Sljedeća rješenja za upravljanje pristupom webu i za združivanja testirana su za Webex organizacije. Dokumenti s poveznicama u nastavku vode vas kroz postupak integriranja tog specifičnog davatelja identiteta (IdP) u vašu Webex organizaciju.


 

Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u okruženju Control Hub (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta Webex Meetings (kojim se upravlja na administracijskom web-mjestu), pročitajte odjeljak Konfiguriranje jedinstvene prijave za web-mjesto Cisco Webex.

Ako želite postaviti SSO za više pružatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-a u Webex .

Ako ne vidite svog IdP-a na popisu u nastavku, slijedite korake visoke razine u kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) korisnicima omogućuje sigurnu prijavu u Webex provjerom autentičnosti kod davatelja zajedničkog identiteta (IdP) vaše organizacije. Aplikacija Webex upotrebljava uslugu Webex za komunikaciju s uslugom identiteta platforme Webex. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju započinjete u okruženju Control Hub. Ovaj odjeljak obuhvaća općenite korake visoke razine za upravljanje uslugama IdP-a treće strane.


 
Kada konfigurirate SSO sa svojim IdP-om, možete mapirati bilo koji atribut na uid. Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut na uid. IdP se prilikom prijave mora podudarati s jednom od korisničkih adresa e-pošte s uid-om. Webex podržava mapiranje do pet adresa e-pošte na uid.

 
Preporučujemo da u konfiguraciju metapodataka uključite jednokratnu odjavu (SLO) dok postavljate Webex SAML federaciju. Ovaj korak je ključan kako bi se osiguralo da su korisnički tokeni poništeni i kod davatelja identiteta (IdP) i kod davatelja usluga (SP). Ako ovu konfiguraciju ne izvrši administrator, Webex upozorava korisnike da zatvore svoje preglednike kako bi poništili sve sesije koje su ostale otvorene.

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

  • Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format: prijelazno

  • Konfigurirajte zahtjev na IdP-u prema vrsti SSO-a koji implementirate:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte zahtjev IdP-a tako da uključuje naziv atributa za uid s vrijednošću koja je mapirana na atribut koji je odabran u Directory Connectoru ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.)

    • Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO da ga upotrebljavaju organizacije klijenata kojima davatelj usluga upravlja, konfigurirajte zahtjev IdP-a tako da sadrži atribut pošte (a ne uid). Vrijednost se mora mapirati na atribut koji je odabran u usluzi Directory Connector ili na korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex.


     

    Za više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO pogledajte https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-a usluga za potrošače na temelju tvrdnji (ACS). Za primjere kako konfigurirati više URL-ova ACS-a na davatelju identiteta pogledajte:

  • Upotrebljavajte podržani preglednik: Preporučujemo najnoviju verziju preglednika Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokatore skočnih prozora u svom pregledniku.


 

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, upute za upravljanje uslugama za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentirane. Ostali formati kao npr. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress radit će za upravljanje uslugama SSO-a, ali su izvan opsega naše dokumentacije.

Morate uspostaviti SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:

  • Datoteka metapodataka od IdP-a koju ustupate Webexu.

  • Datoteka metapodataka od Webexa koju ustupate IdP-u.

Ovo je primjer datoteke metapodataka PingFederate s metapodacima IdP-a.

Datoteka metapodataka s usluge identiteta.

Slijedi ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.

  • EntityID – upotrebljava se za identifikaciju SAML ugovora u konfiguraciji IdP-a

  • Nema zahtjeva za potpisani zahtjev AuthN ili bilo kakve tvrdnje o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP u svrhu provjere da metapodaci pripadaju usluzi identiteta.

1

Iz prikaza korisnika u Control Hubu (https://admin.webex.com ), idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija i kliknite Aktivirajte SSO postavku za pokretanje čarobnjaka za konfiguraciju.

2

Odaberite Webex kao vaš IdP i kliknite Dalje .

3

Provjerite Pročitao sam i razumio kako Webex IdP radi i kliknite Dalje .

4

Postavite pravilo usmjeravanja.

Nakon što dodate pravilo usmjeravanja, vaš IdP se dodaje i prikazuje pod Pružatelj identiteta tab.
Za više informacija, pogledajte SSO s više IdP-a u Webex .

Bilo da ste primili obavijest o isteku certifikata ili želite provjeriti svoju postojeću konfiguraciju SSO-a, možete upotrebljavati značajke upravljanja jedinstvenom prijavom (SSO) u okruženju Control Hub za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.

Ako naiđete na probleme s upravljanjem uslugama SSO-a, upotrebljavajte zahtjeve i postupak u ovom odjeljku za rješavanje problema u tijeku SAML-a između vašeg IdP-a i Webexa.

  • Koristite dodatak SAML tracer za Firefox , Chrome , ili Rub .

  • U rješavanju problema upotrebljavajte web-preglednik u koji ste instalirali alat za otklanjanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa na https://web.webex.com.

Slijedi tijek poruka između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta (IdP).

1

Idite u https://admin.webex.com i, ako je omogućen SSO, aplikacija će zatražiti unos adrese e-pošte.

Aplikacija informacije šalje na uslugu Webex koja provjerava adresu e-pošte.

2

Aplikacija šalje GET zahtjev za token poslužitelju za autorizaciju OAuth. Zahtjev se preusmjerava na uslugu identiteta na SSO ili na tijek za unos korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.

GET zahtjev možete vidjeti u datoteci praćenja.

U odjeljku s parametrima usluga traži kôd za OAuth, e-poštu korisnika koji je poslao zahtjev i druge detalje o usluzi OAuth kao što su ClientID, redirectURI i opseg.

3

Aplikacija Webex traži SAML tvrdnju od IdP-a koristeći HTTP POST za SAML.

Kada je SSO omogućen, mehanizam za provjeru autentičnosti na usluzi identiteta preusmjerava na URL IdP-a za SSO. URL IdP-a naveden je nakon razmjene metapodataka.

U alatu za praćenje provjerite ima li POST poruke za SAML. Vidite HTTP POST poruku IdP-u koju je zatražio IdPbroker.

Parametar RelayState pokazuje točan odgovor od IdP-a.

Pregledajte verziju za dekodiranje SAML zahtjeva. Ne postoji ovlaštenje AuthN, a odredište odgovora treba biti usmjereno na odredišni URL IdP-a. Provjerite je li format nameid ispravno konfiguriran u IdP-u pod ispravnim entityID-om (SPNameQualifier)

Prilikom izrade SAML ugovora zadan je format nameid i konfiguriran je naziv ugovora.

4

Provjera autentičnosti za aplikaciju provodi se između web-resursa operativnog sustava i IdP-a.

IdP pokreće razne tijekove, ovisno o vašem IdP-u i mehanizmima provjere autentičnosti koji su konfigurirani na IdP-u.

5

Aplikacija šalje HTTP Post natrag na uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.

Ako je provjera autentičnosti uspješno provedena, aplikacija usluzi identiteta šalje informacije u SAML POST poruci.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju.

6

SAML tvrdnja od IdP-a do Webexa.

7

Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth tokenom za pristup i osvježavanje. Ovaj se token upotrebljava za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji aplikaciji Webex omogućuje pristup različitim uslugama Webex.