A következő webes hozzáférés kezelési és összevonási megoldásokat teszteltük a Webex-szervezeteknél. Az alább hivatkozott dokumentumok végigvezetik Önt, hogyan integrálhatja az adott identitásszolgáltatót (IdP) a Webex-szervezetével.

Ezek az útmutatók a Control Hubban kezelt Webex-szolgáltatások SSO-integrációját ismertetik (https://admin.webex.com). Ha egy Webex Meetings-webhely (a webes adminisztrációban kezelt) SSO-integrációját keresi, olvassa el a következőt: Egyszeri bejelentkezés konfigurálása a Cisco Webex-webhelyhez.

Ha a szervezetben több identitásszolgáltatóhoz szeretné beállítani az SSO-t, tanulmányozza át az SSO több IdP-vel a Webexben című témakört.

Ha az alábbiakban nem látja az IdP-jét, kövesse a cikk SSO beállítása fülén írt lépéseket.

Az egyszeri bejelentkezés (SSO) segítségével a felhasználók biztonságosan jelentkezhetnek be a Webexre a szervezet általános identitásszolgáltatójánál (IdP) való hitelesítés révén. A Webex alkalmazás a Webex szolgáltatásai segítségével kommunikál a Webex felület identitásszolgáltatásával. Az identitásszolgáltatás az Ön identitásszolgáltatójával (IdP) végez hitelesítést.

A konfigurációt a Control Hubban kezdheti el. Ez a szakasz a harmadik féltől származó IdP integrálásának átfogó, általános lépéseit mutatja be.

Amikor SSO-t konfigurál az IdP-vel, bármilyen attribútumot hozzárendelhet az UID-hez. Hozzárendelheti például a UID-hez a userPrincipalName attribútumot, e-mail álnevet, alternatív e-mail-címet vagy bármilyen más megfelelő attribútumot. Az IdP-nek a bejelentkezéskor a felhasználó egyik e-mail-címét meg kell feleltetnie az UID-vel. A Webex legfeljebb 5 e-mail-cím hozzárendelését támogatja az UID-hoz.

Javasoljuk, hogy a Webex SAML-összevonás beállítása során illessze be az egyszeri kijelentkezést (SLO) a metaadat-konfigurációba. Ez a lépés elengedhetetlen annak biztosításához, hogy a felhasználói tokenek érvénytelenek legyenek mind az identitásszolgáltatón (IdP), mind a szolgáltatón (SP). Ha ezt a konfigurációt nem egy rendszergazda végzi el, akkor a Webex figyelmezteti a felhasználókat, hogy zárják be a böngészőjüket, így érvénytelenítik a nyitva maradt alkalmakat.

Az identitásszolgáltatókra vonatkozó követelmények

Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:

  • Állítsa be a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format értékre:Átmeneti

  • Konfiguráljon egy igényt az IdP-n a telepítendő SSO típusának megfelelően:

    • SSO (egy szervezet esetén) – Ha egy szervezet nevében állít be SSO-t, konfigurálja az IdP-igénylést úgy, hogy tartalmazza az UID attribútum nevét egy olyan értékkel, amely a Címtárösszekötőben kiválasztott attribútumhoz vagy a Webex identitásszolgáltatásban kiválasztott attribútumnak megfelelő felhasználói attribútumhoz van hozzárendelve. (Ez az attribútum lehet például e-mail-cím vagy felhasználói alapnév.)

    • Partner SSO (csak szolgáltatók számára) – Ha Ön olyan szolgáltatói rendszergazda, aki beállítja a Partner SSO-t a Szolgáltató által kezelt ügyfélszervezetek általi használatra, akkor állítsa be az IdP-igénylést úgy, hogy az tartalmazza a levél attribútumot (az UID helyett). Az értéknek meg kell egyeznie a Címtárösszekötőben kiválasztott attribútummal, vagy a Webex identitásszolgáltatásban kiválasztott attribútummal megegyező felhasználói attribútummal.

    Az egyéni attribútumok SSO-hoz vagy Partner SSO-hoz való hozzárendelésével kapcsolatos további információkért lásd: https://www.cisco.com/go/hybrid-services-directory.

