Følgende løsninger for administrasjon og forbund av webtilgang ble testet for Webex-organisasjoner. Dokumentene som er koblet nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen.


Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Kontrollhub (https://admin.webex.com). Hvis du leter etter SSO-integrasjon av et Webex Meetings-område (administrert i Områdeadministrasjon), kan du lese Konfigurere enkel pålogging for Cisco Webex-område.

Hvis du ikke ser IdP-en din nedenfor, følger du trinnene på høyt nivå i kategorien SSO-oppsett i denne artikkelen.

Enkel pålogging (SSO) gjør det mulig for brukere å logge seg på Webex på en sikker måte ved å godkjenne for organisasjonens felles identitetsleverandør (IdP). Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service. Identitetstjenesten godkjennes med identitetsleverandøren (IDP).

Du starter konfigurasjonen i Kontrollhub. Denne delen registrerer generelle trinn på høyt nivå for integrering av en tredjeparts IdP.

For SSO og Control Hubmå IDPer være i samsvar med SAML 2.0-spesifikasjonen. IdP-er må også konfigureres på følgende måte:

  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP i henhold til typen SSO du distribuerer:

    • SSO (for en organisasjon)– Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere uid -attributtnavnet med en verdi som er tilordnet attributtet som er valgt i Katalogkobling, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.)

    • SSO for partnere (bare for tjenesteleverandører) – Hvis du er administrator for tjenesteleverandøren som konfigurerer partner-SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IdP-kravet til å inkludere e-postattributtet (i stedet for uid). Verdien må tilordnes attributtet som er valgt i Katalogkobling, eller brukerattributtet som samsvarer med attributtet som er valgt i Webex-identitetstjenesten.


    Hvis du vil ha mer informasjon om hvordan du tilordner egendefinerte attributter for enten SSO eller Partner SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.

  • Bare SSO for partnere. Identitetsleverandøren må støtte URL-adresser for ACS (Assertion Consumer Service). Hvis du vil se eksempler på hvordan du konfigurerer flere ACS-URL-adresser på en identitetsleverandør, kan du se:

  • Bruk en nettleser som støttes: vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.

  • Deaktiver eventuelle popup-blokkeringer i nettleseren din.


Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.

Du trenger to filer for å oppnå en vellykket SAML-avtale:

  • En metadatafil fra IdP som skal leveres til Webex.

  • En metadatafil fra Webexfor å gi til IdP.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP.

Metadatafil fra identitetstjenesten.

Følgende er det du forventer å se i metadatafilen fra identitetstjenesten.

  • EntityID– Brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen

  • Det er ikke noe krav om en signert AuthN-forespørsel eller noen tegndeklarasjoner, den overholder det IdP ber om i metadatafilen.

  • En signert metadatafil for IdP for å bekrefte at metadataene tilhører identitetstjenesten.

1

Fra kundevisningen i Kontrollhub (https://admin.webex.com) går du til Administrasjons- > Organisasjonsinnstillinger, blar til Godkjenning og aktiverer innstillingen Enkel pålogging for å starte konfigurasjonsveiviseren.

2

Velg sertifikattype:

  • Selvsignert av Cisco– Vi anbefaler at du velger dette alternativet for å la oss bli SP. Du trenger heller bare å fornye sertifikatet hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Dette alternativet er sikkert og tilrådelig hvis du får sertifikatene signert fra en offentlig sertifiseringsinstans, for eksempel Hydrant eller Godaddy. Du må imidlertid fornye sertifikatet én gang i året.
3

Klikk Last ned metadata , og klikk Neste.

4

Webex Platform Identity Service validerer metadatafilen fra IdP.

Du kan validere metadataene fra Kunde-IDP på to mulige måter:

  • Kunde-IDP gir en signatur i metadataene som er signert av en offentlig rotsertifiseringsinstans.

  • Kunde-IDP tilbyr en selvsignert privat sertifiseringsinstans eller gir ikke en signatur for metadataene sine. Dette alternativet er mindre sikkert.

5

Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en tørrkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.


 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette bidrar til å fjerne all informasjon som er hurtigbufret i nettleseren din, noe som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

6

Hvis testen lykkes, snur du SSO og lagrer endringene.

Du må lagre endringer for at SSO skal tre i kraft i organisasjonen.

Enten du har mottatt et varsel om et sertifikat som utløper eller vil kontrollere den eksisterende SSO-konfigurasjonen, kan du bruke SSO-administrasjonsfunksjonene (Single Sign-On) i Control Hub til sertifikatbehandling og generelle SSO-vedlikeholdsaktiviteter.

Hvis du får problemer med SSO-integrasjonen, kan du bruke kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.

  • Bruk SAML-sporingstillegget for Firefox eller Chrome .

  • Hvis du vil feilsøke, bruker du webleseren der du installerte verktøyet for SAML-sporingsfeilsøking, og går til webversjonen av Webex at https://web.webex.com.

Følgende er flyten av meldinger mellom Webex-appen, Webex-tjenester, Webex Platform Identity Service og identitetsleverandøren (IdP).

  1. Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.
  2. Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres.
  3. Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST.
  4. Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP.
  5. Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen.
  6. SAML-deklarasjon fra IdP til Webex.
  7. Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.
1

Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.

Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.

2

Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres.

Du kan se GET-forespørselen i sporingsfilen.

I parameterdelen ser tjenesten etter en OAuth-kode, e-post til brukeren som sendte forespørselen, og andre OAuth-detaljer som ClientID, redirectURI og Scope.

3

Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST.

Når SSO er aktivert, omdirigeres godkjenningsmotoren i identitetstjenesten til IDP-URL-adressen for SSO. URL-adressen for IdP ble angitt da metadataene ble utvekslet.

Se etter en SAML POST-melding i sporingsverktøyet. Du ser en HTTP POST-melding til IdP forespurt av IdPbroker.

RelayState-parameteren viser riktig svar fra IdP.

Se gjennom dekodingsversjonen av SAML-forespørselen, det er ikke noe mandat AuthN og målet for svaret skal gå til mål-URL-en til IdP. Kontroller at nameid-formatet er riktig konfigurert i IdP under riktig entityID (SPNameQualifier)

IdP nameid-formatet er angitt og navnet på avtalen som ble konfigurert da SAML-avtalen ble opprettet.

4

Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP.

Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP, startes forskjellige flyter fra IdP.

5

Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen.

Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten.

RelayState er den samme som forrige HTTP POST-melding der appen forteller IdP hvilken EntityID som ber om deklarasjonen.

6

SAML-deklarasjon fra IdP til Webex.

7

Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.

Når identitetstjenesten har validert svaret fra IdP, utsteder de et OAuth-token som gir Webex-appen tilgang til de forskjellige Webex-tjenestene.