A webex szervezetek számára a következő webes hozzáférés-kezelési és összevonási megoldásokat tesztelték. Az alábbi dokumentumok végigvezetik, hogyan integrálhatja az adott identitásszolgáltatót (IdP) a Webex szervezetével.


Ezek az útmutatók a Control Hub ( ) kezelés alatt álló Webex-szolgáltatások egyszeri bejelentkezését fedikhttps://admin.webex.comle. Ha webex meetings webhely egyszeri bejelentkezését keresi (a Webhelyfelügyeletben kezelve), olvassa el a Egyszeri bejelentkezés konfigurálása a Cisco webex webhelyhezcímű témakört.

Ha nem látja az alábbi azonosítót, kövesse a cikk SSO-beállítás lapjának magas szintű lépéseit.

Az egyszeri bejelentkezés (egyszeri bejelentkezés) lehetővé teszi a felhasználók számára, hogy biztonságosan bejelentkezjenek a Webexbe azáltal, hogy hitelesíti a szervezetek közös identitásszolgáltatóját (IdP). A Webex alkalmazás a Webex szolgáltatást használja a Webex Platform Identity Service szolgáltatással való kommunikációhoz. Az identitásszolgáltatás hitelesít az identitásszolgáltatóval (IdP).

A konfigurációt a Control Hubban indíthatja el. Ez a szakasz magas szintű, általános lépéseket rögzít a harmadik féltől származó idP integrálásához.

Az egyszeri bejelentkezések és a vezérlőközpont esetében az azonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:

  • Állítsa a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Jogcím konfigurálása az idP-n az üzembe helyezett egyszeri bejelentkezés típusa szerint:

    • Egyszeri bejelentkezés (szervezet esetén)–Ha egy szervezet nevében konfigurálja az egyszeri bejelentkezést, konfigurálja úgy az IdP-jogcímet, hogy az azonosító attribútum nevét tartalmazza a Címtár-összekötőben kiválasztott attribútumhoz vagy aWebex identitásszolgáltatásban kiválasztottnak megfelelő felhasználói attribútumhoz. (Ez az attribútum lehet például e-mail-címek vagy felhasználónév.)

    • Partner egyszeri bejelentkezése (csak szolgáltatók számára)– Ha Ön szolgáltatói rendszergazda, aki úgy konfigurálja a Partner SSO-t, hogy a Szolgáltató által kezelt ügyfélszervezetek használják, konfigurálja úgy az IdP-jogcímet, hogy az tartalmazza a levelezési attribútumot (nem pedig az uid). Az értéknek le kell rendelnie a Címtár-összekötőben kiválasztottattribútumot, vagy a Webex identity szolgáltatásban kiválasztottnak megfelelő felhasználói attribútumot.


    Az egyéni attribútumok egyéni attribútumainak leképezéséről az egyszeri bejelentkezéshez vagy a partner egyszeri bejelentkezéséhez lásd: https://www.cisco.com/go/hybrid-services-directory.

  • Csak partnerI egyszeri bejelentkezés. Az Identity Providernak több állítási fogyasztói szolgáltatás (ACS) URL-ét is támogatnia kell. Ha több ACS-URL-t is konfigurálhat egy identitásszolgáltatón, a alábbi témakörben található:

  • Támogatott böngésző használata: javasoljuk a Mozilla Firefox vagy a Google Chrome legújabb verzióját.

  • Tiltsa le az előugró ablakok blokkolóját a böngészőben.


A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe.

Saml-szerződést kell létrehoznia a Webex Platform Identity Service és az IdP között.

A sikeres SAML-megállapodás eléréséhez két fájlra van szükség:

  • Metaadatfájl az IdP-ből, amelyet a Webexnek kellmegadnia.

  • Metaadatfájl a Webexből, amelyet az IdP-nek ad.

Ez egy példa egy PingFederate metaadatfájlra, amely az IdP metaadatait nyalja.

