פתרונות ניהול הגישה לאינטרנט והאיחוד הבאים נבדקו עבור ארגוני Webex.המסמכים המקושרים להלן מסבירים לך כיצד לשלב את ספק הזהויות הספציפי (IDP) עם ארגון Webex שלך.


 

מדריכים אלה מכסים שילוב SSO עבור שירותי Webex המנוהלים ב- Control Hub ( https://admin.webex.com).אם אתה מחפש שילוב SSO של אתר פגישות Webex (מנוהל בניהול אתר), קרא את קביעת תצורה של כניסה יחידה עבור אתרCisco Webex.

אם אינך רואה את ה- IDP שלך מפורט להלן, בצע את השלבים ברמה גבוהה בכרטיסיה הגדרת SSO במאמר זה.

כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס ל- Webex באופן מאובטח על-ידי אימות לספק הזהויות המשותף (IdP) של הארגונים שלך.אפליקציית Webex משתמשת בשירות Webex כדי לתקשר עם שירות הזהויות של פלטפורמת Webex.שירות הזהויות מבצע אימות עם ספק הזהויות (IDP) שלך.

התחל קביעת תצורה במרכז הבקרה.סעיף זה לוכד שלבים כלליים ברמה גבוהה לשילוב IDP של ספק חיצוני.


 
בעת קביעת התצורה של SSO עם ה- IDP שלך, באפשרותך למפות כל תכונה ל- uid.לדוגמה, מפה את userPrincipalName, כינוי דואר אלקטרוני, כתובת דואר אלקטרוני חלופית או כל תכונה מתאימה אחרת ל- uid.ה- IdP צריך להתאים את אחת מכתובות הדואר האלקטרוני של המשתמש ל- uid בעת הכניסה.Webex תומך במיפוי של עד 5 כתובות דוא"ל ל- uid.

עבור SSO ומרכז הבקרה, מזהי IDP חייבים להתאים למפרט SAML 2.0.בנוסף, יש להגדיר את IDPs באופן הבא:

  • הגדר את התכונה NameID Format לכד:נווה מדבר:שמות:tc:SAML:2.0:nameid-format:ארעי

  • הגדר תביעה ב- IdP בהתאם לסוג ה- SSO שאתה פורס:

    • SSO (עבור ארגון)—אם אתה קובע את תצורת ה- SSO בשם ארגון, קבע את תצורת טענת ה- IdP כך שתכלול את שם התכונה uid עם ערך הממופה לתכונה שנבחרה במחבר הספריה, או לתכונת המשתמש התואמת לתכונה שנבחרה בשירות הזהויות Webex.(תכונה זו יכולה להיות כתובות דואר אלקטרוני או שם משתמש-מנהל, לדוגמה.)

    • SSO של שותף (עבור ספקי שירות בלבד)—אם אתה מנהל מערכת של ספק שירות שקובע את תצורת ה- SSO של השותף לשימוש על-ידי ארגוני הלקוחות שספק השירות מנהל, הגדר את טענת ה- IdP כך שתכלול את תכונת הדואר (במקום uid).הערך חייב למפות לתכונה שנבחרה במחבר הספריה, או לתכונת המשתמש התואמת לתכונה שנבחרה בשירות הזהויות Webex.


     

    לקבלת מידע נוסף אודות מיפוי תכונות מותאמות אישית עבור SSO או שותף SSO, ראה https://www.cisco.com/go/hybrid-services-directory.

  • שותף SSO בלבד.ספק הזהויות חייב לתמוך בכתובות URL מרובות של שירות צרכנים לצרכן (ACS).לקבלת דוגמאות לקביעת התצורה של כתובות URL מרובות של ACS בספק זהויות, ראה:

  • השתמש בדפדפן נתמך:אנו ממליצים על הגרסה האחרונה של Mozilla Firefox או Google Chrome.

  • השבת את כל חוסמי הפריטים המוקפצים בדפדפן שלך.


 

מדריכי התצורה מציגים דוגמה ספציפית לשילוב SSO, אך אינם מספקים תצורה ממצה עבור כל האפשרויות.לדוגמה, שלבי השילוב עבור nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים.פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יעבדו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו.

עליך ליצור הסכם SAML בין שירות הזהויות של פלטפורמת Webex לבין ה- IDP שלך.

דרושים לך שני קבצים כדי להשיג הסכם SAML מוצלח:

  • קובץ מטא נתונים מה- IDP, כדי לתת ל- Webex.

  • קובץ מטא נתונים מ- Webex, כדי לתת ל- IDP.

זוהי דוגמה לקובץ מטה-נתונים של PingFederate עם מטא-נתונים מה- IDP.

קובץ מטה-נתונים משירות הזהויות.

להלן מה שאתה מצפה לראות בקובץ המטה-נתונים משירות הזהויות.

  • מזהה ישות —זהו משמש לזיהוי הסכם SAML בתצורת IdP

  • אין דרישה לבקשת AuthN חתומה או להצהרות סימנים כלשהן, היא תואמת את מה שה- IDP מבקש בקובץ המטא נתונים.

  • קובץ מטה-נתונים חתום עבור ה- IdP כדי לוודא שהמטה-נתונים שייכים לשירות הזהויות.

1

מתצוגת הלקוח ב- Control Hub ( https://admin.webex.com), עבור אל ניהול > הגדרותארגון, גלול אל אימות והפעל את ההגדרה כניסה יחידה כדי להפעיל את אשף קביעת התצורה.

