A következő webes hozzáférés-kezelési és -összevonási megoldásokat tesztelték a Webex-szervezetek számára. Az alábbiakban csatolt dokumentumok végigvezetik Önt az adott identitásszolgáltató (IdP) webex szervezettel való integrálásának módján.


Ezek az útmutatók a Control Hubban kezelt Webex-szolgáltatások SSO-integrációjára vonatkoznak (https://admin.webex.com). Ha webex-értekezletek webhelyének SSO-integrációját keresi (a webhelyfelügyeletben menedzselve), olvassa el a Cisco Webex webhely egységes bejelentkezésének konfigurálása címűrészt.

Ha nem látja az alábbi azonosítót, kövesse a cikk SSO telepítő lapján található magas szintű lépéseket.

Az egyszeri bejelentkezés (SSO) lehetővé teszi a felhasználók számára, hogy biztonságosan jelentkezzenek be a Webexre azáltal, hogy hitelesíteni próbálják a szervezetek közös identitásszolgáltatóját (IdP). A Webex alkalmazás a Webex szolgáltatást használja a Webex platform identitás szolgáltatással való kommunikációhoz. A személyazonossági szolgáltatás hitelesíti a személyazonosság-szolgáltatót (IdP).

A Control Hubban indítja el a konfigurációt. Ez a szakasz magas szintű, általános lépéseket rögzít egy harmadik féltől származó azonosító integrálásához.

Az SSO és a Control Hub esetében az idp-knek meg kell felelniük a SAML 2.0 specifikációnak. Ezenkívül az idp-eket a következő módon kell beállítani:

  • Állítsa be a NameID Format attribútumot urnához:oasis:names:tc:SAML:2.0:nameid-format:tranziens

  • Konfigurálja az idp-re vonatkozó igényt a telepített SSO típusa szerint:

    • SSO (szervezet esetén)—Ha egy szervezet nevében konfigurálja az SSO-t, konfigurálja az IdP-jogcímet úgy, hogy az tartalmazza az uid attribútum nevét a Címtár-csatlakozóban kiválasztott attribútumhoz vagy a Webex identitásszolgáltatásában kiválasztott attribútumhoz kapcsolódó értékkel. (Ez az attribútum lehet például e-mail-címek vagy felhasználónév.)

    • Partner SSO (csak Szolgáltatók számára)—Ha Ön olyan Szolgáltatói rendszergazda, aki úgy konfigurálja a Partner SSO-t, hogy azt a Szolgáltató által kezelt ügyfélszervezetek használják, konfigurálja az IdP-jogcímet úgy, hogy az tartalmazza a levelezési attribútumot (nem pedig azuid-t). Az értéknek a Címtár-összekötőben kiválasztott attribútumhoz vagy a Webex identitásszolgáltatásban kiválasztott attribútumhoz kell hasonlítania.


    Az SSO vagy a partner SSO egyéni attribútumainak leképezéséről további információt a https://www.cisco.com/go/hybrid-services-directory.

  • Csak partner SSO. Az Identitásszolgáltatónak támogatnia kell a több Assertion Consumer Service (ACS) URL-t. Ha például több ACS URL-t konfigurál egy identitásszolgáltatón, lásd:

  • Támogatott böngésző használata: a Mozilla Firefox vagy a Google Chrome legújabb verzióját ajánljuk.

  • Tiltsa le a böngészőben lévő felugró ablakblokkolókat.


A konfigurációs útmutatók konkrét példát mutatnak az SSO-integrációra, de nem nyújtanak kimerítő konfigurációt az összes lehetőséghez. Például a nameid-formátumú urna:oasis:names:tc:SAML:2.0:nameid-format:tranziens integrációs lépései dokumentálva vannak. Más formátumok, mint például urna:oázis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO integráció érdekében fog működni, de nem tartoznak a dokumentációnk hatálya alá.

Létre kell hoznia egy SAML-megállapodást a Webex Platform Identity Service és az IdP között.

A sikeres SAML-megállapodás eléréséhez két fájlra van szükség:

  • Metaadatfájl az IdP-ből, hogy a Webexnek adja.

  • Metaadatfájl a Webex-től, hogy az idp-nek adja.

Ez egy példa a PingFederate metaadat-fájl metaadatait az IdP.

Metaadatfájl a személyazonossági szolgáltatásból.

A következő az, amit elvár, hogy a metaadat-fájlban a személyazonossági szolgáltatás.

  • EntityID—Ez a SAML-megállapodás azonosítására szolgál az IdP konfigurációban

  • Nincs szükség aláírt AuthN-kérelemre vagy bármilyen aláírási állításra, az megfelel annak, amit az idp kér a metaadat-fájlban.

  • Az idp aláírt metaadat-fájlja annak ellenőrzésére, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.

1

Jelentkezzen be a Vezérlőközpontbahttps://admin.webex.com(), lépjen a Beállításoklapra, görgessen a Hitelesítéshez, és kattintson a Módosítás gombra.

2

Kattintson a 3. féltől származó identitásszolgáltató integrálása gombra. (Haladó) majd kattintson az Első lépésekgombra.

3

Kattintson a Metaadat-fájl letöltése elemre, majd a Továbbgombra.

