Le seguenti soluzioni di gestione e federazione per l'accesso Web sono state testate per le organizzazioni Webex. I documenti collegati di seguito illustrano come integrare uno specifico provider di identità (IdP) con la tua organizzazione Webex.


 

Queste guide descrivono l'integrazione SSO per i servizi Webex gestiti in Control Hub ( https://admin.webex.com). Se stai cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), leggi Configurazione del Single Sign-On per Amministrazione Webex.

Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.

Se il tuo IdP non è elencato di seguito, segui i passaggi di alto livello nella scheda Impostazione SSO in questo articolo.

Il Single Sign-On (SSO) consente agli utenti di accedere a Webex in modo sicuro eseguendo l'autenticazione nel provider di identità comune (IdP) della tua organizzazione. L'App Webex utilizza il servizio Webex per comunicare con il servizio di identità della piattaforma Webex. Il servizio di identità esegue l'autenticazione con il provider identità (IdP).

Devi quindi iniziare la configurazione in Control Hub. Questa sezione contiene i passaggi generici di alto livello per l'integrazione di un IdP di terze parti.


 
Quando configuri SSO con il tuo IdP, puoi mappare qualsiasi attributo a uid. Ad es. puoi mappare l'userPrincipalName, un alias e-mail, un indirizzo e-mail alternativo o qualsiasi altro attributo appropriato a uid. L'IdP deve corrispondere a uno degli indirizzi e-mail dell'utente a uid quando effettua l'accesso. Webex supporta il mapping fino a 5 indirizzi e-mail a uid.

Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:

  • Impostare l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurazione di una richiesta sull'IdP in base al tipo di SSO che stai distribuendo:

    • SSO (per un'organizzazione): se stai configurando SSO per conto di un'organizzazione, configura la richiesta IdP per includere il nome attributo uid con un valore mappato per l'attributo scelto in Directory Connector o l'attributo utente corrispondente a quello scelto nel servizio di identità Webex (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente).

    • SSO partner (solo per provider di servizi): se sei l'amministratore del provider di servizi che sta configurando SSO partner che verrà utilizzato dalle organizzazioni di clienti gestite dal provider di servizi, configura la richiesta IdP per includere l'attributo posta (invece di uid). Il valore deve effettuare il mapping per l'attributo scelto in Directory Connector o per l'attributo utente corrispondente a quello scelto nel servizio di identità Webex.


     

    Per ulteriori informazioni sul mapping degli attributi personalizzati per SSO o SSO partner, vedi https://www.cisco.com/go/hybrid-services-directory.

  • Solo SSO partner. Il provider di identità deve supportare vari URL del servizio Assertion Consumer Service (ACS). Per esempi su come configurare vari URL del servizio ACS su un provider di identità, vedi:

  • Utilizzo di un browser supportato: raccomandiamo l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitazione di eventuali blocchi popup nel browser.


 

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad es. vengono documentate le fasi di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzioneranno per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Devi stipulare un contratto SAML tra il servizio di identità della piattaforma Webex e il tuo IdP.

Per stipulare correttamente un contratto SAML sono necessari due file:

  • Un file di metadati dall'IdP, da fornire a Webex.

  • Un file di metadati da Webex, da fornire all'IdP.

Questo è un esempio di file di metadati PingFederate con i metadati dell'IdP.

File di metadati dal servizio di identità.

Ecco quello che potrai vedere nel file di metadati dal servizio di identità.

  • EntityID: viene utilizzata per identificare il contratto SAML nella configurazione IdP

  • Non è necessaria una richiesta AuthN firmata o eventuali asserzioni firmate; è conforme a ciò che l'IdP richiede nel file di metadati.

  • Un file di metadati firmato per l'IdP per verificare che i metadati appartengano al servizio di identità.

1

Dalla vista cliente in Control Hub ( https://admin.webex.com), vai a Management > Impostazioni organizzazione, scorrere fino ad Autenticazione e fare clic su Attiva impostazione SSO per avviare la procedura guidata di configurazione.

2

Selezionare Webex come IdP e fare clic Avanti .

3

Controllare Ho letto e compreso come funziona Webex IdP e fare clic Avanti .

4

Impostare una regola di inoltro.

Una volta aggiunta una regola di instradamento, il tuo IdP viene aggiunto e visualizzato sotto il file Provider di identità scheda.
Per ulteriori informazioni, fai riferimento alla funzionalità SSO con più IdP in Webex.

Se hai ricevuto un avviso su un certificato in scadenza o se desideri controllare la configurazione SSO esistente, puoi utilizzare le Funzioni di gestione Single Sign-On (SSO) in Control Hub per le attività di gestione dei certificati e di manutenzione SSO generale.

Se dovessi riscontrare problemi con l'integrazione SSO, utilizza i requisiti e la procedura in questa sezione per risolvere i problemi del flusso SAML tra il tuo IdP e Webex.

  • Utilizza il componente aggiuntivo per la traccia SAML per Firefox o Chrome.

  • Per risolvere i problemi, utilizza il browser Web in cui è installato lo strumento di debug della traccia SAML e vai alla versione Web di Webex all'indirizzo https://web.webex.com.

Di seguito è riportato il flusso di messaggi tra l'App Webex, i servizi Webex, il servizio di identità della piattaforma Webex e il provider di identità (IdP).

1

Vai a https://admin.webex.com e, con SSO abilitato, l'app richiede un indirizzo e-mail.

L'app invia le informazioni al servizio Webex che verifica l' indirizzo e-mail.

2

L'app invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità per il flusso SSO o nome utente e password. Viene restituito l'URL per il server di autenticazione.

Puoi visualizzare la richiesta GET nel file della traccia.

Nella sezione parametri il servizio cerca un codice OAuth, l'e-mail dell'utente che ha inviato la richiesta e altri dettagli OAuth, ad es. ClientID, redirectURI e Scope.

3

L'App Webex richiede un'asserzione SAML dall'IdP usando un POST HTTP SAML.

Quando SSO è abilitato, il motore di autenticazione nel servizio di identità reindirizza l'URL IdP per SSO. L'URL IdP è stato fornito durante lo scambio dei metadati.

Accedi allo strumento di tracciamento per individuare un messaggio POST SAML. Puoi visualizzare un messaggio POST HTTP per l'IdP richiesto dall'IdPbroker.

Il parametro RelayState mostra la risposta corretta dall'IdP.

Rivedi la versione di decodifica della richiesta SAML; non è presente alcun mandato di AuthN e la destinazione della risposta deve essere l'URL di destinazione dell'IdP. Assicurati che il formato nameid sia configurato correttamente nell'IdP con l'entityID corretto (SPNameQualifier)

Viene specificato il formato nameid IdP e il nome del contratto viene configurato al momento della creazione del contratto SAML.

4

L'autenticazione per l'app avviene tra le risorse Web del sistema operativo e il provider di identità.

A seconda dell'IdP e dei meccanismi di autenticazione configurati nell'IdP, l'IdP avvia flussi differenti.

5

L'app reinvia un POST HTTP al servizio di identità e include gli attributi forniti dall'IdP e concordati nel contratto iniziale.

Quando l'autenticazione ha esito positivo, l'app invia le informazioni in un messaggio POST SAML al servizio di identità.

Il valore RelayState è uguale al messaggio POST HTTP precedente in cui l'app indica all'IdP quale EntityID sta richiedendo l'asserzione.

6

Asserzione SAML da IdP a Webex.

7

Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.

Dopo che il servizio di identità convalida la risposta dell'IdP, emette un token OAuth che consente all'App Webex di accedere ai diversi servizi Webex.