Le seguenti soluzioni di gestione dell'accesso Web e federazione sono state testate per le organizzazioni Webex. I documenti collegati di seguito illustrano come integrare lo specifico provider di identità (IdP) con la propria organizzazione Webex.


Queste guide coprono SSO'integrazione dei servizi Webex gestiti in Control Hub (https://admin.webex.com). Se si sta cercando l'integrazione SSO di un sito Webex Meetings (gestito in amministrazione sito), leggere Configurazione del Single Sign-On per Sito di Cisco Webex Meetings.

Se l'IdP non è elencato di seguito, seguire la procedura di alto livello nella scheda Impostazione SSO utente in questo articolo.

Il Single Sign-On (SSO) consente agli utenti di accedere in sicurezza a Webex mediante l'autenticazione al provider di identità comune (IdP) delle organizzazioni. L'app Webex utilizza le servizio Webex per comunicare con il servizio di identità della piattaforma Webex. Il servizio di identità autentica con il provider di identità (IdP).

La configurazione viene avviata in Control Hub. In questa sezione vengono acquisite le operazioni generiche di alto livello per l'integrazione di un IdP di terze parti.

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati come segue:

  • Imposta l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurare una richiesta sull'IdP in base al tipo di richiesta SSO si sta distribuendo:

    • SSO (per un'organizzazione): se si sta configurando SSO per conto di un'organizzazione, configurare la richiesta IdP in modo che includa il nome dell'attributo uid con un valore associato all'attributo scelto nel Connettore directory o l'attributo utente corrispondente a quello scelto nel servizio di identità Webex. (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente).

    • Partner SSO (solo per provider di servizi): se si è un amministratore di provider di servizi che sta configurando il SSO partner per essere utilizzato dalle organizzazioni dei clienti gestite dal provider di servizi, configurare la richiesta IdP in modo che includa l'attributo e-mail (anziché uid). Il valore deve mappare all'attributo scelto nel Connettore directory o all'attributo utente corrispondente a quello scelto nel servizio di identità Webex.


    Per ulteriori informazioni sull'associazione degli attributi personalizzati per SSO o per gli attributi SSO partner, vedere https://www.cisco.com/go/hybrid-services-directory.

  • Solo SSO partner. Il provider di identità deve supportare più SERVIZIO CONSUMER DI ASSERZIONE (ACS). Per esempi di configurazione di più URL ACS su un provider di identità, vedere:

  • Usa un browser supportato: si consiglia l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitare qualsiasi blocco popup nel browser.


Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, viene documentata la procedura di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sono validi per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

È necessario stabilire un accordo SAML tra il servizio di identità della piattaforma Webex e il proprio IdP.

Sono necessari due file per ottenere un accordo SAML corretto:

  • Un file di metadati dall'IdP, da fornire a Webex.

  • Un file di metadati da Webex, da fornire all'IdP.

Questo è un esempio di un file di metadati PingFederate con metadati dell'IdP.

File di metadati dell'servizio di identità.

Di seguito viene riportato ciò che si attende nel file di metadati dall'servizio di identità.

  • EntityID: viene utilizzato per identificare il contratto SAML nella configurazione IdP.

  • Non esiste alcun requisito per una richiesta di autorizzazione firmata o asserzioni di firma in base a quanto richiesto dall'IdP nel file di metadati.

  • Un file di metadati firmato per l'IdP per verificare che i metadati appartengano all'servizio di identità.

1

Dalla vista del cliente in Control Hub ( ), andare a Gestione > Organizzazione , scorrere fino ad Autenticazione e attivare l'impostazionehttps://admin.webex.com Single Sign-On per avviare la procedura di configurazione guidata.

2

Scegliere il tipo di certificato:

  • Autofirmato diCisco: si consiglia di scegliere questa opzione per consentirci di diventare SP. Inoltre, è necessario rinnovare il certificato ogni cinque anni.
  • Firmata da un'autorità di certificazione pubblica: questa opzione è sicura e consigliabile se i certificati vengono firmati da una CA pubblica, ad esempioHydrant o Godaddy. Tuttavia, è necessario rinnovare il certificato una volta all'anno.
3

Fare clic su Download metadata (Scarica metadati) e fare clic su Next(Avanti).

4

Il servizio di identità della piattaforma Webex convalida il file di metadati dall'IdP.

