Sljedeća rješenja za upravljanje web pristupom i federaciju testirana su za Webex organizacije. Dokumenti povezani u nastavku prolaze kroz način integracije tog određenog davatelja identiteta (IdP) s vašom webex organizacijom.


Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u Control Hubu (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta web-sastanaka (upravljano administracijom web-mjesta), pročitajte okvir Konfiguriranje jedinstvene prijave za Webex web-mjesto tvrtke Cisco.

Ako ne vidite dolje navedeni IDP, slijedite korake na visokoj razini na kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) omogućuje korisnicima sigurnu prijavu na Webex provjerom autentičnosti uobičajenom davatelju identiteta (IdP-u) u tvrtki ili ustanovi. Webex aplikacija koristi uslugu Webex za komunikaciju sa servisom identiteta Webex platforme. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju pokrećete u kontrolnom središtu. Ovaj odjeljak obuhvaća generičke korake na visokoj razini za integraciju IDP-a treće strane.

Za SSO i Control HubIDP-ovi moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IDP-ovi moraju biti konfigurirani na sljedeći način:

  • Postavite atribut NameID Oblik na urn:oasis:names:tc:SAML:2.0:nameid-format:prolazno

  • Konfigurirajte polaganje prava na IDP u skladu s vrstom SSO-a koji implementirate:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime tvrtke ili ustanove, konfigurirajte zahtjev za IdP tako da sadrži naziv atributa UID-a s vrijednošću koja je mapirana na atribut odabran u povezniku imenikaili korisnički atribut koji odgovara onom koji je odabran u usluzi identiteta Webex. (Taj atribut može biti, na primjer, adrese e-pošte ili ime glavnog korisnika.)

    • Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO koji će koristiti korisničke organizacije kojima upravlja davatelj usluga, konfigurirajte IdP zahtjev tako da uključuje atribut pošte (a ne uid). Vrijednost se mora preslikati na atribut koji je odabran u povezniku imenikaili korisnički atribut koji odgovara onome koji je odabran u usluzi identiteta Webex.


    Dodatne informacije o mapiranju prilagođenih atributa za SSO ili Partnerski SSO potražite u odjeljku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-ova usluge zaštite potrošača za tvrdnje (ACS). Primjere konfiguriranja više ACS URL-ova kod davatelja identiteta potražite u odjeljku:

  • Koristi podržani preglednik: preporučujemo najnoviju verziju Mozilla Firefoxa ili Google Chromea.

  • Onemogućite sve blokatore skočnih prozora u pregledniku.


Vodiči za konfiguraciju pokazuju specifičan primjer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije.

Morate uspostaviti SAML ugovor između Usluge identiteta Webex platforme i vašeg IDP-a.

Potrebne su vam dvije datoteke za postizanje uspješnog samlskog sporazuma:

  • Datoteka metapodataka iz IDP-a koju treba dati Webexu.

  • Datoteka metapodataka s Webexakoju treba dati IdP-u.

Ovo je primjer datoteke metapodataka PingFederata s metapodacima iz IDP-a.

Datoteka metapodataka iz usluge identiteta.

Sljedeće je ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.

  • EntityID – koristi se za identifikaciju SAML sporazuma u konfiguraciji IDP-a

  • Ne postoji zahtjev za potpisani AuthN zahtjev ili bilo kakve tvrdnje o znakovima, on je u skladu s onim što IdP zahtijeva u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP da bi se provjerilo pripadaju li metapodaci usluzi identiteta.

1

Iz prikaza klijenta u kontrolnom središtu (https://admin.webex.com) idite na Postavke upravljanja > organizacije ,pomaknite se do provjere autentičnosti i uključite postavku Jedinstvena prijava da biste pokrenuli čarobnjak za konfiguriranje.

2

Odaberite vrstu certifikata:

  • Sam potpisao Cisco- Preporučujemo da odaberete ovu opciju kako bismo postali SP. Također, certifikat morate obnavljati samo svakih pet godina.
  • Potpisano od strane javnog tijela za izdavanjecertifikata – ova je opcija sigurna i preporučljiva ako svoje certifikate potpišete od javnog CA-a kao što su Hydrant ili Godaddy. Međutim, certifikat morate obnoviti jednom godišnje.
3

Kliknite Preuzmi metapodatke, a zatim Dalje .

4

Servis identiteta platforme Webex provjerava valjanost datoteke metapodataka iz IdP-a.

Postoje dva moguća načina provjere valjanosti metapodataka iz IDP-a kupca:

  • IDP klijenta pruža potpis u metapodacima koje potpisuje javni korijenski CA.

  • IdP klijenta pruža samopotpisani privatni CA ili ne daje potpis za njihove metapodatke. Ova opcija je manje sigurna.

