Ako u svojoj organizaciji imate vlastitog davatelja identiteta (IdP), možete integrirati SAML IdP sa svojom organizacijom u okruženju Control Hub za jedinstvenu prijavu (SSO). SSO vašim korisnicima omogućuje korištenje jedinstvenog, uobičajenog skupa vjerodajnica za aplikacije Webex i druge aplikacije u vašoj organizaciji.
Sljedeća rješenja za upravljanje pristupom webu i za združivanja testirana su za Webex organizacije. Dokumenti s poveznicama u nastavku vode vas kroz postupak integriranja tog specifičnog davatelja identiteta (IdP) u vašu Webex organizaciju.
Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u okruženju Control Hub (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta Webex Meetings (kojim se upravlja na administracijskom web-mjestu), pročitajte odjeljak Konfiguriranje jedinstvene prijave za web-mjesto Cisco Webex. Ako želite postaviti SSO za više pružatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-a u Webex . |
Ako ne vidite svog IdP-a na popisu u nastavku, slijedite korake visoke razine u kartici Postavljanje SSO-a u ovom članku.
Jedinstvena prijava (SSO) korisnicima omogućuje sigurnu prijavu u Webex provjerom autentičnosti kod davatelja zajedničkog identiteta (IdP) vaše organizacije. Aplikacija Webex upotrebljava uslugu Webex za komunikaciju s uslugom identiteta platforme Webex. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).
Konfiguraciju započinjete u okruženju Control Hub. Ovaj odjeljak obuhvaća općenite korake visoke razine za upravljanje uslugama IdP-a treće strane.
Kada konfigurirate SSO sa svojim IdP-om, možete mapirati bilo koji atribut na uid. Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut na uid. IdP se prilikom prijave mora podudarati s jednom od korisničkih adresa e-pošte s uid-om. Webex podržava mapiranje do pet adresa e-pošte na uid. |
Preporučujemo da u konfiguraciju metapodataka uključite jednokratnu odjavu (SLO) dok postavljate Webex SAML federaciju. Ovaj korak je ključan kako bi se osiguralo da su korisnički tokeni poništeni i kod davatelja identiteta (IdP) i kod davatelja usluga (SP). Ako ovu konfiguraciju ne izvrši administrator, Webex upozorava korisnike da zatvore svoje preglednike kako bi poništili sve sesije koje su ostale otvorene. |
IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:
Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format: prijelazno
Konfigurirajte zahtjev na IdP-u prema vrsti SSO-a koji implementirate:
SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte zahtjev IdP-a tako da uključuje naziv atributa za uid s vrijednošću koja je mapirana na atribut koji je odabran u Directory Connectoru ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.)
Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO da ga upotrebljavaju organizacije klijenata kojima davatelj usluga upravlja, konfigurirajte zahtjev IdP-a tako da sadrži atribut pošte (a ne uid). Vrijednost se mora mapirati na atribut koji je odabran u usluzi Directory Connector ili na korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex.
Za više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO pogledajte https://www.cisco.com/go/hybrid-services-directory.
Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-a usluga za potrošače na temelju tvrdnji (ACS). Za primjere kako konfigurirati više URL-ova ACS-a na davatelju identiteta pogledajte:
Upotrebljavajte podržani preglednik: Preporučujemo najnoviju verziju preglednika Mozilla Firefox ili Google Chrome.
Onemogućite sve blokatore skočnih prozora u svom pregledniku.
Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, upute za upravljanje uslugama za |
Morate uspostaviti SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.
Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:
Datoteka metapodataka od IdP-a koju ustupate Webexu.
Datoteka metapodataka od Webexa koju ustupate IdP-u.
Ovo je primjer datoteke metapodataka PingFederate s metapodacima IdP-a.
Datoteka metapodataka s usluge identiteta.
Slijedi ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.
EntityID – upotrebljava se za identifikaciju SAML ugovora u konfiguraciji IdP-a
Nema zahtjeva za potpisani zahtjev AuthN ili bilo kakve tvrdnje o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.
