Ha a szervezet saját identitásszolgáltatóval (IdP) rendelkezik, integrálhatja az SAML IdP-t a szervezetével a Control Hub egyszeri bejelentkezés (SSO) segítségével. Az SSO lehetővé teszi, hogy a felhasználók egyetlen, közös hitelesítési adatkészletet használjanak a Webex alkalmazásokhoz és a szervezet más alkalmazásaihoz.
A következő webes hozzáférés kezelési és összevonási megoldásokat teszteltük a Webex-szervezeteknél. Az alább hivatkozott dokumentumok végigvezetik Önt, hogyan integrálhatja az adott identitásszolgáltatót (IdP) a Webex-szervezetével.
Ezek az útmutatók a Control Hubban kezelt Webex-szolgáltatások SSO-integrációját ismertetik (https://admin.webex.com). Ha egy Webex Meetings-webhely (a webes adminisztrációban kezelt) SSO-integrációját keresi, olvassa el a következőt: Egyszeri bejelentkezés konfigurálása a Cisco Webex-webhelyhez. Ha a szervezeten belül több identitásszolgáltatóhoz szeretne beállítani SSO -t, lásd: SSO több IdP-vel a Webex . |
Ha az alábbiakban nem látja az IdP-jét, kövesse a cikk SSO beállítása fülén írt lépéseket.
Az egyszeri bejelentkezés (SSO) segítségével a felhasználók biztonságosan jelentkezhetnek be a Webexre a szervezet általános identitásszolgáltatójánál (IdP) való hitelesítés révén. A Webex alkalmazás a Webex szolgáltatásai segítségével kommunikál a Webex felület identitásszolgáltatásával. Az identitásszolgáltatás az Ön identitásszolgáltatójával (IdP) végez hitelesítést.
A konfigurációt a Control Hubban kezdheti el. Ez a szakasz a harmadik féltől származó IdP integrálásának átfogó, általános lépéseit mutatja be.
Amikor SSO-t konfigurál az IdP-vel, bármilyen attribútumot hozzárendelhet az UID-hez. Hozzárendelheti például a UID-hez a userPrincipalName attribútumot, e-mail álnevet, alternatív e-mail-címet vagy bármilyen más megfelelő attribútumot. Az IdP-nek a bejelentkezéskor a felhasználó egyik e-mail-címét meg kell feleltetnie az UID-vel. A Webex legfeljebb 5 e-mail-cím hozzárendelését támogatja az UID-hoz. |
Javasoljuk, hogy a Webex SAML -összevonás beállításakor vegye fel az egyszeri kijelentkezést (SLO) a metaadat-konfigurációba. Ez a lépés kulcsfontosságú annak biztosításához, hogy a felhasználói tokenek érvénytelenítésre kerüljenek mind az identitásszolgáltatónál (IdP), mind a szolgáltatónál (SP). Ha ezt a konfigurációt nem rendszergazda végzi, a Webex figyelmezteti a felhasználókat, hogy zárják be a böngészőket, hogy érvénytelenítsék a nyitva maradt munkameneteket. |
Az SSO és a Control Hub esetében az IdP-knek meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül az IdP-ket a következő módon kell konfigurálni:
Állítsa be a NameID Format attribútumot a következőre: urn:oasis:names:tc: SAML:2.0:nameid-format:transient
Konfiguráljon egy igényt az IdP-n a telepítendő SSO típusának megfelelően:
SSO (egy szervezet esetén) – Ha egy szervezet nevében állít be SSO-t, konfigurálja az IdP-igénylést úgy, hogy tartalmazza az UID attribútum nevét egy olyan értékkel, amely a Címtárösszekötőben kiválasztott attribútumhoz vagy a Webex identitásszolgáltatásban kiválasztott attribútumnak megfelelő felhasználói attribútumhoz van hozzárendelve. (Ez az attribútum lehet például e-mail-cím vagy felhasználói alapnév.)
Partner SSO (csak szolgáltatók számára) – Ha Ön olyan szolgáltatói rendszergazda, aki beállítja a Partner SSO-t a Szolgáltató által kezelt ügyfélszervezetek általi használatra, akkor állítsa be az IdP-igénylést úgy, hogy az tartalmazza a levél attribútumot (az UID helyett). Az értéknek meg kell egyeznie a Címtárösszekötőben kiválasztott attribútummal, vagy a Webex identitásszolgáltatásban kiválasztott attribútummal megegyező felhasználói attribútummal.
Az egyéni attribútumok SSO-hoz vagy Partner SSO-hoz való hozzárendelésével kapcsolatos további információkért lásd: https://www.cisco.com/go/hybrid-services-directory.
Csak partner SSO. Az identitásszolgáltatónak több Assertion Consumer Service (ACS) URL-címet kell támogatnia. A több ACS URL identitásszolgáltatón való konfigurálására vonatkozó példákért lásd:
Használjon támogatott böngészőt: a Mozilla Firefox vagy a Google Chrome legújabb verzióját javasoljuk.
Tiltsa le az előugró ablakok blokkolását a böngészőjében.
A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem adnak teljes körű konfigurációt az összes lehetőséghez. Például a következőhöz: |
SAML-megállapodást kell kötnie a Webex felület identitásszolgáltatása és az IdP között.
A sikeres SAML-megállapodás megkötéséhez két fájlra van szükség:
Az IdP metaadatfájlja, amelyet át kell adni a Webexnek.
