De volgende webtoegangs- en federatieoplossingen zijn getest Cisco Webex organisaties met Webex-gebruikers. In de onderstaande documenten wordt weergegeven hoe u die specifieke identiteitsprovider (IdP) kunt integreren met Webex en uw Webex-organisatie beheerd via Cisco Webex Control Hub.


Als uw IdP hieronder niet wordt weergegeven, gebruikt u de hoge stappen op het tabblad 'Instellingen SSO instellingen' in dit artikel.

In de vorige handleidingen wordt SSO integratie voor Webex-services bemand die in de Cisco Webex Control Hub ( ).https://admin.webex.com Als u op zoek bent naar SSO-integratie voor een klassieke Webex-site (beheerd in Sitebeheer), gebruikt u in plaats daarvan het artikel Een Cisco Webex Meetings-site configureren.

Met single sign-on (SSO) kunnen gebruikers zich op een veilige manier aanmelden bij Cisco Webex door te verifiëren bij uw organisatie met een gemeenschappelijke identiteitsprovider (IdP). Cisco Webex gebruikt de Cisco Webex om te communiceren met de identiteitsservice Cisco Webex-platform. De identiteitsservice is geverifieerd bij uw identiteitsprovider (IdP).

U start de configuratie in Cisco Webex Control Hub. In dit gedeelte worden algemene stappen op hoog niveau voor het integreren van een IdP van derden vastleggen.

Voor SSO en Cisco Webex Control Hub moeten IdP's voldoen aan de SAML 2.0-specificatie. Daarnaast moeten IdP's op de volgende manieren worden geconfigureerd:

  • Stel het kenmerk NameID-indeling in op urn:oasis:names:tc:SAML:2.0:nameid-format:tijdelijk

  • Configureer een claim op de IdP om de uid-kenmerknaam op te nemen met een waarde die is gemapt aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de -Cisco Webex identiteitsservice. (Dit kenmerk kan bijvoorbeeld E-mailadressen of User-Principal-Name zijn.) Zie de aangepaste kenmerkinformatie in https://www.cisco.com/go/hybrid-services-directory voor hulp.

  • Gebruik een ondersteunde browser: raden we de nieuwste versie van Mozilla Firefox of Google Chrome aan.

  • Schakel alle pop-upblokkeringen in uw browser uit.


De configuratiehandleidingen geven een specifiek voorbeeld voor SSO integratie, maar bieden geen uitgebreide configuratie voor alle mogelijkheden. De integratiestappen voor urn:oasis:names:tc:SAML:2.0:nameid-format:transient zijn bijvoorbeeld gedocumenteerd. Andere indelingen zoals urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress werkt voor SSO-integratie, maar vallen buiten het bereik van onze documentatie.

U moet een SAML-overeenkomst tot stand Cisco Webex de platform-idservice en uw IdP.

U hebt twee bestanden nodig om een succesvolle SAML-overeenkomst te bereiken.

Dit is een voorbeeld van een PingFederate-metagegevensbestand met metagegevens van de IdP.

Metagegevensbestand van de identiteitsservice.

Het volgende is wat u verwacht te zien in het metadatabestand van de identiteitsservice.

  • EntityID: dit wordt gebruikt om de SAML-overeenkomst te identificeren in de IdP-configuratie

  • Er is geen vereiste voor een ondertekende AuthN-aanvraag of ondertekende bevestigingen. Deze vereist wel wat de IdP-aanvragen in het metadatabestand zijn.

  • Een bestand met ondertekende metagegevens voor de IdP om te verifiëren dat de metagegevens bij de identiteitsservice.

1

Ga vanuit de klant weergave in https://admin.webex.comnaar Instellingen ,scrol naar Verificatie en klik op Wijzigen.

2

Klik op Een externe identiteitsprovider integreren. (Geavanceerd) en klik op Aan de slag.

3

Klik op Bestand met metagegevens downloaden en klik op Volgende.

4

Cisco Webex-service Platformidentiteit valideert het metadatabestand van de IdP.

Er zijn twee mogelijke manieren om de metagegevens van de klant-idp te valideren:

  • De IdP van de klant levert een handtekening in de metagegevens die is ondertekend door een openbare hoofd-CA.

  • De id-service van de klant levert een zelf-ondertekende privé-CA of biedt geen handtekening voor de metagegevens. Deze optie is minder veilig.

5

Test de SSO voordat u deze inschakelen.

6

Als de test slaagt, schakel dan Een eenmalig aanmelden in.

Als u problemen gelopen hebt met uw SSO-integratie, kunt u de vereisten en procedure in dit gedeelte gebruiken om de SAML-flow tussen uw IdP en de Cisco Webex oplossen.