2

בחר את סוג האישור:

  • חתימה עצמית על-ידי Cisco— מומלץ לבחור באפשרות זו כדי לאפשר לנו להפוך ל-SP.כמו כן, אתה רק צריך לחדש את התעודה כל חמש שנים.
  • חתום על-ידי רשותאישורים ציבורית — אפשרות זו מאובטחת ומומלצת אם אתה מקבל את האישורים שלך חתומים מרשות אישורים ציבורית כגון Hydrant או Godaddy.עם זאת, עליך לחדש את האישור אחת לשנה.
3

לחץ על הורד מטה-נתונים ולחץ על הבא.

4

שירות הזהויות של פלטפורמת Webex מאמת את קובץ המטה-נתונים מה- IDP.

קיימות שתי דרכים אפשריות לאימות המטה-נתונים ממזהה הלקוח:

  • מזהה לקוח מספק חתימה במטה-נתונים החתומים על-ידי רשות אישורים ציבורית.

  • מזהה הלקוח מספק CA פרטי בחתימה עצמית או אינו מספק חתימה עבור המטה-נתונים שלו.אפשרות זו פחות מאובטחת.

5

בדוק את חיבור ה- SSO לפני שתפעיל אותו.שלב זה פועל כמו הפעלה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתהפוך את SSO לזמין בשלב הבא.


 

כדי לראות את חוויית הכניסה של SSO ישירות, באפשרותך גם ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי.משם, תוכל לעבור דרך הכניסה באמצעות SSO.פעולה זו מסייעת להסיר כל מידע המאוחסן במטמון בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת תצורת ה- SSO שלך.

6

אם הבדיקה מצליחה, הפעל את SSO ושמור את השינויים.

עליך לשמור שינויים כדי ש- SSO ייכנס לתוקף בארגון שלך.

בין אם קיבלת הודעה על אישור שתוקפו פג ובין אם ברצונך לבדוק את תצורת ה- SSO הקיימת שלך, באפשרותך להשתמש בתכונות הניהול של כניסה יחידה (SSO) ב-Control Hub עבור ניהול אישורים ופעילויות תחזוקה כלליות של SSO.

אם אתה נתקל בבעיות בשילוב SSO, השתמש בדרישות ובהליך בסעיף זה כדי לפתור את זרימת ה- SAML בין ה- IdP ל- Webex.

  • השתמש בתוסף המעקב SAML עבור Firefox או Chrome.

  • כדי לפתור בעיות, השתמש בדפדפן האינטרנט שבו התקנת את כלי איתור הבאגים של SAML ועבור אל גירסת האינטרנט של Webex בכתובת https://web.webex.com.

להלן זרימת ההודעות בין אפליקציית Webex, שירותי Webex, שירות הזהויות של פלטפורמת Webex וספק הזהויות (IDP).

1

עבור אל https://admin.webex.com , כאשר SSO מופעל, האפליקציה מבקשת כתובת דואר אלקטרוני.

האפליקציה שולחת את המידע לשירות Webex המאמת את כתובת הדוא"ל.

2

האפליקציה שולחת בקשת GET לשרת ההרשאות של OAuth עבור אסימון.הבקשה מנותבת מחדש לשירות הזהויות לזרימת ה- SSO או שם המשתמש והסיסמה.כתובת ה- URL של שרת האימות מוחזרת.

אתה יכול לראות את בקשת GET בקובץ המעקב.

במקטע הפרמטרים השירות מחפש קוד OAuth, דואר אלקטרוני של המשתמש ששלח את הבקשה ופרטים אחרים של OAuth כגון ClientID, redirectURI ו- Scope.

3

אפליקציית Webex מבקשת טענת SAML מה- IdP באמצעות SAML HTTP POST.

כאשר SSO מופעל, מנגנון האימות בשירות הזהויות מנתב מחדש לכתובת ה- URL של IdP עבור SSO.כתובת ה-URL של IdP שסופקה כאשר המטה-נתונים הוחלפו.

חפש בכלי המעקב הודעת SAML POST.אתה רואה הודעת HTTP POST ל- IDP המבוקש על-ידי IdPbroker.

הפרמטר RelayState מציג את התשובה הנכונה מה- IDP.

סקור את גרסת הפענוח של בקשת SAML, אין מנדט AuthN והיעד של התשובה צריך ללכת לכתובת היעד של ה- IDP.ודא שתבנית nameid-id מוגדרת כראוי ב- IdP תחת מזהה הישות הנכון (SPNameQualifier)

התבנית nameid של IdP מצוינת ושם ההסכם הוגדר בעת יצירת הסכם SAML.

4

האימות עבור היישום מתבצע בין משאבי האינטרנט של מערכת ההפעלה לבין ה- IDP.

בהתאם ל- IDP שלך ולמנגנוני האימות שהוגדרו ב- IDP, זרימות שונות מופעלות מה- IDP.

5

האפליקציה שולחת HTTP Post בחזרה לשירות הזהויות וכוללת את התכונות שסופקו על-ידי ה-IDP והוסכמו בהסכם הראשוני.

כאשר האימות מצליח, האפליקציה שולחת את המידע בהודעת SAML POST לשירות הזהויות.

RelayState זהה להודעת HTTP POST הקודמת שבה האפליקציה אומרת ל- IdP איזה מזהה ישות מבקש את הטענה.

6

טענת SAML מ- IDP ל- Webex.

7

שירות הזהויות מקבל קוד הרשאה שמוחלף באסימון גישה ורענון של OAuth.אסימון זה משמש לגישה למשאבים בשם המשתמש.

לאחר ששירות הזהויות מאמת את התשובה מה- IDP, הם מנפיקים אסימון OAuth המאפשר לאפליקציית Webex לגשת לשירותי Webex השונים.