Se hai un tuo provider identità (IdP) nell'organizzazione, puoi integrare il provider di identità SAML con la tua organizzazione in Control Hub per il Single-Sign-On (SSO). SSO consente agli utenti di utilizzare un unico set di credenziali in comune per le applicazioni dell'App Webex e altre applicazioni all'interno della tua organizzazione.
Le seguenti soluzioni di gestione e federazione per l'accesso Web sono state testate per le organizzazioni Webex. I documenti collegati di seguito illustrano come integrare uno specifico provider di identità (IdP) con la tua organizzazione Webex.
Queste guide descrivono l'integrazione SSO per i servizi Webex gestiti in Control Hub ( https://admin.webex.com). Se stai cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), leggi Configurazione del Single Sign-On per Amministrazione Webex. Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex. |
Se il tuo IdP non è elencato di seguito, segui i passaggi di alto livello nella scheda Impostazione SSO in questo articolo.
Il Single Sign-On (SSO) consente agli utenti di accedere a Webex in modo sicuro eseguendo l'autenticazione nel provider di identità comune (IdP) della tua organizzazione. L'App Webex utilizza il servizio Webex per comunicare con il servizio di identità della piattaforma Webex. Il servizio di identità esegue l'autenticazione con il provider identità (IdP).
Devi quindi iniziare la configurazione in Control Hub. Questa sezione contiene i passaggi generici di alto livello per l'integrazione di un IdP di terze parti.
Quando configuri SSO con il tuo IdP, puoi mappare qualsiasi attributo a uid. Ad es. puoi mappare l'userPrincipalName, un alias e-mail, un indirizzo e-mail alternativo o qualsiasi altro attributo appropriato a uid. L'IdP deve corrispondere a uno degli indirizzi e-mail dell'utente a uid quando effettua l'accesso. Webex supporta il mapping fino a 5 indirizzi e-mail a uid. |
Si consiglia di includere la disconnessione singola (SLO) nella configurazione dei metadati durante l'impostazione della federazione SAML Webex. Questo passaggio è fondamentale per garantire che i token utente siano invalidati sia presso il provider di identità (IdP) che presso il provider di servizi (SP). Se questa configurazione non viene eseguita da un amministratore, Webex avvisa gli utenti di chiudere i browser per invalidare le sessioni rimaste aperte. |
Per SSO e Control Hub, gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati nel modo seguente:
Impostare l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Configurazione di una richiesta sull'IdP in base al tipo di SSO che stai distribuendo:
SSO (per un'organizzazione): se stai configurando SSO per conto di un'organizzazione, configura la richiesta IdP per includere il nome attributo uid con un valore mappato per l'attributo scelto in Directory Connector o l'attributo utente corrispondente a quello scelto nel servizio di identità Webex (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente).
SSO partner (solo per provider di servizi): se sei l'amministratore del provider di servizi che sta configurando SSO partner che verrà utilizzato dalle organizzazioni di clienti gestite dal provider di servizi, configura la richiesta IdP per includere l'attributo posta (invece di uid). Il valore deve effettuare il mapping per l'attributo scelto in Directory Connector o per l'attributo utente corrispondente a quello scelto nel servizio di identità Webex.
Per ulteriori informazioni sul mapping degli attributi personalizzati per SSO o SSO partner, vedi https://www.cisco.com/go/hybrid-services-directory.
Solo SSO partner. Il provider di identità deve supportare vari URL del servizio Assertion Consumer Service (ACS). Per esempi su come configurare vari URL del servizio ACS su un provider di identità, vedi:
Utilizzo di un browser supportato: raccomandiamo l'ultima versione di Mozilla Firefox o Google Chrome.
Disabilitazione di eventuali blocchi popup nel browser.
Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad es. vengono documentate le fasi di integrazione per |
Devi stipulare un contratto SAML tra il servizio di identità della piattaforma Webex e il tuo IdP.
Per stipulare correttamente un contratto SAML sono necessari due file:
Un file di metadati dall'IdP, da fornire a Webex.
Un file di metadati da Webex, da fornire all'IdP.
Questo è un esempio di file di metadati PingFederate con i metadati dell'IdP.
File di metadati dal servizio di identità.
Ecco quello che potrai vedere nel file di metadati dal servizio di identità.
