다음 웹 액세스 관리 및 페더레이션 솔루션은 Webex 사용자가 포함된 Cisco Webex 조직에 대해 테스트되었습니다. 아래 링크된 문서는 해당하는 특정 ID 공급자(IdP)를 WebexCisco Webex Control Hub를 통해 관리되는 Webex 조직에 통합하는 방법을 안내합니다.


귀하의 IdP가 아래에 나열되지 않는 경우, 이 문서의 "SSO 설정" 탭에 있는 고급 단계를 사용하십시오.

이전 안내서는 Cisco Webex Control Hub(https://admin.webex.com)에서 관리되는 Webex 서비스에 대한 SSO 통합을 다룹니다. 기본 Webex 사이트(사이트 관리에서 관리됨)에 대한 SSO 통합을 찾고 있는 경우, 대신 Cisco Webex 사이트에 대해 싱글 사인온 구성 문서를 사용하십시오.

싱글 사인온(SSO)은 조직 공통 ID 공급자(IdP)를 인증하여 사용자가 Cisco Webex에 안전하게 로그인할 수 있게 합니다. Cisco WebexCisco Webex 서비스를 사용하여 Cisco Webex 플랫폼 아이덴티티 서비스와 통신합니다. 아이덴티티 서비스는 귀하의 ID 공급자(IdP)로 인증합니다.

Cisco Webex Control Hub에서 구성을 시작합니다. 이 섹션은 타사 IdP를 통합하기 위한 고급의 일반적인 단계를 캡처합니다.

SSO 및 Cisco Webex Control Hub에 대해 IdP는 SAML 2.0 사양을 따라야 합니다. 또한 IdP는 다음 방법으로 구성되어야 합니다.

  • NameID 형식 속성을 urn:oasis:names:tc:SAML:2.0:nameid-format:transient으로 설정하십시오.

  • IdP에 있는 클레임에 Cisco 디렉터리 커넥터에서 선택된 속성에 매핑한 값을 포함하는 uid 속성 이름이나 Cisco Webex 아이덴티티 서비스에서 선택된 값과 일치하는 사용자 속성을 포함하도록 구성합니다. (예를 들어, 이 속성은 E-mail-Addresses 또는 User-Principal-Name일 수 있음) 안내에 대해서는 https://www.cisco.com/go/hybrid-services-directory에서 사용자 정의 속성 정보를 참조하십시오.

  • 다음 지원되는 브라우저를 사용합니다. 최신 버전의 Mozilla Firefox 또는 Google Chrome을 권장합니다.

  • 브라우저에서 팝업 차단기를 비활성화합니다.


구성 안내서는 SSO 통합에 대한 특정 예제를 안내하지만, 모든 가능성에 대한 각각의 구성은 제공하지 않습니다. 예를 들어, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient에 대한 통합 단계는 문서화되었습니다. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 또는 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 등 다른 형식도 SSO 통합에 대해 작동하지만, 문서 범위에는 속하지 않습니다.

Cisco Webex 플랫폼 아이덴티티 서비스 및 IdP 간의 SAML 계약서를 설정해야 합니다.

성공적인 SAML 계약서를 위해 두 개의 파일이 필요합니다.

이는 IdP로부터의 메타데이터가 포함된 PingFederate 메타데이터 파일의 예제입니다.

아이덴티티 서비스의 메타데이터 파일.

다음은 아이덴티티 서비스의 메타데이터 파일에서 확인할 수 있는 내용입니다.

  • EntityID—이는 IdP 구성에서 SAML 계약서를 식별하기 위해 사용됩니다.

  • 서명된 AuthN 요청 또는 서명 어설션에 대한 요구 사항은 없으며, 이는 메타데이터 파일에 있는 IdP 요청 내용에 부합합니다.

  • 해당 IdP에 대해 서명된 메타데이터 파일은 메타데이터가 아이덴티티 서비스에 속해 있는지 확인합니다.

1

https://admin.webex.com의 고객 보기에서 설정으로 이동하고 인증으로 스크롤한 후 수정을 클릭합니다.

2

제3자 ID 공급자 통합을 클릭합니다. (고급), 시작하기를 클릭합니다.

3

메타데이터 파일 다운로드를 클릭하고 다음을 클릭합니다.

4

Cisco Webex 플랫폼 아이덴티티 서비스는 IdP에서 메타데이터 파일의 유효성을 검증합니다.

고객 IdP의 메타데이터의 유효성은 다음 두 가지 방법으로 검증할 수 있습니다.

  • 고객 IdP가 메타데이터에 공용 루트 CA에서 서명한 서명을 제공합니다.

  • 고객 IdP가 셀프 서명한 비공개 CA를 제공하거나, 자체 메타데이터에 대한 서명을 제공하지 않습니다. 이 옵션은 덜 안전합니다.

5

활성화하기 전에 SSO 연결을 테스트하십시오.

6

테스트가 성공적이면 싱글 사인온을 활성화합니다.

