Prije integracije jednokratne prijave (SSO), Webex prema zadanim postavkama koristi osnovnu autentifikaciju. Osnovna autentifikacija zahtijeva od korisnika da unesu svoje Webex korisničko ime i lozinku svaki put kada se prijave. Ako u svojoj organizaciji imate vlastitog pružatelja identiteta (IdP), možete ga integrirati sa svojom organizacijom u Control Hubu za SSO. SSO omogućuje vašim korisnicima korištenje jednog, zajedničkog skupa vjerodajnica za Webex aplikacije u vašoj organizaciji.

Ako radije koristite osnovnu autentifikaciju, ne morate ništa poduzeti. Međutim, uzmite u obzir da osnovna autentifikacija može biti manje sigurna i manje praktična za korisnike od SSO-a, posebno ako vaša organizacija već koristi IdP. Za poboljšanu sigurnost s osnovnom autentifikacijom, preporučujemo korištenje višefaktorske autentifikacije (MFA) u Control Hubu. Za više informacija pogledajte Omogućite integraciju višefaktorske autentifikacije u Control Hubu.

Sljedeća rješenja za upravljanje pristupom webu i za združivanja testirana su za Webex organizacije. Dokumenti s poveznicama u nastavku vode vas kroz postupak integriranja tog specifičnog davatelja identiteta (IdP) u vašu Webex organizaciju.

Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u okruženju Control Hub (https://admin.webex.com). Ako tražite SSO integraciju web-mjesta Webex Meetings (kojim se upravlja na administracijskom web-mjestu), pročitajte odjeljak Konfiguriranje jedinstvene prijave za web-mjesto Cisco Webex.

Ako želite postaviti SSO za više pružatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-ova u Webexu.

Ako ne vidite svog IdP-a na popisu u nastavku, slijedite korake visoke razine u kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) korisnicima omogućuje sigurnu prijavu u Webex provjerom autentičnosti kod davatelja zajedničkog identiteta (IdP) vaše organizacije. Aplikacija Webex upotrebljava uslugu Webex za komunikaciju s uslugom identiteta platforme Webex. Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju započinjete u okruženju Control Hub. Ovaj odjeljak obuhvaća općenite korake visoke razine za upravljanje uslugama IdP-a treće strane.

Kada konfigurirate SSO sa svojim IdP-om, možete mapirati bilo koji atribut na uid. Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut na uid. IdP se prilikom prijave mora podudarati s jednom od korisničkih adresa e-pošte s uid-om. Webex podržava mapiranje do pet adresa e-pošte na uid.

Preporučujemo da u konfiguraciju metapodataka uključite jednokratnu odjavu (SLO) prilikom postavljanja Webex SAML federacije. Ovaj korak je ključan kako bi se osiguralo da su korisnički tokeni poništeni i kod pružatelja identiteta (IdP) i kod pružatelja usluga (SP). Ako administrator ne izvrši ovu konfiguraciju, Webex upozorava korisnike da zatvore svoje preglednike kako bi poništio sve otvorene sesije.

Zahtjevi za davatelje identiteta

IdP-ovi za SSO i Control Hub moraju biti u skladu sa specifikacijom SAML 2.0. Osim toga, IdP-ovi moraju biti konfigurirani na sljedeći način:

  • Postavite atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:prolazan

  • Konfigurirajte zahtjev na IdP-u prema vrsti SSO-a koji implementirate:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte zahtjev IdP-a tako da uključuje naziv atributa za uid s vrijednošću koja je mapirana na atribut koji je odabran u Directory Connectoru ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.)

    • Partnerski SSO (samo za davatelje usluga) – ako ste administrator davatelja usluga koji konfigurira partnerski SSO da ga upotrebljavaju organizacije klijenata kojima davatelj usluga upravlja, konfigurirajte zahtjev IdP-a tako da sadrži atribut pošte (a ne uid). Vrijednost se mora mapirati na atribut koji je odabran u usluzi Directory Connector ili na korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex.

    Za više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO pogledajte https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Davatelj identiteta mora podržavati više URL-a usluga za potrošače na temelju tvrdnji (ACS). Za primjere kako konfigurirati više URL-ova ACS-a na davatelju identiteta pogledajte:

  • Upotrebljavajte podržani preglednik: Preporučujemo najnoviju verziju preglednika Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokatore skočnih prozora u svom pregledniku.

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Drugi formati poput urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funkcionirat će za SSO integraciju, ali su izvan opsega naše dokumentacije.

Uspostavite SAML ugovor

Morate uspostaviti SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:

  • Datoteka metapodataka od IdP-a koju ustupate Webexu.

  • Datoteka metapodataka od Webexa koju ustupate IdP-u.

Tijek razmjene datoteka metapodataka između Webexa i pružatelja identiteta.

Ovo je primjer datoteke metapodataka PingFederate s metapodacima IdP-a.

Snimka zaslona datoteke metapodataka PingFederate koja prikazuje metapodatke od pružatelja identiteta.

Datoteka metapodataka s usluge identiteta.

Snimka zaslona datoteke s metapodacima iz usluge identiteta.

Slijedi ono što očekujete da ćete vidjeti u datoteci metapodataka iz usluge identiteta.

Snimka zaslona datoteke s metapodacima iz usluge identiteta.

  • EntityID – upotrebljava se za identifikaciju SAML ugovora u konfiguraciji IdP-a

  • Nema zahtjeva za potpisani zahtjev AuthN ili bilo kakve tvrdnje o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP u svrhu provjere da metapodaci pripadaju usluzi identiteta.

Snimka zaslona potpisane datoteke metapodataka za davatelja identiteta kako bi se provjerilo pripadaju li metapodaci usluzi identiteta.

