Sljedeća rješenja za upravljanje pristupom webu i za združivanja testirana su za Webex organizacije. Dokumenti s poveznicama u nastavku vode vas kroz postupak integriranja tog specifičnog davatelja identiteta (IdP) u vašu Webex organizaciju.

Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u okruženju Control Hub (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta Webex Meetings (kojim se upravlja na administracijskom web-mjestu), pročitajte odjeljak Konfiguriranje jedinstvene prijave za web-mjesto Cisco Webex.

Ako želite postaviti SSO za više davatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-ova u Webexu.

Ako ne vidite svog IdP-a na popisu u nastavku, slijedite korake visoke razine u kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) korisnicima omogućuje sigurnu prijavu u Webex provjerom autentičnosti kod davatelja zajedničkog identiteta (IdP) vaše organizacije. Aplikacija Webex upotrebljava uslugu Webex za komunikaciju s uslugom identiteta platforme Webex. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju započinjete u okruženju Control Hub. Ovaj odjeljak obuhvaća općenite korake visoke razine za upravljanje uslugama IdP-a treće strane.

Kada konfigurirate SSO sa svojim IdP-om, možete mapirati bilo koji atribut na uid. Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut na uid. IdP se prilikom prijave mora podudarati s jednom od korisničkih adresa e-pošte s uid-om. Webex podržava mapiranje do pet adresa e-pošte na uid.

Preporučujemo da uključite jedinstvenu odjavu (SLO) u konfiguraciju metapodataka dok postavljate Webex SAML federaciju. Taj je korak od ključne važnosti kako bi se osiguralo da su korisnički tokeni nevaljani u davatelju identiteta (IdP) i davatelju usluga (SP). Ako ovu konfiguraciju ne izvrši administrator, Webex upozorava korisnike da zatvore svoje preglednike kako bi poništili ostale otvorene sesije.

Zahtjevi za davatelje identiteta

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

  • Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format:prijelazno

  • Konfigurirajte zahtjev na IdP-u prema vrsti SSO-a koji implementirate:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte zahtjev IdP-a tako da uključuje naziv atributa za uid s vrijednošću koja je mapirana na atribut koji je odabran u Directory Connectoru ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.)

    • Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO da ga upotrebljavaju organizacije klijenata kojima davatelj usluga upravlja, konfigurirajte zahtjev IdP-a tako da sadrži atribut pošte (a ne uid). Vrijednost se mora mapirati na atribut koji je odabran u usluzi Directory Connector ili na korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex.

    Za više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO pogledajte https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-a usluga za potrošače na temelju tvrdnji (ACS). Za primjere kako konfigurirati više URL-ova ACS-a na davatelju identiteta pogledajte:

  • Upotrebljavajte podržani preglednik: Preporučujemo najnoviju verziju preglednika Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokatore skočnih prozora u svom pregledniku.

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient . Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije.

Uspostavite SAML ugovor

Morate uspostaviti SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:

  • Datoteka metapodataka od IdP-a koju ustupate Webexu.

  • Datoteka metapodataka od Webexa koju ustupate IdP-u.

Tijek razmjene datoteka metapodataka između Webexa i davatelja identiteta.

Ovo je primjer datoteke metapodataka PingFederate s metapodacima IdP-a.

Snimka zaslona datoteke metapodataka PingFederate koja prikazuje metapodatke davatelja identiteta.

Datoteka metapodataka s usluge identiteta.

Snimka zaslona datoteke metapodataka s usluge identiteta.

Slijedi ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.

Snimka zaslona datoteke metapodataka s usluge identiteta.

  • EntityID – upotrebljava se za identifikaciju SAML ugovora u konfiguraciji IdP-a

  • Nema zahtjeva za potpisani zahtjev AuthN ili bilo kakve tvrdnje o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP u svrhu provjere da metapodaci pripadaju usluzi identiteta.

Snimka zaslona potpisane datoteke metapodataka za davatelja identiteta kako bi potvrdio da metapodaci pripadaju usluzi identiteta.

Snimka zaslona potpisane datoteke metapodataka pomoću Okte.

Konfigurirajte uslugu identiteta Webex
1

U prikazu korisnika u okruženju Control Hub ( https://admin.webex.com) idite u Upravljanje > Postavke organizacije, pomaknite se do odjeljka Provjera autentičnosti i kliknite na Aktiviraj postavku SSO-a kako biste pokrenuli čarobnjak za konfiguraciju.

2

Odaberite Webex kao svoj IdP i kliknite na Dalje.

3

Provjerite Pročitao/la sam i shvaćam kako funkcionira davatelj identiteta za Webex i kliknite na Dalje.

4

Postavite pravilo preusmjeravanja.