EntityID: viene utilizzata per identificare il contratto SAML nella configurazione IdP
Non è necessaria una richiesta AuthN firmata o eventuali asserzioni firmate; è conforme a ciò che l'IdP richiede nel file di metadati.
Un file di metadati firmato per l'IdP per verificare che i metadati appartengano al servizio di identità.
1 | Dalla vista cliente in Control Hub ( https://admin.webex.com), vai a , scorrere fino ad Autenticazione e fare clic su Attiva impostazione SSO per avviare la procedura guidata di configurazione. |
2 | Seleziona Webex come IdP e fai clic su Avanti. |
3 | Verifica di aver letto e compreso il funzionamento di Webex IdP e fai clic su Avanti. |
4 | Impostare una regola di indirizzamento. Una volta aggiunta una regola di indirizzamento, l'IdP viene aggiunto e visualizzato nella scheda Provider identità.
Per ulteriori informazioni, fai riferimento alla funzionalità SSO con più IdP in Webex.
|
Se hai ricevuto un avviso su un certificato in scadenza o se desideri controllare la configurazione SSO esistente, puoi utilizzare le Funzioni di gestione Single Sign-On (SSO) in Control Hub per le attività di gestione dei certificati e di manutenzione SSO generale.
Se dovessi riscontrare problemi con l'integrazione SSO, utilizza i requisiti e la procedura in questa sezione per risolvere i problemi del flusso SAML tra il tuo IdP e Webex.
Utilizzare il componente aggiuntivo SAML Tracer per Firefox, Chrome o Edge.
Per risolvere i problemi, utilizza il browser Web in cui è installato lo strumento di debug della traccia SAML e vai alla versione Web di Webex all'indirizzo https://web.webex.com.
Di seguito è riportato il flusso di messaggi tra l'App Webex, i servizi Webex, il servizio di identità della piattaforma Webex e il provider di identità (IdP).
1 | Vai a https://admin.webex.com e, con SSO abilitato, l'app richiede un indirizzo e-mail.
L'app invia le informazioni al servizio Webex che verifica l' indirizzo e-mail.
|
2 | L'app invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità per il flusso SSO o nome utente e password. Viene restituito l'URL per il server di autenticazione. Puoi visualizzare la richiesta GET nel file della traccia. Nella sezione parametri il servizio cerca un codice OAuth, l'e-mail dell'utente che ha inviato la richiesta e altri dettagli OAuth, ad es. ClientID, redirectURI e Scope. |
3 | L'App Webex richiede un'asserzione SAML dall'IdP usando un POST HTTP SAML.
Quando SSO è abilitato, il motore di autenticazione nel servizio di identità reindirizza l'URL IdP per SSO. L'URL IdP è stato fornito durante lo scambio dei metadati. Accedi allo strumento di tracciamento per individuare un messaggio POST SAML. Puoi visualizzare un messaggio POST HTTP per l'IdP richiesto dall'IdPbroker. Il parametro RelayState mostra la risposta corretta dall'IdP. Rivedi la versione di decodifica della richiesta SAML; non è presente alcun mandato di AuthN e la destinazione della risposta deve essere l'URL di destinazione dell'IdP. Assicurati che il formato nameid sia configurato correttamente nell'IdP con l'entityID corretto (SPNameQualifier) Viene specificato il formato nameid IdP e il nome del contratto viene configurato al momento della creazione del contratto SAML. |
4 | L'autenticazione per l'app avviene tra le risorse Web del sistema operativo e il provider di identità.
A seconda dell'IdP e dei meccanismi di autenticazione configurati nell'IdP, l'IdP avvia flussi differenti. |
5 | L'app reinvia un POST HTTP al servizio di identità e include gli attributi forniti dall'IdP e concordati nel contratto iniziale.
Quando l'autenticazione ha esito positivo, l'app invia le informazioni in un messaggio POST SAML al servizio di identità. Il valore RelayState è uguale al messaggio POST HTTP precedente in cui l'app indica all'IdP quale EntityID sta richiedendo l'asserzione. |
6 | Asserzione SAML da IdP a Webex. |
7 | Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.
Dopo che il servizio di identità convalida la risposta dell'IdP, emette un token OAuth che consente all'App Webex di accedere ai diversi servizi Webex. |