Snimka zaslona potpisane datoteke metapodataka pomoću Okte.

Konfigurirajte uslugu identiteta Webex
1

Prijavite se u Kontrolno središte.

2

Idi na Upravljanje > Sigurnost > Autentifikacija.

3

Idite na karticu Pružatelj identiteta i kliknite Aktiviraj SSO.

4

Odaberite Webex kao svog IdP-a i kliknite Dalje.

5

Označite Pročitao/la sam i razumio/la kako Webex IdP radi i kliknite Dalje.

6

Postavite pravilo usmjeravanja.

Nakon što dodate pravilo usmjeravanja, vaš IdP se dodaje i prikazuje se na kartici Pružatelj identiteta.
Za više informacija pogledajte SSO s više IdP-ova u Webexu.

Bilo da ste primili obavijest o isteku certifikata ili želite provjeriti svoju postojeću konfiguraciju SSO-a, možete upotrebljavati značajke upravljanja jedinstvenom prijavom (SSO) u okruženju Control Hub za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.

Ako naiđete na probleme s upravljanjem uslugama SSO-a, upotrebljavajte zahtjeve i postupak u ovom odjeljku za rješavanje problema u tijeku SAML-a između vašeg IdP-a i Webexa.

Zahtjevi za rješavanje problema sa SSO-om

  • Koristite dodatak SAML tracer za Firefox, Chromeili Edge.

  • U rješavanju problema upotrebljavajte web-preglednik u koji ste instalirali alat za otklanjanje pogrešaka u praćenju SAML-a i idite na web-verziju Webexa na https://web.webex.com.

Riješite probleme u tijeku SAML-a između aplikacije Webex, vašeg IdP-a i usluga Webex

Slijedi tijek poruka između aplikacije Webex, usluga Webex, usluge identiteta platforme Webex i davatelja identiteta (IdP).

SAML tok između Webex aplikacije, Webex usluga, Webex platforme za identifikaciju i pružatelja identiteta.
1

Idite u https://admin.webex.com i, ako je omogućen SSO, aplikacija će zatražiti unos adrese e-pošte.

Zaslon za prijavu u Control Hub.

Aplikacija informacije šalje na uslugu Webex koja provjerava adresu e-pošte.

Informacije poslane Webex usluzi za provjeru adrese e-pošte.

2

Aplikacija šalje GET zahtjev za token poslužitelju za autorizaciju OAuth. Zahtjev se preusmjerava na uslugu identiteta na SSO ili na tijek za unos korisničkog imena i lozinke. Vraća se URL poslužitelja za provjeru autentičnosti.

GET zahtjev možete vidjeti u datoteci praćenja.

GET detalje zahtjeva u datoteci zapisnika.

U odjeljku s parametrima usluga traži kôd za OAuth, e-poštu korisnika koji je poslao zahtjev i druge detalje o usluzi OAuth kao što su ClientID, redirectURI i opseg.

Odjeljak s parametrima koji prikazuje detalje OAuth-a kao što su ClientID, redirectURI i Scope.

3

Aplikacija Webex traži SAML tvrdnju od IdP-a koristeći HTTP POST za SAML.

Kada je SSO omogućen, mehanizam za provjeru autentičnosti na usluzi identiteta preusmjerava na URL IdP-a za SSO. URL IdP-a naveden je nakon razmjene metapodataka.

Autentifikacijski mehanizam preusmjerava korisnike na URL davatelja identiteta naveden tijekom razmjene metapodataka.

U alatu za praćenje provjerite ima li POST poruke za SAML. Vidite HTTP POST poruku IdP-u koju je zatražio IdPbroker.

SAML POST poruka davatelju identiteta.

Parametar RelayState pokazuje točan odgovor od IdP-a.

Parametar RelayState koji prikazuje točan odgovor od pružatelja identiteta.

Pregledajte verziju za dekodiranje SAML zahtjeva. Ne postoji ovlaštenje AuthN, a odredište odgovora treba biti usmjereno na odredišni URL IdP-a. Provjerite je li format nameid ispravno konfiguriran u IdP-u pod ispravnim entityID-om (SPNameQualifier)

SAML zahtjev koji prikazuje format nameid-a konfiguriran u pružatelju identiteta.

Prilikom izrade SAML ugovora zadan je format nameid i konfiguriran je naziv ugovora.

4

Provjera autentičnosti za aplikaciju provodi se između web-resursa operativnog sustava i IdP-a.

IdP pokreće razne tijekove, ovisno o vašem IdP-u i mehanizmima provjere autentičnosti koji su konfigurirani na IdP-u.

Rezervirano mjesto za pružatelja identiteta za vašu organizaciju.

5

Aplikacija šalje HTTP Post natrag na uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.

Ako je provjera autentičnosti uspješno provedena, aplikacija usluzi identiteta šalje informacije u SAML POST poruci.

SAML POST poruka usluzi identiteta.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID zahtijeva tvrdnju.

HTTP POST poruka koja označava koji EntityID traži tvrdnju od pružatelja identiteta.

6

SAML tvrdnja od IdP-a do Webexa.

SAML tvrdnja od pružatelja identiteta prema Webexu.

SAML tvrdnja od pružatelja identiteta prema Webexu.

SAML tvrdnja od pružatelja identiteta prema Webexu: Format NameID-a nije određen.

SAML tvrdnja od pružatelja identiteta prema Webexu: E-pošta u formatu NameID-a.

SAML tvrdnja od pružatelja identiteta prema Webexu: Privremeni format NameID-a.

7

Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth tokenom za pristup i osvježavanje. Ovaj se token upotrebljava za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji aplikaciji Webex omogućuje pristup različitim uslugama Webex.

OAuth token koji omogućuje Webex aplikaciji pristup različitim Webex uslugama.