Nakon što dodate pravilo preusmjeravanja, dodan je vaš IdP i prikazuje se u kartici Davatelj identiteta .
Za više informacija pogledajte SSO s više IdP-a u usluzi Webex.

Bilo da ste primili obavijest o isteku certifikata ili želite provjeriti svoju postojeću konfiguraciju SSO-a, možete upotrebljavati značajke upravljanja jedinstvenom prijavom (SSO) u okruženju Control Hub za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.

Ako naiđete na probleme s upravljanjem uslugama SSO-a, upotrebljavajte zahtjeve i postupak u ovom odjeljku za rješavanje problema u tijeku SAML-a između vašeg IdP-a i Webexa.

Zahtjevi za rješavanje problema sa SSO-om

  • Upotrijebite dodatak za praćenje SAML-a za Firefox, Chrome ili Edge.

  • U rješavanju problema upotrebljavajte web-preglednik u koji ste instalirali alat za otklanjanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa na https://web.webex.com.

Riješite probleme u tijeku SAML-a između aplikacije Webex, vašeg IdP-a i usluga Webex

Slijedi tijek poruka između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta (IdP).

SAML tijek između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta.
1

Idite u https://admin.webex.com i, ako je omogućen SSO, aplikacija će zatražiti unos adrese e-pošte.

Zaslon za prijavu u Control Hub.

Aplikacija informacije šalje na uslugu Webex koja provjerava adresu e-pošte.

Informacije poslane usluzi Webex za provjeru adrese e-pošte.

2

Aplikacija šalje GET zahtjev za token poslužitelju za autorizaciju OAuth. Zahtjev se preusmjerava na uslugu identiteta na SSO ili na tijek za unos korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.

GET zahtjev možete vidjeti u datoteci praćenja.

DOHVATITE pojedinosti zahtjeva u datoteci zapisnika.

U odjeljku s parametrima usluga traži kôd za OAuth, e-poštu korisnika koji je poslao zahtjev i druge detalje o usluzi OAuth kao što su ClientID, redirectURI i opseg.

Odjeljak parametara koji prikazuje pojedinosti OAuth, kao što su ClientID, redirectURI i opseg.

3

Aplikacija Webex traži SAML tvrdnju od IdP-a koristeći HTTP POST za SAML.

Kada je SSO omogućen, mehanizam za provjeru autentičnosti na usluzi identiteta preusmjerava na URL IdP-a za SSO. URL IdP-a naveden je nakon razmjene metapodataka.

Mehanizam za provjeru autentičnosti preusmjerava korisnike na URL davatelja identiteta naveden tijekom razmjene metapodataka.

U alatu za praćenje provjerite ima li POST poruke za SAML. Vidite HTTP POST poruku IdP-u koju je zatražio IdPbroker.

SAML POST poruka davatelju identiteta.

Parametar RelayState pokazuje točan odgovor od IdP-a.

Parametar RelayState koji prikazuje točan odgovor davatelja identiteta.

Pregledajte verziju za dekodiranje SAML zahtjeva. Ne postoji ovlaštenje AuthN, a odredište odgovora treba biti usmjereno na odredišni URL IdP-a. Provjerite je li format nameid ispravno konfiguriran u IdP-u pod ispravnim entityID-om (SPNameQualifier)

SAML zahtjev koji prikazuje format nameid konfiguriran u davatelju identiteta.

Prilikom izrade SAML ugovora zadan je format nameid i konfiguriran je naziv ugovora.

4

Provjera autentičnosti za aplikaciju provodi se između web-resursa operativnog sustava i IdP-a.

IdP pokreće razne tijekove, ovisno o vašem IdP-u i mehanizmima provjere autentičnosti koji su konfigurirani na IdP-u.

Rezervirano mjesto davatelja identiteta za vašu organizaciju.

5

Aplikacija šalje HTTP Post natrag na uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.

Ako je provjera autentičnosti uspješno provedena, aplikacija usluzi identiteta šalje informacije u SAML POST poruci.

SAML POST poruka usluzi identiteta.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju.

HTTP POST poruka koja naznačuje koji EntityID zahtijeva tvrdnju od davatelja identiteta.

6

SAML tvrdnja od IdP-a do Webexa.

SAML izjava davatelja identiteta za Webex.

SAML izjava davatelja identiteta za Webex.

SAML izjava davatelja identiteta za Webex: Format za NameID nije naveden.

SAML izjava davatelja identiteta za Webex: E-pošta u formatu NameID.

SAML izjava davatelja identiteta za Webex: Format NameID je prijelazno.

7

Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth tokenom za pristup i osvježavanje. Ovaj se token upotrebljava za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji aplikaciji Webex omogućuje pristup različitim uslugama Webex.

Token OAuth koji aplikaciji Webex omogućuje pristup različitim uslugama Webex.