Metaadatfájl az identitásszolgáltatásból.

Az alábbiakban azt látják majd, hogy mit fog látni az identitásszolgáltatás metaadatfájljában.

  • EntityID – Ez az IDP-konfiguráció SAML-szerződésének azonosítására szolgál

  • Nincs szükség aláírt AuthN-kérelemre vagy bármilyen jeligényre, az megfelel annak, amit az IdP kér a metaadatfájlban.

  • Az IdP aláírt metaadatfájlja annak ellenőrzésére, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.

1

A Control Hub ( ) ügyfélnézetéből lépjen ahttps://admin.webex.comFelügyeleti > Szervezeti beállításokelemre, görgessen a Hitelesítés elemre, és váltson a Egyszeri bejelentkezés beállításra a konfigurációs varázsló elindításához.

2

Válassza ki a tanúsítvány típusát:

  • A Cisco által aláírt önaláírt- Javasoljuk, hogy ezt a lehetőséget válassza, hogy mi legyünk az SP. Ezenkívül csak ötévente kell megújítani a tanúsítványt.
  • Nyilvános hitelesítésszolgáltató által aláírt– Ez a beállítás biztonságos és ajánlott, ha a tanúsítványokat egy nyilvános hitelesítésszolgáltatótól, például a Hydranttól vagy a Godaddy-tól írja alá. A tanúsítványt azonban évente egyszer meg kell újítania.
3

Kattintson a Metaadatok letöltése elemre, majd a Következőelemre.

4

A Webex Platform Identity szolgáltatás ellenőrzi a metaadatfájlt az IdP-ből.

A metaadatok érvényesítésének két módja van az Ügyfélazonosító rendszerből:

  • Az Ügyfélazonosító jel egy aláírást biztosít a nyilvános legfelső szintű hitelesítésszolgáltató által aláírt metaadatokban.

  • Az Ügyfélazonosító rendszer önaláírt privát hitelesítésszolgáltatót biztosít, vagy nem ad aláírást a metaadataikhoz. Ez az opció kevésbé biztonságos.

5

Az engedélyezés előtt tesztelje az egyszeri bejelentkezést. Ez a lépés úgy működik, mint egy száraz futtatás, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben engedélyezni nem engedélyezi az egyszeri bejelentkezést.


 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása vágólapra ebből a képernyőről, és illessze be egy privát böngészőablakba. Innen átsétálhat az SSO-val való bejelentkezésen. Ez segít eltávolítani a webböngészőben gyorsítótárazott információkat, amelyek hamis pozitív eredményt adhatnak az egyszeri bejelentkezés konfigurációjának tesztelése során.

6

Ha a teszt sikeres, kapcsolja be az egyszeri bejelentkezést, és mentse a módosításokat.

A módosításokat mentenie kell ahhoz, hogy az egyszeri bejelentkezés érvénybe lépjen a szervezetben.

Ha problémákba ütközik az egyszeri bejelentkezéssel, az ebben a szakaszban található követelmények és eljárások segítségével hárítsa el az IdP és a Webex közötti SAML-folyamatot.

  • Használja a SAML nyomkövetési bővítményt a Firefoxhoz vagy a Chrome-hoz.

  • A hibaelhárításhoz használja azt a webböngészőt, amelyre telepítette a SAML nyomkövetési hibakeresési eszközt, és lépjen a Webex webes verziójára a https://web.webex.com.

Az alábbiakban a Webex alkalmazás, a Webex Services, a Webex Platform Identity Service és az Identity provider (IdP) közötti üzenetek áramlását hatjuk be.

