Sljedeća rješenja za upravljanje pristupom webu i za združivanja testirana su za Webex organizacije. Dokumenti s poveznicama u nastavku vode vas kroz postupak integriranja tog specifičnog davatelja identiteta (IdP) u vašu Webex organizaciju.


 

Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u okruženju Control Hub (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta Webex Meetings (kojim se upravlja na administracijskom web-mjestu), pročitajte odjeljak Konfiguriranje jedinstvene prijave za web-mjesto Cisco Webex.

Ako želite postaviti SSO za više pružatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-a u Webex .

Ako ne vidite svog IdP-a na popisu u nastavku, slijedite korake visoke razine u kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) korisnicima omogućuje sigurnu prijavu u Webex provjerom autentičnosti kod davatelja zajedničkog identiteta (IdP) vaše organizacije. Aplikacija Webex upotrebljava uslugu Webex za komunikaciju s uslugom identiteta platforme Webex. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju započinjete u okruženju Control Hub. Ovaj odjeljak obuhvaća općenite korake visoke razine za upravljanje uslugama IdP-a treće strane.


 
Kada konfigurirate SSO sa svojim IdP-om, možete mapirati bilo koji atribut na uid. Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut na uid. IdP se prilikom prijave mora podudarati s jednom od korisničkih adresa e-pošte s uid-om. Webex podržava mapiranje do pet adresa e-pošte na uid.

 
Preporučujemo da u konfiguraciju metapodataka uključite jednokratnu odjavu (SLO) dok postavljate Webex SAML federaciju. Ovaj korak je ključan kako bi se osiguralo da su korisnički tokeni poništeni i kod davatelja identiteta (IdP) i kod davatelja usluga (SP). Ako ovu konfiguraciju ne izvrši administrator, Webex upozorava korisnike da zatvore svoje preglednike kako bi poništili sve sesije koje su ostale otvorene.

Zahtjevi za davatelje identiteta

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

  • Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format: prijelazno

  • Konfigurirajte zahtjev na IdP-u prema vrsti SSO-a koji implementirate:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte zahtjev IdP-a tako da uključuje naziv atributa za uid s vrijednošću koja je mapirana na atribut koji je odabran u Directory Connectoru ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.)

    • Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO da ga upotrebljavaju organizacije klijenata kojima davatelj usluga upravlja, konfigurirajte zahtjev IdP-a tako da sadrži atribut pošte (a ne uid). Vrijednost se mora mapirati na atribut koji je odabran u usluzi Directory Connector ili na korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex.


     

    Za više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO pogledajte https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-a usluga za potrošače na temelju tvrdnji (ACS). Za primjere kako konfigurirati više URL-ova ACS-a na davatelju identiteta pogledajte:

  • Upotrebljavajte podržani preglednik: Preporučujemo najnoviju verziju preglednika Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokatore skočnih prozora u svom pregledniku.


 

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, upute za upravljanje uslugama za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentirane. Ostali formati kao npr. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress radit će za upravljanje uslugama SSO-a, ali su izvan opsega naše dokumentacije.

Uspostavite SAML ugovor

Morate uspostaviti SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:

  • Datoteka metapodataka od IdP-a koju ustupate Webexu.

  • Datoteka metapodataka od Webexa koju ustupate IdP-u.

Ovo je primjer datoteke metapodataka PingFederate s metapodacima IdP-a.

Datoteka metapodataka s usluge identiteta.

Slijedi ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.

  • EntityID – upotrebljava se za identifikaciju SAML ugovora u konfiguraciji IdP-a

  • Nema zahtjeva za potpisani zahtjev AuthN ili bilo kakve tvrdnje o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP u svrhu provjere da metapodaci pripadaju usluzi identiteta.

Konfigurirajte uslugu identiteta Webex

1

Iz prikaza korisnika u Control Hubu (https://admin.webex.com ), idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija i kliknite Aktivirajte SSO postavku za pokretanje čarobnjaka za konfiguraciju.

2

Odaberite Webex kao vaš IdP i kliknite Dalje .

3

Provjerite Pročitao sam i razumio kako Webex IdP radi i kliknite Dalje .

4

Postavite pravilo usmjeravanja.

Nakon što dodate pravilo usmjeravanja, vaš IdP se dodaje i prikazuje pod Pružatelj identiteta tab.
Za više informacija, pogledajte SSO s više IdP-a u Webex .

Bilo da ste primili obavijest o isteku certifikata ili želite provjeriti svoju postojeću konfiguraciju SSO-a, možete upotrebljavati značajke upravljanja jedinstvenom prijavom (SSO) u okruženju Control Hub za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.

Ako naiđete na probleme s upravljanjem uslugama SSO-a, upotrebljavajte zahtjeve i postupak u ovom odjeljku za rješavanje problema u tijeku SAML-a između vašeg IdP-a i Webexa.

Zahtjevi za rješavanje problema sa SSO-om

  • Koristite dodatak SAML tracer za Firefox , Chrome , ili Rub .

  • U rješavanju problema upotrebljavajte web-preglednik u koji ste instalirali alat za otklanjanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa na https://web.webex.com.

Riješite probleme u tijeku SAML-a između aplikacije Webex, vašeg IdP-a i usluga Webex

Slijedi tijek poruka između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta (IdP).

1

Idite u https://admin.webex.com i, ako je omogućen SSO, aplikacija će zatražiti unos adrese e-pošte.

Aplikacija informacije šalje na uslugu Webex koja provjerava adresu e-pošte.

2

Aplikacija šalje GET zahtjev za token poslužitelju za autorizaciju OAuth. Zahtjev se preusmjerava na uslugu identiteta na SSO ili na tijek za unos korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.

GET zahtjev možete vidjeti u datoteci praćenja.

U odjeljku s parametrima usluga traži kôd za OAuth, e-poštu korisnika koji je poslao zahtjev i druge detalje o usluzi OAuth kao što su ClientID, redirectURI i opseg.

3

Aplikacija Webex traži SAML tvrdnju od IdP-a koristeći HTTP POST za SAML.

Kada je SSO omogućen, mehanizam za provjeru autentičnosti na usluzi identiteta preusmjerava na URL IdP-a za SSO. URL IdP-a naveden je nakon razmjene metapodataka.

U alatu za praćenje provjerite ima li POST poruke za SAML. Vidite HTTP POST poruku IdP-u koju je zatražio IdPbroker.

Parametar RelayState pokazuje točan odgovor od IdP-a.

Pregledajte verziju za dekodiranje SAML zahtjeva. Ne postoji ovlaštenje AuthN, a odredište odgovora treba biti usmjereno na odredišni URL IdP-a. Provjerite je li format nameid ispravno konfiguriran u IdP-u pod ispravnim entityID-om (SPNameQualifier)

Prilikom izrade SAML ugovora zadan je format nameid i konfiguriran je naziv ugovora.

4

Provjera autentičnosti za aplikaciju provodi se između web-resursa operativnog sustava i IdP-a.

IdP pokreće razne tijekove, ovisno o vašem IdP-u i mehanizmima provjere autentičnosti koji su konfigurirani na IdP-u.

5

Aplikacija šalje HTTP Post natrag na uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.

Ako je provjera autentičnosti uspješno provedena, aplikacija usluzi identiteta šalje informacije u SAML POST poruci.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju.

6

SAML tvrdnja od IdP-a do Webexa.

7

Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth tokenom za pristup i osvježavanje. Ovaj se token upotrebljava za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji aplikaciji Webex omogućuje pristup različitim uslugama Webex.