Integrering av engangspålogging i Control Hub
Følgende løsninger for administrasjon av webtilgang og føderasjon ble testet for Webex-organisasjoner. Dokumentene som er koblet til nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen din.
Disse veiledningene dekker SSO-integrering for Webex-tjenester som administreres i Control Hub ( https://admin.webex.com). Hvis du leter etter SSO-integrering av et Webex Meetings-nettsted (administrert i nettstedsadministrasjon), kan du lese Konfigurere engangspålogging for Cisco Webex-nettsted.
Hvis du vil konfigurere SSO for flere identitetsleverandører i organisasjonen, se SSO med flere IdP-er i Webex.
Hvis du ikke ser IdP-en din oppført nedenfor, følger du trinnene på høyt nivå i fanen SSO-oppsett i denne artikkelen.
Single sign-on (SSO) gjør det mulig for brukere å logge på Webex på en sikker måte ved å autentisere seg til organisasjonens felles identitetsleverandør (IdP). Webex-appen bruker Webex-tjenesten til å kommunisere med identitetstjenesten for Webex-plattformen. Identitetstjenesten godkjennes med identitetsleverandøren din (IdP).
Du starter konfigurasjonen i Control Hub. Denne delen tar opp generelle trinn på høyt nivå for integrering av en tredjeparts IdP.
Når du konfigurerer SSO med din IdP, kan du tilordne alle attributter til uid-en. Tilordne for eksempel userPrincipalName, et e-postalias, en alternativ e-postadresse eller et annet passende attributt til uid-en. IdP-en må matche en av brukerens e-postadresser med uid-en ved pålogging. Webex støtter tilordning av opptil 5 e-postadresser til uid-en.
Vi anbefaler at du inkluderer engangsutlogging (SLO) i metadatakonfigurasjonen mens du konfigurerer Webex SAML-forbund. Dette trinnet er avgjørende for å sikre at brukertokener er ugyldige for både identitetsleverandøren (IdP) og tjenesteleverandøren (SP). Hvis denne konfigurasjonen ikke utføres av en administrator, varsler Webex brukerne om å lukke nettleserne sine for å ugyldiggjøre eventuelle økter som er igjen åpne.
IdP-er må overholde SAML 2.0-spesifikasjonen for SSO og Control Hub. I tillegg må IdP-er konfigureres på følgende måte:
-
Angi attributtet NavnID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:forbigående
-
Konfigurer et krav på IdP-en i henhold til typen SSO du distribuerer:
-
SSO (for en organisasjon) – Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere uid -attributtnavnet med en verdi som er tilordnet attributtet som er valgt i Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.)
-
Partner SSO (kun for tjenesteleverandører) – Hvis du er en tjenesteleverandøradministrator som konfigurerer Partner SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IdP-kravet til å inkludere mail -attributtet (i stedet for uid). Verdien må tilordnes til attributtet som er valgt i registerkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten.
Hvis du vil ha mer informasjon om tilordning av egendefinerte attributter for enten SSO eller Partner SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.
-
-
Kun partner-SSO. Identitetsleverandøren må støtte flere URL-adresser for Assertion Consumer Service (ACS). Hvis du vil ha eksempler på hvordan du konfigurerer flere ACS URL-adresser på en identitetsleverandør, kan du se:
-
Bruk en nettleser som støttes: vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.
-
Deaktiver eventuelle popup-blokkere i nettleseren din.
Konfigurasjonsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke fullstendig konfigurasjon for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
fungerer for SSO-integrering, men er utenfor omfanget av vår dokumentasjon.
Du må opprette en SAML-avtale mellom identitetstjenesten for Webex-plattformen og din IdP.
Du trenger to filer for å oppnå en vellykket SAML-avtale:
-
En metadatafil fra IdP, som skal gis til Webex.
-
En metadatafil fra Webex, som skal gis til IdP-en.
Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP-en.
