De volgende webtoegangs- en federatieoplossingen zijn getest voor Webex-organisaties. In de onderstaande documenten wordt weergegeven hoe u die specifieke identiteitsprovider (IdP) kunt integreren met uw Webex-organisatie.


Deze handleidingen behandelen SSO integratie voor Webex-services die worden beheerd in Control Hub (https://admin.webex.com). Als u op zoek bent naar SSO-integratie van een Webex Meetings-site (beheerd in Sitebeheer), leest u Een eenmalig aanmelden configureren voor gebruikers Cisco Webex Meetings-site.

Als uw IdP hieronder niet wordt weergegeven, volgt u de stappen op hoog niveau in het SSO Instellingen in dit artikel.

Met single sign-on (SSO) kunnen gebruikers zich veilig aanmelden bij Webex door te verifiëren bij uw organisatie met een gemeenschappelijke identiteitsprovider (IdP). De Webex-app gebruikt de webex-service om te communiceren met de identiteitsservice van het Webex-platform. De identiteitsservice is geverifieerd bij uw identiteitsprovider (IdP).

U start de configuratie in Control Hub. In dit gedeelte worden algemene stappen op hoog niveau voor het integreren van een IdP van derden vastleggen.

Voor SSO control hubmoeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manieren worden geconfigureerd:

  • Stel het kenmerk NameID-indeling in op urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configureer een claim op de IdP op basis van het type SSO dat u implementeert:

    • SSO (voor een organisatie) - Als u SSO configureert voor een organisatie, configureert u de IdP-claim om de UID-kenmerknaam op te nemen met een waarde die is gemapt aan het kenmerk dat is gekozen in de Directoryconnector of het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de Webex-identiteitsservice. (Dit kenmerk kan bijvoorbeeld E-mail-Addresses of User-Principal-Name zijn.)

    • Partneraccount SSO (alleen voor serviceproviders) - Als u een serviceprovider-beheerder bent die partner SSO configureert, zodat deze wordt gebruikt door de klantorganisaties die de serviceprovider beheert, configureert u de IdP-claim om het mailkenmerk op te nemen (in plaats van de uid). De waarde moet worden toemapen aan het kenmerk dat is gekozen in de Directoryconnector of het gebruikerskenmerk dat overeenkomt met het gebruikerskenmerk dat is gekozen in de Webex-identiteitsservice.


    Zie voor meer informatie over het toewijzen van aangepaste kenmerken SSO partner SSO https://www.cisco.com/go/hybrid-services-directorytoewijzing.

  • Alleen SSO partner. De identiteitsprovider moet meerdere ACS Assertieverbruiksservice ondersteunen. Voor voorbeelden van het configureren van meerdere ACS-URL's identiteitsprovider een systeem, zie:

  • Gebruik een ondersteunde browser: raden we de nieuwste versie van Mozilla Firefox of Google Chrome aan.

  • Schakel alle pop-upblokkeringen in uw browser uit.


De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.

U moet een SAML-overeenkomst tot stand krijgen tussen de identiteitsservice van het Webex-platform en uw IdP.

U hebt twee bestanden nodig om een succesvolle SAML-overeenkomst te bereiken:

  • Een metadatabestand van de IdP dat u aan Webex wiltgeven.

  • Een metadatabestand van Webex, om aan de IdP te geven.

Dit is een voorbeeld van een PingFederate-metagegevensbestand met metagegevens van de IdP.

Metagegevensbestand van de identiteitsservice.

Het volgende is wat u verwacht te zien in het metadatabestand van de identiteitsservice.

  • EntityID: dit wordt gebruikt om de SAML-overeenkomst te identificeren in de IdP-configuratie

  • Er is geen vereiste voor een ondertekend AuthN-verzoek of ondertekende bevestigingen. Deze vereist wel wat de IdP-aanvragen in het metagegevensbestand zijn.

  • Een bestand met ondertekende metagegevens voor de IdP om te verifiëren dat de metagegevens bij het bestand identiteitsservice.

1

Ga vanuit de klantweergave in Control Hub ( ) naar Beheerhttps://admin.webex.com>-organisatie-instellingen, blader naar Verificatie en schakel in de instelling Voor eenmalig aanmelden in om de configuratiewizard te starten.

2

Kies het certificaattype:

  • Zelf-ondertekend door Cisco: we raden u aan dezeoptie te kiezen zodat wij de SP worden. Ook hoeft u het certificaat slechts elke vijf jaar te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie: deze optie is veilig en is aan te raden als u uw certificaten hebt getekend bij een openbare certificeringsinstantie, zoals Hydrant ofGodaddy. U moet het certificaat echter eenmaal per jaar vernieuwen.
3

Klik op Metagegevens downloaden en klik op Volgende .

4

De service Identiteitsservice van het Webex-platform valideert het metagegevensbestand van de IdP.

Er zijn twee mogelijke manieren om de metagegevens van de klant-idp te valideren:

  • De IdP van de klant levert een handtekening in de metagegevens die is ondertekend door een openbare hoofd-CA.

  • De id-service van de klant levert een zelf-ondertekende privé-CA of biedt geen handtekening voor de metagegevens. Deze optie is minder veilig.

5

Test de SSO voordat u deze inschakelen. Deze stap werkt als een dry run en is niet van invloed op de instellingen van uw organisatie totdat u de SSO in de volgende stap inschakelen.