4

A Webex Platform Identity szolgáltatás ellenőrzi a metaadat-fájlt az idp-ből.

A metaadatok érvényesítésének két módja van az ügyfélazonosítóból:

  • Az ügyfélazonosító aláírást biztosít a nyilvános gyökérszolgáltató által aláírt metaadatokban.

  • Az ügyfél-azonosító saját aláírással ellátott privát hitelesítésszolgáltatót biztosít, vagy nem ad aláírást a metaadataikhoz. Ez a lehetőség kevésbé biztonságos.

5

Az engedélyezés előtt tesztelje az SSO-kapcsolatot.

6

Ha a teszt sikeres, engedélyezze az Egyszeri bejelentkezést.

Ha problémákba ütközik az SSO-integrációval kapcsolatban, használja az ebben a szakaszban található követelményeket és eljárást az IdP és a Webex közötti SAML-áramlás hibaelhárításához.

  • Használja a SAML trace addont Firefoxhoz vagy Chrome-hoz.

  • A hibaelhárításhoz használja azt a webböngészőt, ahol telepítette a SAML nyomkövetési hibakeresési eszközt, és lépjen a Webex webes verziójára a https://teams.webex.com.

Az alábbiakban a Webex App, a Webex Services, a Webex Platform Identity Service és az Identity provider (IdP) közötti üzenetáramlást követjük.

  1. Lépjen https://admin.webex.com az alkalmazás az SSO engedélyezésével egy e-mail címre.
  2. Az alkalmazás GET-kérelmet küld az OAuth engedélyező kiszolgálónak tokenért. A kérés átirányítja az identitásszolgáltatást az SSO-ra vagy a felhasználónév és jelszó áramlására. A hitelesítési kiszolgáló URL-címe visszakerül.
  3. A Webex Alkalmazás SAML állítást kér az IDP-től EGY SAML HTTP POST használatával.
  4. Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.
  5. Az alkalmazás visszaküld egy HTTP-bejegyzést az identitásszolgáltatásnak, és tartalmazza az IdP által biztosított és az eredeti megállapodásban elfogadott attribútumokat.
  6. SAML állítás az IdP-től a Webex-ig.
  7. A személyazonossági szolgáltatás egy engedélyezési kódot kap, amelyet OAuth hozzáférési és frissítési token vált fel. Ezt a tokent a felhasználó nevében az erőforrások eléréséhez használják.
1

Lépjen https://admin.webex.com az alkalmazás az SSO engedélyezésével egy e-mail címre.

Az alkalmazás elküldi az információt a Webex szolgáltatásnak, amely ellenőrzi az e-mail címet.

2

Az alkalmazás GET-kérelmet küld az OAuth engedélyező kiszolgálónak tokenért. A kérés átirányítja az identitásszolgáltatást az SSO-ra vagy a felhasználónév és jelszó áramlására. A hitelesítési kiszolgáló URL-címe visszakerül.

A GET kérés a nyomkövetési fájlban látható.

A paraméterek részben a szolgáltatás OAuth-kódot, a kérést küldő felhasználó e-mail-ét és más OAuth-adatokat, például ClientID-t, redirectURI-t és Scope-ot keres.

3

A Webex Alkalmazás SAML állítást kér az IDP-től EGY SAML HTTP POST használatával.

Ha az SSO engedélyezve van, az identitásszolgáltatás hitelesítési motorja átirányítja az SSO idp URL-jét. A metaadatok cseréjekor megadott IDP-URL- cím.

Jelentkezzen be a saml POST üzenet nyomkövetési eszközében. Megjelenik egy HTTP POST üzenet az IdPbroker által kért IDP-nek.

A RelayState paraméter az IdP helyes válaszát mutatja.

Tekintse át a SAML kérés dekódoló verzióját, nincs felhatalmazás AuthN, és a válasz cél URL-jének az IDP cél URL-ére kell mennie. Győződjön meg arról, hogy a nameid-formátum helyesen van konfigurálva az IdP-ben a megfelelő entityID (SPNameQualifier) alatt

Az IdP nameid-formátum meg van adva, és a saml-megállapodás létrehozásakor konfigurált szerződés neve.

4

Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.

Az idp-től és az idp-ben konfigurált hitelesítési mechanizmusoktól függően különböző folyamatok indulnak el az idp-ből.

5

Az alkalmazás visszaküld egy HTTP-bejegyzést az identitásszolgáltatásnak, és tartalmazza az IdP által biztosított és az eredeti megállapodásban elfogadott attribútumokat.

Ha a hitelesítés sikeres, az alkalmazás SAML POST üzenetben küldi el az információkat az identitásszolgáltatónak.

A RelayState ugyanaz, mint az előző HTTP POST üzenet, ahol az alkalmazás megmondja az IDP-nek, hogy melyik EntityID kéri az állítást.

6

SAML állítás az IdP-től a Webex-ig.

7

A személyazonossági szolgáltatás egy engedélyezési kódot kap, amelyet OAuth hozzáférési és frissítési token vált fel. Ezt a tokent a felhasználó nevében az erőforrások eléréséhez használják.

Miután az identitásszolgáltatás érvényesíti az IdP válaszát, kiadnak egy OAuth tokent, amely lehetővé teszi a Webex Alkalmazás számára a különböző Webex szolgáltatások elérését.