SSO 통합과 관련된 문제가 발생하는 경우, 이 섹션에 있는 요구 사항 및 절차를 사용하여 IdP 및 Cisco Webex 서비스 간의 SAML 흐름 문제를 해결하십시오.

  • Firefox 또는 Chrome에 대해 SAML 추적 추가 기능을 사용합니다.

  • 문제를 해결하려면 SAML 추적 디버그 도구를 설치한 웹 브라우저를 사용하고 https://teams.webex.com에 위치한 Cisco Webex의 웹 버전으로 이동합니다.

다음은 Cisco Webex, Cisco Webex 서비스, Cisco Webex 플랫폼 아이덴티티 서비스 및 ID 공급자(IdP) 간의 메시지에 대한 흐름입니다.

  1. SSO가 활성화된 https://admin.webex.com(으)로 이동하면 앱에서 이메일 주소를 입력하도록 안내합니다.
  2. 클라이언트는 토큰을 얻기 위해 GET 요청을 OAuth 인증 서버로 보냅니다. 요청은 아이덴티티 서비스에서 SSO 또는 사용자이름 및 비밀번호 흐름으로 리디렉트됩니다. 인증 서버에 대한 URL이 반환됩니다.
  3. Cisco Webex는 SAML HTTP POST를 사용하여 IdP로부터 SAML 어설션을 요청합니다.
  4. 앱에 대한 인증은 운영 체제 웹 리소스와 IdP 간에 발생합니다.
  5. Cisco Webex는 HTTP Post를 다시 아이덴티티 서비스로 보내고 IdP에서 제공한 속성을 포함한 후 초기 계약서에 동의합니다.
  6. IdP에서 Webex로 SAML 어설션.
  7. 아이덴티티 서비스는 OAuth 액세스 및 새로운 토큰으로 교체된 인증 코드를 수신합니다. 이 토큰은 사용자를 대신하여 리소스에 액세스하기 위해 사용됩니다.
1

SSO가 활성화된 https://admin.webex.com(으)로 이동하면 앱에서 이메일 주소를 입력하도록 안내합니다.

앱은 Cisco Webex 서비스로 정보를 보내고, 서비스는 이메일 주소를 확인합니다.

2

클라이언트는 토큰을 얻기 위해 GET 요청을 OAuth 인증 서버로 보냅니다. 요청은 아이덴티티 서비스에서 SSO 또는 사용자이름 및 비밀번호 흐름으로 리디렉트됩니다. 인증 서버에 대한 URL이 반환됩니다.

추적 파일에서 GET 요청을 확인할 수 있습니다.

파라미터 섹션에서 서비스는 OAuth 코드, 요청을 발송한 사용자의 이메일 및 ClientID, redirectURI 및 Scope과 같은 기타 OAuth 세부 사항을 찾습니다.

3

Cisco Webex는 SAML HTTP POST를 사용하여 IdP로부터 SAML 어설션을 요청합니다.

SSO가 활성화되면 아이덴티티 서비스에 있는 인증 엔진은 SSO에 대해 IdP URL로 리디렉트합니다. 메타데이터가 교환될 때 IdP URL이 제공됩니다.

SAML POST 메시지에 대해 추적 도구를 확인합니다. IdPbroker가 요청한 IdP에 HTTP POST 메시지가 나타납니다.

RelayState 파라미터는 IdP로부터의 올바른 회신을 표시합니다.

SAML 요청의 디코드 버전을 확인합니다. IdP의 대상 URL로 이동해야 하는 필수 AuthN 및 응답의 대상은 없습니다. IdP에서 올바른 entityID(SPNameQualifier) 아래에 nameid-format이 올바르게 구성되었는지 확인합니다.

SAML 계약서가 생성될 때 IdP nameid-format이 지정되고, 계약서의 이름이 구성됩니다.

4

앱에 대한 인증은 운영 체제 웹 리소스와 IdP 간에 발생합니다.

귀하의 IdP 및 IdP에 구성된 인증 메커니즘에 따라 다른 흐름이 IdP에서 시작됩니다.

5

Cisco Webex는 HTTP Post를 다시 아이덴티티 서비스로 보내고 IdP에서 제공한 속성을 포함한 후 초기 계약서에 동의합니다.

인증이 성공되면 Cisco Webex는 SAML POST 메시지에 있는 정보를 아이덴티티 서비스로 보냅니다.

RelayState는 이전의 HTTP POST 메시지와 동일하며, 여기에서 앱은 IdP에게 어떤 EntityID에서 어설션을 요청하고 있는지 알립니다.

6

IdP에서 Webex로 SAML 어설션.

7

아이덴티티 서비스는 OAuth 액세스 및 새로운 토큰으로 교체된 인증 코드를 수신합니다. 이 토큰은 사용자를 대신하여 리소스에 액세스하기 위해 사용됩니다.

아이덴티티 서비스는 IdP의 응답에 대한 유효성을 검증한 후 Cisco Webex가 다른 Cisco Webex 클라우드 서비스에 액세스할 수 있게 허용하는 OAuth 토큰을 발행합니다.