Før integrering av enkel pålogging (SSO), bruker Webex grunnleggende autentisering som standard. Grunnleggende autentisering krever at brukere oppgir Webex-brukernavnet og -passordet sitt hver gang de logger på. Hvis du har din egen identitetsleverandør (IdP) i organisasjonen din, kan du integrere den med organisasjonen din i Control Hub for SSO. SSO lar brukerne dine bruke et enkelt, felles sett med legitimasjon for Webex-applikasjoner i organisasjonen din.

Hvis du foretrekker å bruke grunnleggende autentisering, trenger du ikke å gjøre noe. Vær imidlertid oppmerksom på at grunnleggende autentisering kan være mindre sikker og mindre praktisk for brukere enn SSO, spesielt hvis organisasjonen din allerede bruker en IdP. For forbedret sikkerhet med grunnleggende autentisering anbefaler vi å bruke flerfaktorautentisering (MFA) i Control Hub. Hvis du vil ha mer informasjon, kan du se Aktiver integrering av flerfaktorautentisering i Control Hub.

Følgende løsninger for administrasjon av nettilgang og føderasjon ble testet for Webex-organisasjoner. Dokumentene som er lenket nedenfor, veileder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen din.

Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Control Hub ( https://admin.webex.com). Hvis du ser etter SSO-integrasjon av et Webex Meetings-nettsted (administrert i nettstedsadministrasjon), les Konfigurer enkel pålogging for Cisco Webex-nettsted.

Hvis du vil sette opp SSO for flere identitetsleverandører i organisasjonen din, kan du se SSO med flere IdP-er i Webex.

Hvis du ikke ser IdP-en din oppført nedenfor, følger du de overordnede trinnene i fanen SSO-oppsett i denne artikkelen.

Enkel pålogging (SSO) lar brukere logge på Webex sikkert ved å autentisere seg til organisasjonens felles identitetsleverandør (IdP). Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service. Identitetstjenesten autentiserer seg hos identitetsleverandøren din (IdP).

Du starter konfigurasjonen i Control Hub. Denne delen beskriver generelle trinn på overordnet nivå for integrering av en tredjeparts IdP.

Når du konfigurerer SSO med IdP-en din, kan du tilordne et hvilket som helst attributt til uid-en. For eksempel, tilordne userPrincipalName, et e-postalias, en alternativ e-postadresse eller et annet passende attributt til uid-en. IdP-en må matche en av brukerens e-postadresser med UI-en ved pålogging. Webex støtter tilordning av opptil 5 e-postadresser til UI-en.

Vi anbefaler at du inkluderer enkel utlogging (SLO) i metadatakonfigurasjonen din når du konfigurerer Webex SAML-føderasjon. Dette trinnet er avgjørende for å sikre at brukertokener ugyldiggjøres både hos identitetsleverandøren (IdP) og tjenesteleverandøren (SP). Hvis denne konfigurasjonen ikke utføres av en administrator, varsler Webex brukere om å lukke nettleserne sine for å ugyldiggjøre eventuelle åpne økter.

Krav til identitetsleverandører

For SSO og Control Hub må IdP-er være i samsvar med SAML 2.0-spesifikasjonen. I tillegg må IdP-er konfigureres på følgende måte:

  • Sett NameID Format-attributtet til urn:oasis:names:tc:SAML:2.0:nameid-format:forbigående

  • Konfigurer et krav på IdP-en i henhold til typen SSO du distribuerer:

    • SSO (for en organisasjon) – Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere attributtnavnet uid med en verdi som er tilordnet attributtet som er valgt i katalogkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være E-postadresser eller Brukernavn.)

    • Partner SSO (kun for tjenesteleverandører) – Hvis du er en tjenesteleverandøradministrator som konfigurerer Partner SSO til bruk av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IdP-kravet til å inkludere attributtet mail (i stedet for uid). Verdien må tilordnes til attributtet som er valgt i katalogkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten.

    Hvis du vil ha mer informasjon om tilordning av egendefinerte attributter for enten SSO eller Partner SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.

  • Kun partner-SSO. Identitetsleverandøren må støtte flere ACS-URL-er (Assertion Consumer Service). Hvis du vil se eksempler på hvordan du konfigurerer flere ACS-URL-er på en identitetsleverandør, kan du se:

  • Bruk en støttet nettleser: Vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.

  • Deaktiver eventuelle popup-blokkeringer i nettleseren din.

Konfigurasjonsveiledningene viser et spesifikt eksempel på SSO-integrasjon, men gir ikke uttømmende konfigurasjon for alle muligheter. For eksempel er integrasjonstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil fungere for SSO-integrasjon, men er utenfor omfanget av dokumentasjonen vår.

Opprett en SAML-avtale

Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.

Du trenger to filer for å oppnå en vellykket SAML-avtale:

  • En metadatafil fra IdP-en, som skal gis til Webex.

  • En metadatafil fra Webex, som skal gis til IdP-en.

Flyt for utveksling av metadatafiler mellom Webex og identitetsleverandøren.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP-en.

Skjermbilde av en PingFederate-metadatafil som viser metadata fra identitetsleverandøren.

Metadatafil fra identitetstjenesten.

Skjermbilde av metadatafilen fra identitetstjenesten.

Følgende er hva du forventer å se i metadatafilen fra identitetstjenesten.

Skjermbilde av metadatafilen fra identitetstjenesten.

  • Enhets-ID – Dette brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen.

  • Det er ikke noe krav om en signert AuthN-forespørsel eller noen signeringspåstander, den er i samsvar med det IdP-en ber om i metadatafilen.

  • En signert metadatafil for IdP-en for å bekrefte at metadataene tilhører identitetstjenesten.