  • Csak partner SSO. Az identitásszolgáltatónak több Assertion Consumer Service (ACS) URL-címet kell támogatnia. A több ACS URL identitásszolgáltatón való konfigurálására vonatkozó példákért lásd:

  • Használjon támogatott böngészőt: a Mozilla Firefox vagy a Google Chrome legújabb verzióját javasoljuk.

  • Tiltsa le az előugró ablakok blokkolását a böngészőjében.

A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem adnak teljes körű konfigurációt az összes lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén.

Hozzon létre SAML-megállapodást

SAML-megállapodást kell kötnie a Webex felület identitásszolgáltatása és az IdP között.

A sikeres SAML-megállapodás megkötéséhez két fájlra van szükség:

  • Az IdP metaadatfájlja, amelyet át kell adni a Webexnek.

  • A Webex metaadatfájlja, amelyet át kell adni az IdP-nek.

A Webex és az identitásszolgáltató közötti metaadatfájlok cseréjének folyamata.

Ez egy példa az IdP-ből származó metaadatokat tartalmazó PingFederate-metaadatfájlra.

Képernyőkép egy PingFederate-metaadatfájlról, amely az identitásszolgáltató metaadatait mutatja.

Metaadatfájl az identitásszolgáltatásból.

Képernyőkép az identitásszolgáltatásból származó metaadatfájlról.

A következőkre számíthat az identitásszolgáltatás metaadatfájljában.

Képernyőkép az identitásszolgáltatásból származó metaadatfájlról.

  • EntityID – Az SAML-megállapodás azonosítására szolgál az IdP-konfigurációban

  • Nincs szükség aláírt AuthN kérésre vagy bármilyen aláírási kérelemre, megfelel annak, amit az IdP a metaadatfájlban kér.

  • Aláírt metaadatfájl az IdP számára, amely ellenőrzi, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.

Képernyőkép az identitásszolgáltató által aláírt metaadatfájlról, amelyben ellenőrizheti, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.

Képernyőkép aláírt metaadatfájlról az Okta használatával.

Konfigurálja a Webex identitásszolgáltatást
1

A Control Hub ügyfélnézetében ( https://admin.webex.com) lépjen a Kezelés > Szervezeti beállításokelemre, görgessen a Hitelesítés lehetőségre, majd kattintson az SSO aktiválása elemre a konfigurációs varázsló elindításához.

2

Válassza ki a Webexet IdP-ként, majd kattintson a Tovább gombra.

3

Jelölje be Elolvastam és megértettem, hogyan működik a Webex IdP , majd kattintson a Tovább gombra.

4

Állítson be útválasztási szabályt.

Miután hozzáadott egy útválasztási szabályt, a rendszer hozzáadja az IdP-t, és megjelenik az Identitásszolgáltató lapon.
További információkért lásd: SSO több IdP-vel a Webexben.

Akár kapott értesítést egy lejáró tanúsítványról, akár a meglévő SSO-konfigurációját szeretné ellenőrizni, használhatja az Egyszeri bejelentkezés (SSO) kezelési funkciók lehetőséget a Control Hubban a tanúsítványkezeléshez és az általános SSO karbantartási tevékenységekhez.

Ha problémába ütközik az SSO-integráció során, kövesse az ebben a szakaszban található követelményeket és eljárást az IdP és a Webex közötti SAML-folyamat hibaelhárításához.

Az SSO hibaelhárításának követelményei

  • Használja az SAML nyomkövető bővítményt a következőkhöz: Firefox, Chrome vagy Edge.

  • A hibaelhárításhoz használja azt a webböngészőt, ahová az SAML nyomkövetési hibakereső eszközt telepítette, majd lépjen a Webex webes verziójához a következő címen: https://web.webex.com.

Az SAML-folyamat hibáinak elhárítása a Webex alkalmazás, az IdP és a Webex-szolgáltatások között

A következő az üzenetfolyam a Webex alkalmazás, a Webex-szolgáltatások, a Webex felület identitásszolgáltatás és az identitásszolgáltató (IdP) között.

SAML-folyamat a Webex alkalmazás, a Webex-szolgáltatások, a Webex platform identitásszolgáltatás és az identitásszolgáltató között.
1

Lépjen ide: https://admin.webex.com, és ha az SSO engedélyezve van, az alkalmazás egy e-mail-cím megadását kéri.

Control Hub bejelentkezési képernyő.

Az alkalmazás elküldi az információt a Webex szolgáltatásnak, amely ellenőrzi az e-mail-címet.