  1. Lépjen, https://admin.webex.com és ha az egyszeri bejelentkezés engedélyezve van, az alkalmazás e-mail-címet kér.
  2. Az alkalmazás GET-kérelmet küld az OAuth engedélyezési kiszolgálónak jogkivonatért. A rendszer átirányítja a személyazonossági szolgáltatásba az egyszeri bejelentkezéshez vagy a felhasználónévhez és a jelszóhoz. A rendszer visszaadja a hitelesítési kiszolgáló URL-címét.
  3. A Webex alkalmazás SAML-állítást kér az idP-től SAML HTTP POST használatával.
  4. Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.
  5. Az alkalmazás http-bejegyzést küld vissza az identitásszolgáltatásnak, és tartalmazza az IdP által megadott és az eredeti megállapodásban elfogadott attribútumokat.
  6. SAML állítás az IdP-től a Webex-nek.
  7. Az identitásszolgáltatás egy engedélyezési kódot kap, amelyet OAuth-hozzáférési és frissítési jogkivonat vált fel. Ez a jogkivonat a felhasználó nevében lévő erőforrások elérésére szolgál.
1

Lépjen, https://admin.webex.com és ha az egyszeri bejelentkezés engedélyezve van, az alkalmazás e-mail-címet kér.

Az alkalmazás elküldi az információkat a Webex szolgáltatásnak, amely ellenőrzi az e-mail címet.

2

Az alkalmazás GET-kérelmet küld az OAuth engedélyezési kiszolgálónak jogkivonatért. A rendszer átirányítja a személyazonossági szolgáltatásba az egyszeri bejelentkezéshez vagy a felhasználónévhez és a jelszóhoz. A rendszer visszaadja a hitelesítési kiszolgáló URL-címét.

A GET kérést a nyomkövetési fájlban tekintheti meg.

A paraméterek szakaszban a szolgáltatás egy OAuth-kódot, a kérést küldő felhasználó e-mailjét, valamint egyéb OAuth-adatokat, például ClientID-t, redirectURI-t és Scope-ot keres.

3

A Webex alkalmazás SAML-állítást kér az idP-től SAML HTTP POST használatával.

Ha az egyszeri bejelentkezés engedélyezve van, az identitásszolgáltatás hitelesítési motorja átirányítja az egyszeri bejelentkezés idP-URL-címére. A metaadatok cseréjekor megadott idP URL-cím.

Ellenőrizze a nyomkövetési eszközben egy SAML POST üzenetet. Megjelenik egy HTTP POST üzenet az IdP által kért idP-nek.

A RelayState paraméter az IdP helyes válaszát mutatja.

Tekintse át az SAML-kérelem dekódoló verzióját, nincs AuthN mandátum, és a válasz céljának az IdP cél URL-címére kell mennie. Győződjön meg arról, hogy a nameid-formátum megfelelően van konfigurálva az idP-ben a megfelelő entityID (SPNameQualifier) alatt

Meg van adva az IdP nameid-formátum, és a szerződés neve konfigurálva van az SAML-szerződés létrehozásakor.

4

Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.

Az idP-től és az IdP-ben konfigurált hitelesítési mechanizmusoktól függően a rendszer különböző folyamatokat indít el az azonosító rendszerből.

5

Az alkalmazás http-bejegyzést küld vissza az identitásszolgáltatásnak, és tartalmazza az IdP által megadott és az eredeti megállapodásban elfogadott attribútumokat.

Ha a hitelesítés sikeres, az alkalmazás saml POST üzenetben küldi el az adatokat az identitásszolgáltatásnak.

A RelayState ugyanaz, mint az előző HTTP POST üzenet, ahol az alkalmazás megmondja az idP-nek, hogy melyik EntityID kéri az állítást.

6

SAML állítás az IdP-től a Webex-nek.

7

Az identitásszolgáltatás egy engedélyezési kódot kap, amelyet OAuth-hozzáférési és frissítési jogkivonat vált fel. Ez a jogkivonat a felhasználó nevében lévő erőforrások elérésére szolgál.

Miután az identitásszolgáltatás érvényesítette az IdP válaszát, kiadnak egy OAuth-jogkivonatot, amely lehetővé teszi a Webex alkalmazás számára a különböző Webex szolgáltatások elérését.