5

Testirajte SSO vezu prije nego što je omogućite. Ovaj korak funkcionira kao suho trčanje i ne utječe na postavke tvrtke ili ustanove dok ne omogućite SSO u sljedećem koraku.


 

Da biste izravno vidjeli SSO iskustvo prijave, možete kliknuti Kopiraj URL u međuspremnik s ovog zaslona i zalijepiti ga u prozor privatnog preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. To pomaže ukloniti sve informacije predmemorirane u vašem web pregledniku koje bi mogle dati lažno pozitivan rezultat prilikom testiranja SSO konfiguracije.

6

Ako test uspije, okrenite SSO i spremite promjene.

Da bi SSO stupio na snagu u vašoj tvrtki ili ustanovi, morate spremiti promjene.

Ako naiđeš na probleme sa SSO integracijom, pomoću zahtjeva i procedure u ovom odjeljku otklonite problem SAML flowa između IdP-a i Webexa.

  • Koristite SAML dodatak za praćenje za Firefox ili Chrome .

  • Da biste otklonili poteškoće, koristite web-preglednik u kojem ste instalirali alat za ispravljanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa u sustavu https://web.webex.com.

Slijedi tijek poruka između webex aplikacije, webex servisa, usluge identiteta webex platforme i davatelja identiteta (IdP).

  1. Otvorite https://admin.webex.com I, s omogućenim SSO-om, aplikacija traži adresu e-pošte.
  2. Aplikacija šalje zahtjev GET poslužitelju za autorizaciju OAuth za token. Zahtjev se preusmjerava na uslugu identiteta na SSO ili tijek korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.
  3. Webex aplikacija zahtijeva SAML tvrdnju od IdP-a pomoću SAML HTTP POSTA.
  4. Provjera autentičnosti aplikacije odvija se između web-resursa operacijskog sustava i IDP-a.
  5. Aplikacija šalje HTTP Post natrag u uslugu identiteta i uključuje atribute koje pruža IdP i dogovoreno u početnom ugovoru.
  6. SAML tvrdnja od IdP-a do Webexa.
  7. Usluga identiteta prima autorizacijski kôd koji se zamjenjuje OAuth pristupom i osvježavanjem tokena. Ovaj se token koristi za pristup resursima u ime korisnika.
1

Otvorite https://admin.webex.com I, s omogućenim SSO-om, aplikacija traži adresu e-pošte.

Aplikacija šalje podatke usluzi Webex koja provjerava adresu e-pošte.

2

Aplikacija šalje zahtjev GET poslužitelju za autorizaciju OAuth za token. Zahtjev se preusmjerava na uslugu identiteta na SSO ili tijek korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.

Zahtjev GET možete vidjeti u datoteci praćenja.

U odjeljku s parametrima usluga traži OAuth kôd, e-poštu korisnika koji je poslao zahtjev i druge OAuth detalje kao što su ClientID, redirectURI i Scope.

3

Webex aplikacija zahtijeva SAML tvrdnju od IdP-a pomoću SAML HTTP POSTA.

Kada je omogućen SSO, modul za provjeru autentičnosti u usluzi identiteta preusmjerava se na IDP URL za SSO. URL IDP-a naveden prilikom razmjene metapodataka.

Prijavite alat za praćenje SAML POST poruke. Vidjet ćete HTTP POST poruku IDP-u koju je zatražio IdPbroker.

Parametar RelayState prikazuje točan odgovor iz IDP-a.

Pregledajte dekodiranu verziju SAML zahtjeva, ne postoji mandat AuthN i odredište odgovora trebalo bi ići na odredišni URL IdP-a. Provjerite je li oblik imenika ispravno konfiguriran u IDP-u pod ispravnim ID-om entiteta (SPNameQualifier)

Naveden je IdP oblik naziva i naziv ugovora konfiguriran prilikom stvaranja SAML sporazuma.

4

Provjera autentičnosti aplikacije odvija se između web-resursa operacijskog sustava i IDP-a.

Ovisno o vašem IDP-u i mehanizmima provjere autentičnosti konfiguriranim u IdP-u, iz IDP-a se pokreću različiti tokovi.

5

Aplikacija šalje HTTP Post natrag u uslugu identiteta i uključuje atribute koje pruža IdP i dogovoreno u početnom ugovoru.

Kada je provjera autentičnosti uspješna, aplikacija šalje informacije u SAML POST poruci usluzi identiteta.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju.

6

SAML tvrdnja od IdP-a do Webexa.

7

Usluga identiteta prima autorizacijski kôd koji se zamjenjuje OAuth pristupom i osvježavanjem tokena. Ovaj se token koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta provjeri valjanost odgovora iz IdP-a, izdaju OAuth token koji webex aplikaciji omogućuje pristup različitim Webex uslugama.