A Webex-szolgáltatásnak elküldött információk az e-mail-cím ellenőrzésére.

2

Az alkalmazás GET-kérést küld az Oauth hitelesítési kiszolgálónak egy tokenre vonatkozóan. A kérést a rendszer átirányítja az identitásszolgáltatáshoz az SSO vagy a felhasználónév és jelszó folyamathoz. A rendszer visszaküldi a hitelesítési kiszolgáló URL-címét.

A GET-kérés a nyomkövetési fájlban látható.

A kérés részleteinek lekérése a naplófájlban.

A paraméterek részben a szolgáltatás egy OAuth-kódot, a kérést küldő felhasználó e-mail-címét és egyéb OAuth-adatokat keres, mint például a kliensazonosító, átirányítási URL és hatály.

Paraméterek szakasz az OAuth részleteit, például a kliensazonosítót, az átirányítási URI-t és a hatókört.

3

A Webex alkalmazás egy SAML HTTP POST segítségével kér SAML-igazolást az IdP-től.

Ha az SSO engedélyezve van, az identitásszolgáltatás hitelesítő motorja az SSO IdP URL-címére irányít át. A metaadatok cseréjekor megadott IdP URL.

A hitelesítési motor a metaadatcsere során megadott identitásszolgáltató URL-címére irányítja át a felhasználókat.

Keressen SAML POST üzenetet a nyomkövetési eszközben. Az IdPbroker által az IdP-nek küldött HTTP POST üzenet jelenik meg.

SAML POST-üzenet az identitásszolgáltatónak.

A RelayState paraméter az IdP helyes válaszát mutatja.

RelayState paraméter, amely az identitásszolgáltató helyes válaszát mutatja.

Tekintse át az SAML-kérés dekódolási verzióját, nincs engedélyezett AuthN, és a válasz célhelyének az IdP cél URL-jének kell lennie. Győződjön meg arról, hogy a nameid formátuma megfelelően van konfigurálva az IdP-ben a megfelelő entityID (SPNameQalifier) alatt

SAML-kérelem az identitásszolgáltatóban konfigurált nameid formátumot mutatja.

Az IdP nameid formátuma az SAML-megállapodás létrehozásakor van megadva, és a megállapodás neve az SAML-megállapodás létrehozásakor van konfigurálva.

4

Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.

Az IdP-től és az IdP-ben konfigurált hitelesítési mechanizmusoktól függően különböző folyamatok indulnak az IdP-ből.

Az Ön szervezete identitásszolgáltatójának helyőrzője.

5

Az alkalmazás egy HTTP Postot küld vissza az identitásszolgáltatásnak, amely tartalmazza az IdP által biztosított és a kezdeti megállapodásban elfogadott attribútumokat.

Sikeres hitelesítés esetén az alkalmazás SAML POST üzenetben küldi el az információkat az identitásszolgáltatásnak.

SAML POST üzenet az identitásszolgáltatásnak.

A RelayState megegyezik az előző HTTP POST üzenettel, ahol az alkalmazás közli az IdP-vel, hogy melyik EntityID kéri az érvényesítést.

HTTP POST üzenet, amely jelzi, hogy melyik EntityID azonosítót kéri az identitásszolgáltatótól.

6

SAML-igazolás az IdP-től a Webex felé.

SAML-tény az identitásszolgáltatótól a Webexhez.

SAML-tény az identitásszolgáltatótól a Webexhez.

SAML-tény az identitásszolgáltatótól a Webexhez: Nincs megadva a NameID-formátum.

SAML-tény az identitásszolgáltatótól a Webexhez: NameID-formátum e-mail.

SAML-tény az identitásszolgáltatótól a Webexhez: NameID-formátum átmeneti.

7

Az identitásszolgáltatás engedélyezési kódot kap, amelyet egy Oauth hozzáférési és frissítési token vált fel. Ez a token az erőforrásokhoz való hozzáférésre szolgál a felhasználó nevében.

Miután az identitásszolgáltatás validálja az IdP-től kapott választ, kiállít egy OAuth-tokent, amely lehetővé teszi a Webex alkalmazás számára a különböző Webex-szolgáltatások elérését.

OAuth-token, amely lehetővé teszi a Webex alkalmazás számára, hogy hozzáférjen a különböző Webex-szolgáltatásokhoz.