Le seguenti soluzioni di gestione dell'accesso Web e federazione sono state testate per Cisco Webex con utenti Webex. I documenti collegati di seguito illustrano come integrare il provider di identità specifico (IdP) con Webex e la propria organizzazione Webex gestiti attraverso Cisco Webex Control Hub .


Se l'IdP non è elencato di seguito, utilizzare la procedura di alto livello nella scheda "Impostazione SSO registrazione" in questo articolo.

Le guide precedenti coprono SSO integrazione dei servizi Webex gestiti in Cisco Webex Control Hub (https://admin.webex.com). Se si sta cercando l'integrazione SSO per un sito Webex classico (gestito in amministrazione sito), utilizzare l'articolo Configurazione del Single Sign-On Sito di Cisco Webex Meetings versione classica.

Il Single Sign-On (SSO) consente agli utenti di accedere in sicurezza Cisco Webex mediante l'autenticazione al provider di identità comune (IdP) aziendale. Cisco Webex utilizza il servizio Cisco Webex per comunicare con il Cisco Webex piattaforma di identità. Il servizio di identità autentica con il provider di identità (IdP).

Avviare la configurazione in Cisco Webex Control Hub. In questa sezione viene descritta la procedura di alto livello generica per l'integrazione di un IdP di terze parti.

Per SSO e Cisco Webex Control Hub ,gli IdP devono essere conformi alla specifica SAML 2.0. Inoltre, gli IdP devono essere configurati come segue:

  • Impostare l'attributo NameID Format su urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurare una richiesta sull'IdP per includere il nome dell'attributo uid con un valore che viene mappato all'attributo scelto in Cisco Connettore directory o all'attributo utente corrispondente a quello scelto nel Cisco Webex servizio di identità. (Ad esempio, questo attributo può essere Indirizzi-e-mail o User-Principal-Name). Per informazioni, vedere le informazioni sull'attributo personalizzato in https://www.cisco.com/go/hybrid-services-directory .

  • Usa un browser supportato: si consiglia l'ultima versione di Mozilla Firefox o Google Chrome.

  • Disabilitare qualsiasi blocco popup nel browser.


Le guide alla configurazione mostrano un esempio specifico per l SSO integrzione ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, le operazioni di integrazione per urn:oasis:names:tc:SAML:2.0:nameid-format:transient sono documentate. Altri formati, come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzioneranno per l'integrazione SSO ma non sono presenti nell'ambito della documentazione.

È necessario stabilire un accordo SAML tra il Cisco Webex di identità della piattaforma di assistenza e il proprio IdP.

Sono necessari due file per ottenere un accordo SAML corretto.

Questo è un esempio di un file di metadati PingFederate con metadati dell'IdP.

File di metadati dell'servizio di identità.

Di seguito viene riportato ciò che si attende nel file di metadati dall'servizio di identità.

  • EntityID: viene utilizzato per identificare il contratto SAML nella configurazione IdP.

  • Non esiste alcun requisito per una richiesta di autorizzazione firmata o asserzioni di firma in base a quanto richiesto dall'IdP nel file di metadati.

  • Un file di metadati firmato per l'IdP per verificare che i metadati appartengano all'servizio di identità.

1

Dalla vista del cliente in https://admin.webex.com, andare a Impostazioni , scorrere fino ad Autenticazione e fare clic su Modifica.

2

Fare clic su Integra un provider di identità di terze parti. (Avanzate) quindi fare clic su Introduzione.

3

Fare clic su Scarica file metadati e fare clic su Avanti.

4

Cisco Webex il servizio di identità della piattaforma convalida il file di metadati dall'IdP.

Esistono due possibili modi per convalidare i metadati dall'IdP del cliente:

  • L'IdP del cliente fornisce una firma nei metadati firmati da una CA radice pubblica.

  • L'IdP del cliente fornisce una CA privata autofirmata o non fornisce una firma per i relativi metadati. Questa opzione è meno sicura.

5

Verificare la SSO connessione prima di abilitarla.

6

Se il test riesce, abilitare il Single Sign-On.