  • Gebruik de SAML Trace addon voor Firefox of Chrome .

  • Als u problemen wilt oplossen, gebruikt u de webbrowser waarop u het hulpprogramma voor foutopsporing van SAML trace heeft geïnstalleerd en gaat u naar de webversie Cisco Webex op https://teams.webex.com.

Hieronder staat de stroom van berichten Cisco Webex, Cisco Webex service, Cisco Webex Platform identity Service en de identiteitsprovider (IdP).

  1. Ga naar https://admin.webex.com en, als SSO is ingeschakeld, vraagt de app om een e-mailadres.
  2. De client verzendt een GET-aanvraag naar de OAuth-autorisatieserver voor een token. De aanvraag wordt omgeleid naar de identiteitsservice naar de SSO van gebruikersnamen of wachtwoorden. De URL voor de verificatieserver is geretourneerd.
  3. Cisco Webex vraagt om een SAML-bevestiging van de IdP via een SAML HTTP POST.
  4. De verificatie voor de app vindt plaats tussen de webbronnen van het besturingssysteem en de IdP.
  5. Cisco Webex een HTTP Post terug naar de identiteitsservice en bevat de kenmerken die door de IdP zijn verstrekt en zijn akkoord gegaan in de eerste overeenkomst.
  6. SAML-bevestiging van IdP naar Webex.
  7. De identiteitsservice ontvangt een autorisatiecode die wordt vervangen door een OAuth-toegang en het vernieuwt token. Deze token wordt gebruikt voor toegang tot resources namens de gebruiker.
1

Ga naar https://admin.webex.com en, als SSO is ingeschakeld, vraagt de app om een e-mailadres.

De app verzendt de informatie naar de Cisco Webex-service en de service controleert het e-mailadres.

2

De client verzendt een GET-aanvraag naar de OAuth-autorisatieserver voor een token. De aanvraag wordt omgeleid naar de identiteitsservice naar de SSO van gebruikersnamen of wachtwoorden. De URL voor de verificatieserver is geretourneerd.

U kunt het GET-verzoek vinden in het traceerbestand.

In het gedeelte Parameters zoekt de service naar een OAuth-code, e-mail van de gebruiker die de aanvraag heeft verzonden en andere OAuth-gegevens zoals ClientID, redirectURI en Bereik.

3

Cisco Webex vraagt om een SAML-bevestiging van de IdP via een SAML HTTP POST.

Wanneer SSO is ingeschakeld, leidt de verificatie-engine in identiteitsservice om naar de IdP-URL voor de SSO. De IdP-URL die is opgegeven wanneer de metagegevens zijn uitgewisseld.

Controleer in het traceerhulpmiddel voor een SAML POST-bericht. Er wordt een HTTP POST-bericht weergegeven naar de IdP dat de IdPbroker heeft aangevraagd.

De parameter Relaystate geeft het juiste antwoord van de IdP weer.

Controleer de decodeerversie van het SAML-verzoek, er is geen verplicht AuthN en de bestemming van het antwoord moet naar de bestemmings-URL van de IdP gaan. Zorg ervoor dat de indeling van de nameid correct is geconfigureerd in de IdP onder de juiste entityID (SPNameQualifier)

De IdP-nameid-indeling is gespecificeerd en de naam van de overeenkomst die is geconfigureerd toen de SAML-overeenkomst werd gemaakt.

4

De verificatie voor de app vindt plaats tussen de webbronnen van het besturingssysteem en de IdP.

Afhankelijk van uw IdP en de verificatiemechanismen die zijn geconfigureerd in de IdP, worden verschillende stromen gestart vanuit de IdP.

5

Cisco Webex een HTTP Post terug naar de identiteitsservice en bevat de kenmerken die door de IdP zijn verstrekt en zijn akkoord gegaan in de eerste overeenkomst.

Als de verificatie is gelukt, Cisco Webex de informatie in een SAML POST-bericht naar de -identiteitsservice.

De relaystate is hetzelfde als het vorige HTTP POST-bericht waarin de app de IdP geeft aan welke entiteits-id de bevestiging verzoekt.

6

SAML-bevestiging van IdP naar Webex.

7

De identiteitsservice ontvangt een autorisatiecode die wordt vervangen door een OAuth-toegang en het vernieuwt token. Deze token wordt gebruikt voor toegang tot resources namens de gebruiker.

Nadat de identiteitsservice het antwoord van de IdP gevalideerd heeft, geven ze een OAuth-token weer waarmee Cisco Webex toegang krijgt tot de verschillende Cisco Webex cloudservices.