A Webex metaadatfájlja, amelyet át kell adni az IdP-nek.
Ez egy példa az IdP-ből származó metaadatokat tartalmazó PingFederate-metaadatfájlra.
Metaadatfájl az identitásszolgáltatásból.
A következőkre számíthat az identitásszolgáltatás metaadatfájljában.
EntityID – Az SAML-megállapodás azonosítására szolgál az IdP-konfigurációban
Nincs szükség aláírt AuthN kérésre vagy bármilyen aláírási kérelemre, megfelel annak, amit az IdP a metaadatfájlban kér.
Aláírt metaadatfájl az IdP számára, amely ellenőrzi, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.
1 | A Control Hub ügyfélnézetéből (https://admin.webex.com ), lépjen ide: , görgessen a lehetőséghez Hitelesítés és kattintson SSO aktiválása beállítást a konfigurációs varázsló elindításához. |
2 | Válassza ki Webex mint az IdP-je, és kattintson Következő . |
3 | Ellenőrizze Elolvastam és megértettem a Webex IdP működését és kattintson Következő . |
4 | Állítson be egy útválasztási szabályt. Miután hozzáadott egy útválasztási szabályt, a rendszer hozzáadja az IdP-t, és megjelenik a következő alatt: Identitásszolgáltató fülre.
További információkért lásd: SSO több IdP-vel a Webex .
|
Akár kapott értesítést egy lejáró tanúsítványról, akár a meglévő SSO-konfigurációját szeretné ellenőrizni, használhatja az Egyszeri bejelentkezés (SSO) kezelési funkciók lehetőséget a Control Hubban a tanúsítványkezeléshez és az általános SSO karbantartási tevékenységekhez.
Ha problémába ütközik az SSO-integráció során, kövesse az ebben a szakaszban található követelményeket és eljárást az IdP és a Webex közötti SAML-folyamat hibaelhárításához.
Használja az SAML nyomkövető bővítmény : Firefox , Chrome , vagy Edge .
A hibaelhárításhoz használja azt a webböngészőt, ahová az SAML nyomkövetési hibakereső eszközt telepítette, majd lépjen a Webex webes verziójához a következő címen: https://web.webex.com.
A következő az üzenetfolyam a Webex alkalmazás, a Webex-szolgáltatások, a Webex felület identitásszolgáltatás és az identitásszolgáltató (IdP) között.
1 | Lépjen ide: https://admin.webex.com, és ha az SSO engedélyezve van, az alkalmazás egy e-mail-cím megadását kéri.
Az alkalmazás elküldi az információt a Webex szolgáltatásnak, amely ellenőrzi az e-mail-címet.
|
2 | Az alkalmazás GET-kérést küld az Oauth hitelesítési kiszolgálónak egy tokenre vonatkozóan. A kérést a rendszer átirányítja az identitásszolgáltatáshoz az SSO vagy a felhasználónév és jelszó folyamathoz. A rendszer visszaküldi a hitelesítési kiszolgáló URL-címét. A GET-kérés a nyomkövetési fájlban látható. A paraméterek részben a szolgáltatás egy OAuth-kódot, a kérést küldő felhasználó e-mail-címét és egyéb OAuth-adatokat keres, mint például a kliensazonosító, átirányítási URL és hatály. |
3 | A Webex alkalmazás egy SAML HTTP POST segítségével kér SAML-igazolást az IdP-től.
Ha az SSO engedélyezve van, az identitásszolgáltatás hitelesítő motorja az SSO IdP URL-címére irányít át. A metaadatok cseréjekor megadott IdP URL. Keressen SAML POST üzenetet a nyomkövetési eszközben. Az IdPbroker által az IdP-nek küldött HTTP POST üzenet jelenik meg. A RelayState paraméter az IdP helyes válaszát mutatja. Tekintse át az SAML-kérés dekódolási verzióját, nincs engedélyezett AuthN, és a válasz célhelyének az IdP cél URL-jének kell lennie. Győződjön meg arról, hogy a nameid formátuma megfelelően van konfigurálva az IdP-ben a megfelelő entityID (SPNameQalifier) alatt Az IdP nameid formátuma az SAML-megállapodás létrehozásakor van megadva, és a megállapodás neve az SAML-megállapodás létrehozásakor van konfigurálva. |
4 | Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.
Az IdP-től és az IdP-ben konfigurált hitelesítési mechanizmusoktól függően különböző folyamatok indulnak az IdP-ből. |
5 | Az alkalmazás egy HTTP Postot küld vissza az identitásszolgáltatásnak, amely tartalmazza az IdP által biztosított és a kezdeti megállapodásban elfogadott attribútumokat.
Sikeres hitelesítés esetén az alkalmazás SAML POST üzenetben küldi el az információkat az identitásszolgáltatásnak. A RelayState megegyezik az előző HTTP POST üzenettel, ahol az alkalmazás közli az IdP-vel, hogy melyik EntityID kéri az érvényesítést. |
6 | SAML-igazolás az IdP-től a Webex felé. |
7 | Az identitásszolgáltatás engedélyezési kódot kap, amelyet egy Oauth hozzáférési és frissítési token vált fel. Ez a token az erőforrásokhoz való hozzáférésre szolgál a felhasználó nevében.
Miután az identitásszolgáltatás validálja az IdP-től kapott választ, kiállít egy OAuth-tokent, amely lehetővé teszi a Webex alkalmazás számára a különböző Webex-szolgáltatások elérését. |