Se si verificano problemi con l'integrazione SSO, utilizzare i requisiti e la procedura in questa sezione per risolvere il problema del flusso SAML tra l'IdP e il servizio Cisco Webex.

  • Utilizzare il componente aggiuntivo di traccia SAML per Firefox o Chrome.

  • Per risolvere i problemi, utilizzare il browser Web in cui è stato installato lo strumento di debug di traccia SAML e passare alla versione Web di Cisco Webex su https://teams.webex.com.

Di seguito è riportato il flusso di messaggi tra Cisco Webex, Cisco Webex servizio, Cisco Webex il servizio di identità della piattaforma e il provider di identità (IdP).

  1. Andare a https://admin.webex.com e, con l'opzione SSO, l'app richiede un indirizzo e-mail.
  2. Il client invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità al flusso SSO nome utente e password. Viene restituito l'URL del server di autenticazione.
  3. Cisco Webex richiede un'asserzione SAML dall'IdP utilizzando un SAML HTTP POST.
  4. L'autenticazione per l'app viene eseguita tra le risorse Web del sistema operativo e l'IdP.
  5. Cisco Webex invia un HTTP Post all'servizio di identità e include gli attributi forniti dall'IdP e accettati nel contratto iniziale.
  6. Asserzione SAML da IdP a Webex.
  7. Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.
1

Andare a https://admin.webex.com e, con l'opzione SSO, l'app richiede un indirizzo e-mail.

L'app invia le informazioni al servizio di Cisco Webex e il servizio verifica l'indirizzo e-mail.

2

Il client invia una richiesta GET al server di autorizzazione OAuth per un token. La richiesta viene reindirizzata al servizio di identità al flusso SSO nome utente e password. Viene restituito l'URL del server di autenticazione.

È possibile visualizzare la richiesta GET nel file di traccia.

Nella sezione dei parametri, il servizio ricerca un codice OAuth, l'e-mail dell'utente che ha inviato la richiesta e altri dettagli OAuth come ClientID, redirectURI e Ambito.

3

Cisco Webex richiede un'asserzione SAML dall'IdP utilizzando un SAML HTTP POST.

Quando SSO accesso remoto è abilitato, il motore di autenticazione nel servizio di identità reindirizza all'URL IdP per SSO. URL IdP fornito al momento dello scambio dei metadati.

Controllare nello strumento di traccia la presenza di un messaggio SAML POST. Viene visualizzato un messaggio HTTP POST all'IdP richiesto dall'IdPbroker.

Il parametro RelayState mostra la risposta corretta dall'IdP.

Rivedere la versione decodificata della richiesta SAML, non esiste un autorizzazione obbligatoria e la destinazione della risposta deve andare all'URL di destinazione dell'IdP. Assicurarsi che il formato di nameid-format sia configurato correttamente nell'IdP in entityID corretto (SPNameQualifier)

Il formato idP nameid viene specificato e il nome del contratto configurato al momento della creazione del contratto SAML.

4

L'autenticazione per l'app viene eseguita tra le risorse Web del sistema operativo e l'IdP.

A seconda dell'IdP e dei meccanismi di autenticazione configurati nel provider di identità, vengono avviati diversi flussi dall'IdP.

5

Cisco Webex invia un HTTP Post all'servizio di identità e include gli attributi forniti dall'IdP e accettati nel contratto iniziale.

Una volta eseguita correttamente l'autenticazione, Cisco Webex invia le informazioni in un messaggio SAML POST al servizio di identità.

RelayState è uguale al messaggio HTTP POST precedente in cui l'app indica all'IdP quale EntityID sta richiedendo l'asserzione.

6

Asserzione SAML da IdP a Webex.

7

Il servizio di identità riceve un codice di autorizzazione che viene sostituito con un token di accesso e aggiornamento OAuth. Questo token viene utilizzato per accedere alle risorse per conto dell'utente.

Dopo che il servizio di identità convalida la risposta dall'IdP, emette un token OAuth che Cisco Webex l'accesso a diversi Cisco Webex servizi cloud di autenticazione.