Følgende løsninger for administrasjon og forbund av webtilgang ble testet for Webex-organisasjoner. Dokumentene som er koblet nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen.


Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Kontrollhub (https://admin.webex.com). Hvis du leter etter SSO-integrasjon av et Webex Meetings-område (administrert i Områdeadministrasjon), kan du lese Konfigurere enkel pålogging for Cisco Webex-område.

Hvis du ikke ser IdP-en din nedenfor, følger du trinnene på høyt nivå i kategorien SSO-oppsett i denne artikkelen.

Enkel pålogging (SSO) gjør det mulig for brukere å logge seg på Webex på en sikker måte ved å godkjenne for organisasjonens felles identitetsleverandør (IdP). Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service. Identitetstjenesten godkjennes med identitetsleverandøren (IDP).

Du starter konfigurasjonen i Kontrollhub. Denne delen registrerer generelle trinn på høyt nivå for integrering av en tredjeparts IdP.

For SSO og Control Hub må IDPer være i samsvar med SAML 2.0-spesifikasjonen. I tillegg må IDPer konfigureres på følgende måte:

  • Sett attributtet NameID Format til urn:oasis:names:tc:SAML:2.0:nameid-format:midlertidig

  • Konfigurer et krav på IdP i henhold til typen SSO du distribuerer:

    • SSO (for en organisasjon)– Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere uid-attributtnavnet med en verdi som er tilordnet attributtet som er valgt i katalogkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være E-postadresser eller Bruker-Hovednavn.)

    • SSO for partnere (bare for tjenesteleverandører) – Hvis du er administrator for tjenesteleverandøren som konfigurerer partner-SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IdP-kravet til å inkludere e-postattributtet (i stedet for uid). Verdien må tilordnes attributtet som er valgt i katalogkoblingen, eller brukerattributtet som samsvarer med attributtet som er valgt i Webex-identitetstjenesten.


    Hvis du vil ha mer informasjon om hvordan du tilordner egendefinerte attributter for enten SSO eller Partner SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.

  • Bare SSO for partnere. Identitetsleverandøren må støtte URL-adresser for ACS (Assertion Consumer Service). Hvis du vil se eksempler på hvordan du konfigurerer flere ACS-URL-adresser på en identitetsleverandør, kan du se:

  • Bruk en nettleser som støttes: vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.

  • Deaktiver eventuelle popup-blokkeringer i nettleseren din.


Konfigurasjonsveiledningene viser et spesifikt eksempel for SSO-integrasjon, men gir ikke uttømmende konfigurasjon for alle muligheter. Integreringstrinnene for urn:oasis:names:tc:SAML:2.0:nameid-format:transient er for eksempel dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:uspesifisert eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil fungere for SSO-integrasjon, men er utenfor omfanget av dokumentasjonen vår.

Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.

Du trenger to filer for å oppnå en vellykket SAML-avtale:

  • En metadatafil fra IdP, som du kan gi til Webex.

  • En metadatafil fra Webex, som skal leveres til IdP.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP.

Metadatafil fra identitetstjenesten.

Følgende er det du forventer å se i metadatafilen fra identitetstjenesten.

  • EntityID– Brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen

  • Det er ikke noe krav om en signert AuthN-forespørsel eller noen tegndeklarasjoner, den overholder det IdP ber om i metadatafilen.

  • En signert metadatafil for IdP for å bekrefte at metadataene tilhører identitetstjenesten.

1

Logg på Kontrollhub (https://admin.webex.com), gå til Innstillinger , rull til Godkjenning og klikk Endre.

2

Klikk Integrer en tredjeparts identitetsleverandør. (Avansert) , og klikk deretter Komme i gang.

3

Klikk Last ned metadatafil , og klikk Neste .

4

Webex Platform Identity Service validerer metadatafilen fra IdP.

Du kan validere metadataene fra Kunde-IDP på to mulige måter:

  • Kunde-IDP gir en signatur i metadataene som er signert av en offentlig rotsertifiseringsinstans.

  • Kunde-IDP tilbyr en selvsignert privat sertifiseringsinstans eller gir ikke en signatur for metadataene sine. Dette alternativet er mindre sikkert.

5

Test SSO-tilkoblingen før du aktiverer den.

6

Hvis testen lykkes, aktiverer du Enkel pålogging.

Hvis du får problemer med SSO-integrasjonen, kan du bruke kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.

  • Bruk SAML-sporingstillegget for Firefox eller Chrome .

  • Hvis du vil feilsøke, bruker du webleseren der du installerte verktøyet for SAML-sporingsfeilsøking, og går til webversjonen av Webex at https://teams.webex.com.

Følgende er flyten av meldinger mellom Webex-appen, Webex-tjenester, Webex Platform Identity Service og identitetsleverandøren (IdP).

  1. Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.
  2. Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres.
  3. Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST.
  4. Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP.
  5. Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen.
  6. SAML-deklarasjon fra IdP til Webex.
  7. Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.
1

Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.

Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.

2

Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres.

Du kan se GET-forespørselen i sporingsfilen.

I parameterdelen ser tjenesten etter en OAuth-kode, e-post til brukeren som sendte forespørselen, og andre OAuth-detaljer som ClientID, redirectURI og Scope.

3

Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST.

Når SSO er aktivert, omdirigeres godkjenningsmotoren i identitetstjenesten til IDP-URL-adressen for SSO. URL-adressen for IdP ble angitt da metadataene ble utvekslet.

Se etter en SAML POST-melding i sporingsverktøyet. Du ser en HTTP POST-melding til IdP forespurt av IdPbroker.

RelayState-parameteren viser riktig svar fra IdP.

Se gjennom dekodingsversjonen av SAML-forespørselen, det er ikke noe mandat AuthN og målet for svaret skal gå til mål-URL-en til IdP. Kontroller at nameid-formatet er riktig konfigurert i IdP under riktig entityID (SPNameQualifier)

IdP nameid-formatet er angitt og navnet på avtalen som ble konfigurert da SAML-avtalen ble opprettet.

4

Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP.

Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP, startes forskjellige flyter fra IdP.

5

Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen.

Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten.

RelayState er den samme som forrige HTTP POST-melding der appen forteller IdP hvilken EntityID som ber om deklarasjonen.

6

SAML-deklarasjon fra IdP til Webex.

7

Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.

Når identitetstjenesten har validert svaret fra IdP, utsteder de et OAuth-token som gir Webex-appen tilgang til de forskjellige Webex-tjenestene.