Skjermbilde av en signert metadatafil for identitetsleverandøren for å bekrefte at metadataene tilhører identitetstjenesten.

Skjermbilde av en signert metadatafil ved hjelp av Okta.

Konfigurer Webex-identitetstjenesten
1

Logg inn på Kontrollhub.

2

Gå til Ledelse > Sikkerhet > Autentisering.

3

Gå til fanen Identitetsleverandør og klikk på Aktiver SSO.

4

Velg Webex som din IdP og klikk på Neste.

5

Kryss av for Jeg har lest og forstått hvordan Webex IdP fungerer og klikk på Neste.

6

Sett opp en rutingsregel.

Når du har lagt til en rutingsregel, legges IdP-en din til og vises under fanen Identitetsleverandør.
Hvis du vil ha mer informasjon, kan du se SSO med flere IdP-er i Webex.

Enten du har mottatt et varsel om et utløpende sertifikat eller ønsker å sjekke den eksisterende SSO-konfigurasjonen din, kan du bruke administrasjonsfunksjonene for enkel pålogging (SSO) i Control Hub for sertifikatadministrasjon og generelle SSO-vedlikeholdsaktiviteter.

Hvis du støter på problemer med SSO-integrasjonen din, kan du bruke kravene og prosedyren i denne delen for å feilsøke SAML-flyten mellom IdP-en din og Webex.

Krav for feilsøking av SSO

  • Bruk SAML-sporingstillegget for Firefox, Chromeeller Edge.

  • For å feilsøke, bruk nettleseren der du installerte SAML-sporingsfeilsøkingsverktøyet og gå til nettversjonen av Webex på https://web.webex.com.

Feilsøk SAML-flyten mellom Webex-appen, din IdP og Webex-tjenester

Følgende er flyten av meldinger mellom Webex-appen, Webex-tjenester, Webex-plattformidentitetstjenesten og identitetsleverandøren (IdP).

SAML-flyt mellom Webex-appen, Webex-tjenester, Webex-plattformidentitetstjenesten og identitetsleverandøren.
1

Gå til https://admin.webex.com, og med SSO aktivert ber appen om en e-postadresse.

Påloggingsskjerm for Control Hub.

Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.

Informasjon sendt til Webex-tjenesten for bekreftelse av e-postadresse.

2

Appen sender en GET-forespørsel til OAuth-autorisasjonsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO-en eller brukernavn- og passordflyten. URL-en for autentiseringsserveren returneres.

Du kan se GET-forespørselen i sporingsfilen.

Detaljer om GET-forespørsel i loggfilen.

I parameterdelen ser tjenesten etter en OAuth-kode, e-postadressen til brukeren som sendte forespørselen og andre OAuth-detaljer som ClientID, redirectURI og Scope.

Parameterseksjonen som viser OAuth-detaljer som ClientID, redirectURI og Scope.

3

Webex-appen ber om en SAML-deklarasjon fra IdP-en ved hjelp av en SAML HTTP POST.

Når SSO er aktivert, omdirigerer autentiseringsmotoren i identitetstjenesten til IdP-URL-en for SSO. IdP-URL-en som ble oppgitt da metadataene ble utvekslet.

Autentiseringsmotoren omdirigerer brukere til URL-en til identitetsleverandøren som ble angitt under metadatautvekslingen.

Sjekk i sporingsverktøyet for en SAML POST-melding. Du ser en HTTP POST-melding til IdP-en som er forespurt av IdP-megleren.

SAML POST-melding til identitetsleverandøren.

RelayState-parameteren viser riktig svar fra IdP-en.

RelayState-parameteren som viser riktig svar fra identitetsleverandøren.

Se gjennom dekodingsversjonen av SAML-forespørselen. Det er ingen påbudt AuthN, og svarets destinasjon skal gå til destinasjons-URL-en til IdP-en. Sørg for at nameID-formatet er riktig konfigurert i IdP-en under riktig enhetsID (SPNameQualifier)

SAML-forespørsel som viser nameID-formatet som er konfigurert i identitetsleverandøren.

IdP-navne-ID-formatet er spesifisert og navnet på avtalen konfigurert da SAML-avtalen ble opprettet.

4

Autentiseringen for appen skjer mellom operativsystemets webressurser og IdP-en.

Avhengig av IdP-en din og autentiseringsmekanismene som er konfigurert i IdP-en, startes forskjellige flyter fra IdP-en.

Plassholder for identitetsleverandør for organisasjonen din.

5

Appen sender en HTTP-post tilbake til identitetstjenesten og inkluderer attributtene som er levert av IdP-en og avtalt i den opprinnelige avtalen.

Når autentiseringen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten.

SAML POST-melding til identitetstjenesten.

RelayState er den samme som den forrige HTTP POST-meldingen der appen forteller IdP-en hvilken EntityID som ber om påstanden.

HTTP POST-melding som angir hvilken enhets-ID som ber om påstanden fra identitetsleverandøren.

6

SAML-påstand fra IdP til Webex.

SAML-deklarasjon fra identitetsleverandøren til Webex.

SAML-deklarasjon fra identitetsleverandøren til Webex.

SAML-påstand fra identitetsleverandøren til Webex: NavneID-format er uspesifisert.

SAML-påstand fra identitetsleverandøren til Webex: E-post i navne-ID-format.

SAML-påstand fra identitetsleverandøren til Webex: NavneID-format forbigående.

7

Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Denne tokenen brukes til å få tilgang til ressurser på vegne av brukeren.

Etter at identitetstjenesten validerer svaret fra IdP-en, utsteder de et OAuth-token som lar Webex-appen få tilgang til de forskjellige Webex-tjenestene.

OAuth-token som tillater Webex-appen tilgang til de forskjellige Webex-tjenestene.