Integratie van eenmalige aanmelding in Control Hub
De volgende oplossingen voor beheer en federatie van webtoegang zijn getest voor Webex-organisaties. In de hieronder gekoppelde documenten wordt uitgelegd hoe u die specifieke identiteitsprovider (IdP) kunt integreren met uw Webex-organisatie.
Deze handleidingen behandelen SSO-integratie voor Webex-services die worden beheerd in Control Hub (https://admin.webex.com). Als u op zoek bent naar SSO-integratie van een Webex Meetings-site (beheerd in Sitebeheer), lees dan Eenmalige aanmelding configureren voor Cisco Webex-site.
Als u SSO wilt instellen voor meerdere identiteitsproviders in uw organisatie, raadpleegt u SSO met meerdere IdP's in Webex.
Als uw IdP hieronder niet wordt weergegeven, volgt u de stappen op hoog niveau in het tabblad Configuratie van eenmalige aanmelding in dit artikel.
Eenmalige aanmelding (SSO) stelt gebruikers in staat zich veilig aan te melden bij Webex door zich te verifiëren bij de algemene identiteitsprovider (IdP) van uw organisatie. De Webex-app gebruikt de Webex-service om te communiceren met de Webex Platform Identity-service. De identiteitsservice voert een verificatie uit bij uw identiteitsprovider (IdP).
U start de configuratie in Control Hub. In dit gedeelte worden algemene stappen op hoog niveau beschreven voor het integreren van een IdP van derden.
Wanneer u SSO configureert met uw IdP, kunt u elk kenmerk toewijzen aan de uid. Wijs bijvoorbeeld de userPrincipalName, een e-mailalias, een alternatief e-mailadres of een ander geschikt kenmerk toe aan de uid. De IdP moet bij het aanmelden een van de e-mailadressen van de gebruiker koppelen aan de uid. Webex ondersteunt het toewijzen van maximaal vijf e-mailadressen aan de uid.
We raden aan dat u eenmalige afmelding (SLO) aan uw metagegevensconfiguratie opneemt tijdens het instellen van de Webex SAML-federatie. Deze stap is cruciaal om ervoor te zorgen dat gebruikerstokens ongeldig worden gemaakt bij zowel de Identity Provider (IdP) als de Service Provider (SP). Als deze configuratie niet door een beheerder wordt uitgevoerd, waarschuwt Webex gebruikers dat ze hun browser moeten sluiten om geopende sessies ongeldig te maken.
Voor SSO en Control Hub moeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manier worden geconfigureerd:
-
Stel het kenmerk NameID-indeling in op urn:oasis:names:tc:SAML:2.0:nameid-format:tijdelijk
-
Configureer een claim op de IdP op basis van het type SSO dat u implementeert:
-
SSO (voor een organisatie): als u SSO configureert namens een organisatie, configureert u de IdP-claim om de naam van het kenmerk uid op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Directoryconnector of het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de Webex-identiteitsservice. (Dit kenmerk kan bijvoorbeeld E-mail-Addresses of User-Principal-Name zijn.)
-
Partner-SSO (alleen voor serviceproviders): als u een serviceproviderbeheerder bent die partner-SSO configureert voor gebruik door de klantorganisaties die de serviceprovider beheert, configureert u de IdP-claim om het kenmerk e-mail op te nemen (in plaats van uid). De waarde moet worden toegewezen aan het kenmerk dat is gekozen in Directoryconnector of aan het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de Webex-identiteitsservice.
Zie https://www.cisco.com/go/hybrid-services-directory voor meer informatie over het toewijzen van aangepaste kenmerken voor SSO of Partner-SSO.
-
-
Alleen partner-SSO. De identiteitsprovider moet meerdere ACS-URLS's (assertieverbruiksservice) ondersteunen. Zie voor voorbeelden van het configureren van meerdere ACS-URL's op een identiteitsprovider:
-
Gebruik een ondersteunde browser: we raden de nieuwste versie van Mozilla Firefox of Google Chrome aan.
-
Schakel eventuele pop-upblokkeringen in uw browser uit.
De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.
U moet een SAML-overeenkomst tot stand brengen tussen de Webex Platform Identity-service en uw IdP.
U hebt twee bestanden nodig om een succesvolle SAML-overeenkomst te realiseren:
-
Een metagegevensbestand van de IdP dat aan Webex moet worden gegeven.
-
Een metagegevensbestand van Webex dat aan de IdP moet worden gegeven.
Dit is een voorbeeld van een PingFederate-metagegevensbestand met metagegevens van de IdP.
Metagegevensbestand van de identiteitsservice.
Het volgende is wat u zou moeten zien in het metagegevensbestand van de identiteitsservice.
-
Entiteits-id: deze wordt gebruikt om de SAML-overeenkomst in de IdP-configuratie te identificeren
-
Er is geen vereiste voor een ondertekend AuthN-verzoek of tekenbevestigingen, het voldoet aan wat de IdP vraagt in het metagegevensbestand.