Metadatafil fra identitetstjenesten.
Følgende er hva du forventer å se i metadatafilen fra identitetstjenesten.
-
EntityID – Dette brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen
-
Det er ikke noe krav om en signert AuthN-forespørsel eller noen tegnpåstander, den er i samsvar med det IdP-en ber om i metadatafilen.
-
En signert metadatafil for IdP-en for å bekrefte at metadataene tilhører identitetstjenesten.
1 |
Fra kundevisningen i Control Hub ( https://admin.webex.com) går du til , blar til Autentisering og klikker på Aktiver SSO -innstilling for å starte konfigurasjonsveiviseren. |
2 |
Velg Webex som din IdP, og klikk på Neste. |
3 |
Sjekk Jeg har lest og forstått hvordan Webex IdP fungerer , og klikk på Neste. |
4 |
Sett opp en rutingsregel. Når du har lagt til en rutingsregel, legges IdP-en til og vises under fanen Identitetsleverandør .
Hvis du vil ha mer informasjon, se SSO med flere IdP-er i Webex.
|
Enten du har mottatt et varsel om et sertifikat som utløper eller vil sjekke din eksisterende SSO-konfigurasjon, kan du bruke administrasjonsfunksjonene for engangspålogging (SSO) i Control Hub for sertifikatadministrasjon og generelle SSO-vedlikeholdsaktiviteter.
Hvis du støter på problemer med SSO-integreringen, bruker du kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.
-
Hvis du vil feilsøke, bruker du nettleseren der du installerte feilsøkingsverktøyet for SAML-sporing, og går til nettversjonen av Webex på https://web.webex.com.
Følgende er meldingsflyten mellom Webex-appen, Webex-tjenestene, identitetstjenesten for Webex-plattformen og identitetsleverandøren (IdP).
1 |
Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.
Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.
|
2 |
Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen videresendes til identitetstjenesten til SSO eller flyten av brukernavn og passord. URL-adressen til godkjenningsserveren returneres. Du kan se GET-forespørselen i sporingsfilen. I parameterdelen leter tjenesten etter en OAuth-kode, e-post til brukeren som sendte forespørselen, og andre OAuth-detaljer som ClientID, redirectURI og Scope. |
3 |
Webex-appen ber om en SAML-påstand fra IdP-en ved hjelp av en SAML HTTP POST.
Når SSO er aktivert, omdirigerer godkjenningsmotoren i identitetstjenesten til IdP-URL-en for SSO. IdP-URL-adressen som ble oppgitt da metadataene ble utvekslet. Se etter en SAML POST-melding i sporingsverktøyet. Du ser en HTTP POST-melding til IdP-en forespurt av IdPbroker. RelayState-parameteren viser riktig svar fra IdP-en. Se gjennom dekodeversjonen av SAML-forespørselen, det er ingen fullmakt AuthN, og målet for svaret skal gå til mål-URL-adressen til IdP-en. Kontroller at nameid-formatet er riktig konfigurert i IdP-en under riktig entityID (SPNameQualifier) IdP nameid-formatet angis og navnet på avtalen ble konfigurert da SAML-avtalen ble opprettet. |
4 |
Autentiseringen for appen skjer mellom operativsystemets nettressurser og IdP-en.
Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP-en, startes forskjellige flyter fra IdP-en. |
5 |
Appen sender en HTTP Post tilbake til identitetstjenesten og inkluderer attributtene fra IdP-en og avtalt i den første avtalen.
Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten. RelayState er den samme som den forrige HTTP POST-meldingen der appen forteller IdP-en hvilken EntityID som ber om påstanden. |
6 |
SAML-påstand fra IdP til Webex. |
7 |
Identitetstjenesten mottar en godkjenningskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.
Etter at identitetstjenesten har validert svaret fra IdP-en, utsteder de et OAuth-token som gir Webex-appen tilgang til de forskjellige Webex-tjenestene. |