO ו-Control Hub, ספקי הזהויות חייבים להתאים למפרט SAML 2.0. בנוסף, יש להגדיר ספקי IdP באופן הבא:

  • הגדר את התכונה תבנית NameID ל-urn:oasis:names:tc:SAML:2.0:nameid-format:ארעי

  • הגדר בעלות על ה-IdP בהתאם לסוג ה-SSO שאתה פורס:

    • SSO (עבור ארגון) – אם אתה מגדיר SSO מטעם ארגון, הגדר את הבעלות על ה-IDP כך שתכלול את ה-uid של שם התכונה עם ערך שממופה לתכונה שנבחרה במחבר ספר הטלפונים, או לתכונת המשתמש התואמת לזו שנבחרה בשירות הזהויות של Webex. (למשל, תכונה זו יכולה להיות כתובות דוא"ל או השם העיקרי של המשתמש (UPN).)

    • Partner SSO (עבור ספקי שירות בלבד) - אם אתה מנהל מערכת של ספק שירות שמגדיר את Partner SSO לשימוש על ידי ארגוני הלקוחות שספק השירות מנהל, הגדר את הבעלות על ה-IdP כך שתכלול את התכונה דואר (במקום uid). הערך חייב למפות לתכונה שנבחרה במחבר ספר הטלפונים, או לתכונת המשתמש התואמת את זו שנבחרה בשירות הזהויות של Webex.

    למידע נוסף על מיפוי תכונות מותאמות אישית עבור SSO או Partner SSO, ראה https://www.cisco.com/go/hybrid-services-directory.

  • Partner SSO בלבד. ספק הזהויות חייב לתמוך במספר כתובות URL של שירות צרכן קביעה (ACS). לדוגמאות המציגות איך להגדיר מספר כתובות URL של ACS בספק זהויות, ראה:

  • השתמש בדפדפן נתמך: אנו ממליצים על הגרסה העדכנית ביותר של Mozilla Firefox או Google Chrome.

  • השבת את כל חוסמי החלונות הקופצים בדפדפן שלך.

מדריכי התצורה כוללים דוגמה ספציפית לשילוב SSO אך אינם מספקים הגדרות לקביעת תצורה לכל האפשרויות. לדוגמה, שלבי האינטגרציה עבור כד בתבנית nameid:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:uns specifiified או urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יפעלו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו.

צור הסכם SAML

עליך ליצור הסכם SAML בין שירות הזהויות של פלטפורמת Webex לבין ה-IdP שלך.

אתה צריך שני קבצים כדי ליצור הסכם SAML מוצלח:

  • קובץ מטה-נתונים מה-IdP, להעביר ל-Webex.

  • קובץ מטה-נתונים מ-Webex, להעביר ל-IdP.

זרימת חילופי קבצים של מטה-נתונים בין Webex לספק הזהויות.

זוהי דוגמה לקובץ מטה-נתונים של PingFederate עם מטה-נתונים מה-IdP.

צילום מסך של קובץ מטה-נתונים של PingFederate המציג מטה-נתונים מספק הזהויות.

קובץ מטה-נתונים משירות הזהויות.

צילום מסך של קובץ המטה-נתונים משירות הזהויות.

להלן המידע שאתה מצפה לראות בקובץ המטה-נתונים משירות הזהויות.

צילום מסך של קובץ המטה-נתונים משירות הזהויות.

  • EntityID - מספר זה משמש לזיהוי הסכם ה-SAML בתצורת IdP

  • אין דרישה לבקשת AuthN חתומה או להצהרות סימנים כלשהן, היא תואמת למה שה-IdP מבקש בקובץ המטה-נתונים.

  • קובץ מטה-נתונים חתום עבור ה-IdP כדי לאמת שהמטה-נתונים שייכים לשירות הזהות.

צילום מסך של קובץ מטה-נתונים חתום עבור ספק הזהויות כדי לוודא שהמטה-נתונים שייכים לשירות הזהויות.

צילום מסך של קובץ מטה-נתונים חתום באמצעות Okta.

קבע את התצורה של שירות הזהויות של Webex
1

מתצוגת הלקוח ב-Control Hub ( https://admin.webex.com), עבור אל ניהול > הגדרות ארגון, גלול אל אימות ולחץ על ההגדרה הפעל SSO כדי להפעיל את אשף התצורה.

2

בחר Webex כספק הזהות שלך ולחץ על הבא.

3

בדוק קראתי והבנתי איך Webex IdP עובד ולחץ על הבא.

4

הגדר כלל ניתוב.

לאחר הוספת כלל ניתוב, ה-IdP יתווסף ויוצג תחת הלשונית ספק הזהויות .
למידע נוסף, ראה SSO עם ספקי זהויות מרובים ב-Webex.

בין אם קיבלת הודעה על תעודה שפג תוקפה ובין אם אתה רוצה לבדוק את תצורת ה-SSO הקיימת שלך, אתה יכול להשתמש בתכונות הניהול של כניסה יחידה (SSO) ב-Control Hub לניהול תעודות ולפעילויות תחזוקה כלליות של SSO.

אם אתה נתקל בבעיות בשילוב ה-SSO שלך, השתמש ברשימת הדרישות ובנוהל המפורטים בסעיף זה כדי לפתור בעיות בהעברת SAML בין ה-IdP שלך ל-Webex.