 

Als u de SSO aanmeldingservaring wilt zien, kunt u ook vanaf dit scherm op URL naar klembord kopiëren klikken en in een privébrowservenster plakken. Vanuit hier kunt u het aanmelden met een SSO. Hiermee kunt u gegevens verwijderen die in de cache van uw webbrowser zijn opgeslagen en die kunnen leiden tot onwaar positief resultaat tijdens het testen van SSO configuratie.

6

Als de test slaagt, schakel deze dan SSO en sla de wijzigingen op.

U moet wijzigingen opslaan om de SSO van kracht te laten worden in uw organisatie.

Of u nu een melding over een verlopen certificaat hebt ontvangen of uw bestaande SSO-configuratie wilt controleren, u kunt de SSO-beheerfuncties (Single Sign-On) in Control Hub gebruiken voor certificaatbeheer en algemene SSO-onderhoudsactiviteiten.

Als u problemen gelopen hebt met uw SSO integratie, kunt u de vereisten en procedure in dit gedeelte gebruiken om de SAML-flow tussen uw IdP en Webex op te lossen.

  • Gebruik de SAML Trace addon voor Firefox of Chrome .

  • Als u problemen wilt oplossen, gebruikt u de webbrowser waarop u het hulpprogramma voor foutopsporing van SAML trace heeft geïnstalleerd en gaat u naar de webversie van Webex op https://web.webex.com.

Hieronder staat de stroom van berichten tussen de Webex-app, Webex-services, de identiteitsservice van het Webex-platform en de identiteitsprovider (IdP).

  1. Ga naar https://admin.webex.com en, als SSO is ingeschakeld, vraagt de app om een e-mailadres.
  2. De app verzendt een GET-aanvraag naar de OAuth-autorisatieserver voor een token. De aanvraag wordt omgeleid naar de identiteitsservice naar de SSO- of gebruikersnaam- en wachtwoordflow. De URL voor de verificatieserver is geretourneerd.
  3. De Webex-app vraagt een SAML-verklaring van de IdP via een SAML HTTP POST.
  4. De verificatie voor de app vindt plaats tussen de webbronnen van het besturingssysteem en de IdP.
  5. De app verzendt een HTTP-bericht terug naar de identiteitsservice en bevat de kenmerken die door de IdP zijn verstrekt en zijn akkoord gegaan in de eerste overeenkomst.
  6. SAML-bevestiging van IdP naar Webex.
  7. De identiteitsservice ontvangt een autorisatiecode die wordt vervangen door een OAuth-toegang en het vernieuwt token. Deze token wordt gebruikt voor toegang tot resources namens de gebruiker.
1

Ga naar https://admin.webex.com en, als SSO is ingeschakeld, vraagt de app om een e-mailadres.

De app stuurt de informatie naar de webex-service het e-mailadres verifieert.

2

De app verzendt een GET-aanvraag naar de OAuth-autorisatieserver voor een token. De aanvraag wordt omgeleid naar de identiteitsservice naar de SSO- of gebruikersnaam- en wachtwoordflow. De URL voor de verificatieserver is geretourneerd.

U kunt het GET-verzoek vinden in het traceerbestand.

In het gedeelte Parameters zoekt de service naar een OAuth-code, e-mail van de gebruiker die de aanvraag heeft verzonden en andere OAuth-gegevens zoals ClientID, redirectURI en Bereik.

3

De Webex-app vraagt een SAML-verklaring van de IdP via een SAML HTTP POST.

Wanneer SSO is ingeschakeld, wordt de authenticatie-engine in identiteitsservice omgeleid naar de IdP-URL voor de SSO. De IdP-URL die is opgegeven wanneer de metagegevens zijn uitgewisseld.

Controleer in het traceerhulpmiddel voor een SAML POST-bericht. Er wordt een HTTP POST-bericht weergegeven naar de IdP dat de IdPbroker heeft aangevraagd.

De parameter Relaystate geeft het juiste antwoord van de IdP weer.

Controleer de decodeerversie van het SAML-verzoek, er is geen verplicht AuthN en de bestemming van het antwoord moet naar de bestemmings-URL van de IdP gaan. Zorg ervoor dat de indeling van de nameid correct is geconfigureerd in de IdP onder de juiste entityID (SPNameQualifier)

De IdP-nameid-indeling is gespecificeerd en de naam van de overeenkomst die is geconfigureerd toen de SAML-overeenkomst werd gemaakt.

4

De verificatie voor de app vindt plaats tussen de webbronnen van het besturingssysteem en de IdP.

Afhankelijk van uw IdP en de verificatiemechanismen die zijn geconfigureerd in de IdP, worden verschillende stromen gestart vanuit de IdP.

5

De app verzendt een HTTP-bericht terug naar de identiteitsservice en bevat de kenmerken die door de IdP zijn verstrekt en zijn akkoord gegaan in de eerste overeenkomst.

Als de verificatie is gelukt, verzendt de app de informatie in een SAML POST-bericht naar identiteitsservice.

De relaystate is hetzelfde als het vorige HTTP POST-bericht waarin de app de IdP geeft aan welke entiteits-id de bevestiging verzoekt.

6

SAML-bevestiging van IdP naar Webex.

7

De identiteitsservice ontvangt een autorisatiecode die wordt vervangen door een OAuth-toegang en het vernieuwt token. Deze token wordt gebruikt voor toegang tot resources namens de gebruiker.

Nadat de identiteitsservice het antwoord van de IdP gevalideerd, geven ze een OAuth-token waarmee de Webex-app toegang heeft tot de verschillende Webex-services.