Potpisana datoteka metapodataka za IdP u svrhu provjere da metapodaci pripadaju usluzi identiteta.
1 | Iz prikaza korisnika u Control Hubu (https://admin.webex.com ), idite na , pomaknite se do Autentifikacija i kliknite Aktivirajte SSO postavku za pokretanje čarobnjaka za konfiguraciju. |
2 | Odaberite Webex kao vaš IdP i kliknite Dalje . |
3 | Provjerite Pročitao sam i razumio kako Webex IdP radi i kliknite Dalje . |
4 | Postavite pravilo usmjeravanja. Nakon što dodate pravilo usmjeravanja, vaš IdP se dodaje i prikazuje pod Pružatelj identiteta tab.
Za više informacija, pogledajte SSO s više IdP-a u Webex .
|
Bilo da ste primili obavijest o isteku certifikata ili želite provjeriti svoju postojeću konfiguraciju SSO-a, možete upotrebljavati značajke upravljanja jedinstvenom prijavom (SSO) u okruženju Control Hub za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.
Ako naiđete na probleme s upravljanjem uslugama SSO-a, upotrebljavajte zahtjeve i postupak u ovom odjeljku za rješavanje problema u tijeku SAML-a između vašeg IdP-a i Webexa.
Koristite dodatak SAML tracer za Firefox , Chrome , ili Rub .
U rješavanju problema upotrebljavajte web-preglednik u koji ste instalirali alat za otklanjanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa na https://web.webex.com.
Slijedi tijek poruka između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta (IdP).
1 | Idite u https://admin.webex.com i, ako je omogućen SSO, aplikacija će zatražiti unos adrese e-pošte.
Aplikacija informacije šalje na uslugu Webex koja provjerava adresu e-pošte.
|
2 | Aplikacija šalje GET zahtjev za token poslužitelju za autorizaciju OAuth. Zahtjev se preusmjerava na uslugu identiteta na SSO ili na tijek za unos korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti. GET zahtjev možete vidjeti u datoteci praćenja. U odjeljku s parametrima usluga traži kôd za OAuth, e-poštu korisnika koji je poslao zahtjev i druge detalje o usluzi OAuth kao što su ClientID, redirectURI i opseg. |
3 | Aplikacija Webex traži SAML tvrdnju od IdP-a koristeći HTTP POST za SAML.
Kada je SSO omogućen, mehanizam za provjeru autentičnosti na usluzi identiteta preusmjerava na URL IdP-a za SSO. URL IdP-a naveden je nakon razmjene metapodataka. U alatu za praćenje provjerite ima li POST poruke za SAML. Vidite HTTP POST poruku IdP-u koju je zatražio IdPbroker. Parametar RelayState pokazuje točan odgovor od IdP-a. Pregledajte verziju za dekodiranje SAML zahtjeva. Ne postoji ovlaštenje AuthN, a odredište odgovora treba biti usmjereno na odredišni URL IdP-a. Provjerite je li format nameid ispravno konfiguriran u IdP-u pod ispravnim entityID-om (SPNameQualifier) Prilikom izrade SAML ugovora zadan je format nameid i konfiguriran je naziv ugovora. |
4 | Provjera autentičnosti za aplikaciju provodi se između web-resursa operativnog sustava i IdP-a.
IdP pokreće razne tijekove, ovisno o vašem IdP-u i mehanizmima provjere autentičnosti koji su konfigurirani na IdP-u. |
5 | Aplikacija šalje HTTP Post natrag na uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.
Ako je provjera autentičnosti uspješno provedena, aplikacija usluzi identiteta šalje informacije u SAML POST poruci. RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju. |
6 | SAML tvrdnja od IdP-a do Webexa. |
7 | Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth tokenom za pristup i osvježavanje. Ovaj se token upotrebljava za pristup resursima u ime korisnika.
Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji aplikaciji Webex omogućuje pristup različitim uslugama Webex. |