-
Een ondertekend metagegevensbestand voor de IdP om te verifiëren dat de metagegevens tot de identiteitsservice behoren.
1 |
Ga vanuit de klantweergave in Control Hub ( https://admin.webex.com) naar , blader naar Verificatie en klik op de instelling SSO activeren om de configuratiewizard te starten. |
2 |
Selecteer Webex als uw identiteitsprovider en klik op Volgende. |
3 |
Controleer Ik heb gelezen en begrepen hoe Webex-IdP werkt en klik op Volgende. |
4 |
Stel een routeringsregel in. Zodra u een routeringsregel hebt toegevoegd, wordt uw IdP toegevoegd en weergegeven op het tabblad Identiteitsprovider .
Raadpleeg SSO met meerdere IdP's in Webex voor meer informatie.
|
Of u nu een melding hebt ontvangen over een verlopen certificaat of uw bestaande SSO-configuratie wilt controleren, u kunt de Beheerfuncties voor eenmalige aanmelding (SSO) in Control Hub gebruiken voor certificaatbeheer en algemene SSO-onderhoudsactiviteiten.
Als u problemen ondervindt met uw SSO-integratie, gebruikt u de vereisten en procedure in dit gedeelte om problemen met de SAML-stroom tussen uw IdP en Webex op te lossen.
-
Gebruik de SAML tracer-invoegtoepassing voor Firefox, Chrome of Edge.
-
Als u problemen wilt oplossen, gebruikt u de webbrowser waarin u de foutopsporingstool voor de SAML-tracer hebt geïnstalleerd en gaat u naar de webversie van Webex op https://web.webex.com.
Hieronder ziet u de berichtenstroom tussen de Webex-app, Webex-services, de Webex Platform Identity-service en de identiteitsprovider (IdP).
1 |
Ga naar https://admin.webex.com en als SSO is ingeschakeld, vraagt de app om een e-mailadres.
De app verzendt de informatie naar de Webex-service die het e-mailadres verifieert.
|
2 |
De app verzendt een GET-verzoek naar de OAuth-autorisatieserver voor een token. Het verzoek wordt omgeleid naar de identiteitsservice voor de SSO- of gebruikersnaam- en wachtwoordstroom. De URL voor de verificatieserver wordt geretourneerd. U kunt het GET-verzoek zien in het tracerbestand. In het gedeelte met parameters zoekt de service naar een OAuth-code, het e-mailadres van de gebruiker die het verzoek heeft verzonden en andere OAuth-gegevens, zoals ClientID, redirectURI en Scope. |
3 |
De Webex-app vraagt een SAML-verklaring aan bij de IdP met behulp van een SAML HTTP POST.
Wanneer SSO is ingeschakeld, wordt de verificatie-engine in de identiteitsservice omgeleid naar de IdP-URL voor SSO. De IdP-URL die is opgegeven toen de metagegevens werden uitgewisseld. Controleer in de tracertool of er een SAML POST-bericht is. U ziet een HTTP POST-bericht naar de IdP die is aangevraagd door de IdPbroker. De RelayState-parameter toont het juiste antwoord van de IdP. Controleer de decoderingsversie van het SAML-verzoek. Er is geen mandaat AuthN en de bestemming van het antwoord moet naar de bestemmings-URL van de IdP gaan. Zorg ervoor dat de nameid-indeling correct is geconfigureerd in de IdP onder de juiste entiteits-id (SPNameQualifier) De nameid-indeling van de IdP is opgegeven en de naam van de overeenkomst is geconfigureerd toen de SAML-overeenkomst werd gemaakt. |
4 |
De verificatie voor de app vindt plaats tussen de webbronnen van het besturingssysteem en de IdP.
Afhankelijk van uw IdP en de verificatiemechanismen die zijn geconfigureerd in de IdP, worden verschillende stromen gestart vanuit de IdP. |
5 |
De app stuurt een HTTP POST terug naar de identiteitsservice en vermeldt kenmerken die door de IdP zijn verstrekt en die in de initiële overeenkomst zijn vastgelegd.
Wanneer de verificatie is geslaagd, verzendt de app de informatie in een SAML POST-bericht naar de identiteitsservice. De RelayState is dezelfde als het vorige HTTP POST-bericht waarbij de app de IdP vertelt welke entiteits-id de verklaring aanvraagt. |
6 |
SAML-verklaring van IdP naar Webex. |
7 |
De identiteitsservice ontvangt een autorisatiecode die wordt vervangen door een OAuth-toegangs- en vernieuwingstoken. Dit token wordt gebruikt om toegang te krijgen tot resources namens de gebruiker.
Nadat de identiteitsservice het antwoord van de IdP heeft gevalideerd, wordt een OAuth-token uitgegeven waarmee de Webex-app toegang krijgt tot de verschillende Webex-services. |