Esistono due possibili modi per convalidare i metadati dall'IdP del cliente:

  • L'IdP del cliente fornisce una firma nei metadati firmati da una CA radice pubblica.

  • L'IdP del cliente fornisce una CA privata autofirmata o non fornisce una firma per i relativi metadati. Questa opzione è meno sicura.

5

Testare la SSO connessione prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita l SSO nell'operazione successiva.


 

Per visualizzare direttamente SSO'accesso, è possibile fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, è possibile accedere direttamente SSO. Ciò consente di rimuovere eventuali informazioni memorizzate nella cache del browser Web in grado di fornire un falso risultato positivo durante il test della SSO configurazione.

6

Se il test ha esito positivo, disattivare SSO e salvare le modifiche.

Salvare le modifiche per SSO nell'organizzazione.

Se si verificano problemi con l'integrazione SSO, utilizzare i requisiti e la procedura in questa sezione per risolvere il flusso SAML tra IdP e Webex.

  • Utilizzare il componente aggiuntivo di traccia SAML per Firefox o Chrome.

  • Per risolvere i problemi, utilizzare il browser Web in cui è stato installato lo strumento di debug di traccia SAML e passare alla versione Web di Webex su https://web.webex.com.

Di seguito è riportato il flusso di messaggi tra l'app Webex, i servizi Webex, il servizio di identità della piattaforma Webex e il provider di identità (IdP).

  1. Andare a https://admin.webex.com e, con l'opzione SSO, l'app richiede un indirizzo e-mail.
  2. L'app invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità al flusso SSO nome utente e password. Viene restituito l'URL del server di autenticazione.
  3. L'app Webex richiede un'asserzione SAML dall'IdP utilizzando un SAML HTTP POST.
  4. L'autenticazione per l'app viene eseguita tra le risorse Web del sistema operativo e l'IdP.
  5. L'app invia un HTTP Post all'servizio di identità e include gli attributi forniti dall'IdP e accettato nel contratto iniziale.
  6. Asserzione SAML da IdP a Webex.
  7. Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.
1

Andare a https://admin.webex.com e, con l'opzione SSO, l'app richiede un indirizzo e-mail.

L'app invia le informazioni al server servizio Webex che verifica l'indirizzo e-mail.

2

L'app invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità al flusso SSO nome utente e password. Viene restituito l'URL del server di autenticazione.

La richiesta GET viene visualizzata nel file di traccia.

Nella sezione dei parametri, il servizio ricerca un codice OAuth, l'e-mail dell'utente che ha inviato la richiesta e altri dettagli OAuth come ClientID, redirectURI e Ambito.

3

L'app Webex richiede un'asserzione SAML dall'IdP utilizzando un SAML HTTP POST.

Quando SSO autenticazione è abilitata, il motore di autenticazione nel servizio di identità reindirizza all'URL IdP per SSO. URL IdP fornito al momento dello scambio dei metadati.

Controllare nello strumento di traccia la presenza di un messaggio SAML POST. Viene visualizzato un messaggio HTTP POST all'IdP richiesto dall'IdPbroker.

Il parametro RelayState mostra la risposta corretta dall'IdP.

Rivedere la versione decodificata della richiesta SAML, non esiste un autorizzazione obbligatoria e la destinazione della risposta deve andare all'URL di destinazione dell'IdP. Assicurarsi che il formato di nameid-format sia configurato correttamente nell'IdP in entityID corretto (SPNameQualifier)

Il formato idP nameid viene specificato e il nome del contratto viene configurato al momento della creazione del contratto SAML.

4

L'autenticazione per l'app viene eseguita tra le risorse Web del sistema operativo e l'IdP.

A seconda dell'IdP e dei meccanismi di autenticazione configurati nel provider di identità, vengono avviati diversi flussi dall'IdP.

5

L'app invia un HTTP Post all'servizio di identità e include gli attributi forniti dall'IdP e accettato nel contratto iniziale.

Una volta eseguita correttamente l'autenticazione, l'app invia le informazioni in un messaggio SAML POST al servizio di identità.

RelayState è uguale al messaggio HTTP POST precedente in cui l'app indica all'IdP quale EntityID sta richiedendo l'asserzione.

6

Asserzione SAML da IdP a Webex.

7

Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.

Una volta servizio di identità convalida la risposta dall'IdP, emette un token OAuth che consente all'app Webex di accedere ai diversi servizi Webex.