רשימת דרישות לפתרון בעיות SSO

  • השתמש בתוסף המעקב של SAML עבור Firefox, Chrome או Edge.

  • כדי לפתור בעיות, השתמש בדפדפן האינטרנט שבו התקנת את כלי המעקב של SAML לאיתור באגים ועבור לגרסת האינטרנט של Webex בכתובת https://web.webex.com.

פתור בעיות בהעברת ה-SAML בין יישום Webex, ה-IdP שלך ושירותי Webex.

להלן זרימת ההודעות בין יישום Webex, שירותי Webex, שירות הזהות של פלטפורמת Webex וספק הזהות (IdP).

זרימת SAML בין יישום Webex, שירותי Webex, שירות הזהויות של פלטפורמת Webex וספק הזהויות.
1

עבור אל https://admin.webex.com וכאשר האפשרות SSO מופעלת, תופיע הודעה על המסך שמבקשת להזין כתובת דוא"ל.

מסך הכניסה של Control Hub.

היישום שולח את המידע לשירות Webex אשר מאמת את כתובת הדוא"ל.

מידע נשלח לשירות Webex עבור אימות כתובת דוא"ל.

2

היישום שולח בקשת GET לשרת ההרשאה של OAuth לקבלת אסימון. הבקשה מועברת לשירות הזהויות ל-SSO או לתהליך של שם משתמש וסיסמה. כתובת ה-URL של שרת האימות מוחזרת.

אתה יכול לראות את בקשת ה-GET בקובץ המעקב.

קבל פרטי בקשה בקובץ יומן הרישום.

בקטע של הפרמטרים השירות מחפש קוד OAuth, דוא"ל של המשתמש ששלח את הבקשה ופרטי OAuth אחרים כגון ClientID,‏ redirectURI ו-Scope.

מקטע פרמטרים המציג פרטי OAuth כגון ClientID, redirectURI ו-Scope.

3

יישום Webex מבקש הצהרת SAML מה-IdP באמצעות SAML HTTP POST.

כאשר אפשרות ה-SSO מופעלת, מנוע האימות בשירות הזהויות מפנה אל כתובת ה-URL של ה-IdP עבור SSO. כתובת ה-URL של ה-IdP שסופקה בעת החלפת המטה-נתונים.

מנוע אימות מפנה מחדש את המשתמשים לכתובת ה-URL של ספק הזהויות שצוינה במהלך החלפת המטה-נתונים.

בדוק בכלי המעקב אם מופיעה הודעת SAML POST. תוכל לראות הודעת HTTP POST ל-IdP שהתבקשה על ידי IdPbroker.

הודעת SAML POST לספק הזהויות.

הפרמטר RelayState מציג את התשובה הנכונה מה-IdP.

פרמטר RelayState המציג את התשובה הנכונה מספק הזהויות.

בדוק את הגרסה המפוענחת של בקשת ה-SAML , שאין הרשאת AuthN ושיעד התשובה הוא כתובת היעד (URL) של ה-IdP. ודא שפורמט ה-nameid מוגדר כהלכה ב-IdP תחת ה-entityID הנכון (SPNameQualifier)

בקשת SAML המציגה את תבנית nameid שהוגדרה בספק הזהויות.

תבנית ה-IDP nameid מצוינת ושם ההסכם מוגדר כאשר הסכם SAML נוצר.

4

האימות של היישום מתרחש בין משאבי האינטרנט של מערכת ההפעלה לבין ה-IdP.

בהתאם ל-IdP שלך ולמנגנוני האימות המוגדרים ב-IdP, תהליכים שונים מופעלים ב-IdP.

מציין מיקום של ספק הזהויות עבור הארגון שלך.

5

היישום שולח HTTP Post בחזרה לשירות הזהויות וכולל את התכונות שסופקו על ידי ה-IdP ואשר הוסכם עליהן בהסכם הראשוני.

כאשר האימות מצליח, היישום שולח את המידע בהודעת SAML POST לשירות הזהויות.

הודעת SAML POST לשירות הזהויות.

ה-RelayState זהה להודעת HTTP POST הקודמת שבה היישום אומר ל-IdP איזה EntityID מבקש את ההצהרה.

הודעת HTTP POST המציינת איזה EntityID מבקש את הקביעה מספק הזהויות.

6

הצהרת SAML מ-IdP ל-Webex.

קביעת SAML מספק הזהויות ל-Webex.

קביעת SAML מספק הזהויות ל-Webex.

קביעת SAML מספק הזהויות ל-Webex: תבנית NameID לא צוינה.

קביעת SAML מספק הזהויות ל-Webex: דוא"ל בתבנית NameID.

קביעת SAML מספק הזהויות ל-Webex: תבנית NameID ארעית.

7

שירות הזהויות מקבל קוד הרשאה שמוחלף באסימון גישה ורענון של OAuth. אסימון זה משמש לגישה למשאבים מטעם המשתמש.

לאחר ששירות הזהויות מאמת את התשובה מה-IdP, הוא מנפיק אסימון OAuth המאפשר ליישום Webex לגשת לשירותי Webex השונים.

אסימון OAuth המאפשר ליישום Webex לגשת לשירותי Webex השונים.