Następujące rozwiązania do zarządzania dostępem do sieci Web i federacji zostały przetestowane dla organizacji Webex. Poniższe dokumenty prowadzą do integracji tego określonego dostawcy tożsamości (IdP) z organizacją Webex.


Te przewodniki obejmują integrację SSO dla usług Webex, które są zarządzane w Centrum sterowania (https://admin.webex.com). Jeśli szukasz integracji logowania jednokrotnego witryny spotkań webex (zarządzanej w administracji witryną), przeczytaj artykuł Konfigurowanie logowania jednokrotnego dla witryny Cisco Webex.

Jeśli nie widzisz swojego idp na liście poniżej, wykonaj kroki wysokiego poziomu na karcie Ustawienia usługi SSO w tym artykule.

Logowanie jednokrotne (Logowanie jednokrotne) umożliwia użytkownikom bezpieczne logowanie się do programu Webex przez uwierzytelnianie w organizacjach wspólnego dostawcy tożsamości (IdP). Aplikacja Webex korzysta z usługi Webex do komunikowania się z usługą tożsamości platformy Webex. Usługa tożsamości uwierzytelnia się za pomocą dostawcy tożsamości (IdP).

Uruchom konfigurację w Centrum sterowania. W tej sekcji przechwytuje wysokiego poziomu, ogólne kroki integracji dostawcy identyfikatora innej firmy.

W przypadku sso i koncentratora sterowania dostawcy usług IDP muszą być zgodne ze specyfikacją SAML 2.0. Ponadto dostawcy identyfikatorów muszą być skonfigurowane w następujący sposób:

  • Ustawianie atrybutu Format Nazwy na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Skonfiguruj oświadczenie w dostawcy idP zgodnie z typem wdrażanego identyfikatora SYC:

    • Jednoświadczenie (dla organizacji) — jeśli konfigurujesz jednoświadczenie w imieniu organizacji, skonfiguruj oświadczenie IdP, aby uwzględnić nazwę atrybutu uid z wartością mapową na atrybut wybrany w łączniku katalogu lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex. (Ten atrybut może być na przykład adresami e-mail lub user-principal-name).

    • Logowanie jednoświerczynne partnera (tylko dla dostawców usług) — jeśli użytkownik jest administratorem dostawcy usług, który konfiguruje logowanie jednośliżające partnera do użytku przez organizacje klientów, którymi zarządza dostawca usług, skonfiguruj oświadczenie IdP tak, aby zawierało atrybut poczty (a nie identyfikator). Wartość musi być mapowana na atrybut wybrany w łączniku katalogu lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex.


    Aby uzyskać więcej informacji na temat mapowania atrybutów niestandardowych dla logowania jednośliowego logowania jednoślidynkowego logowania jednośmiętego lub partnera, zobacz https://www.cisco.com/go/hybrid-services-directory.

  • Tylko logi loga dla partnerów. Dostawca tożsamości musi obsługiwać wiele adresów URL usługi konsumenckej (ACS). Przykłady konfigurowania wielu adresów URL usługi ACS u dostawcy tożsamości można znaleźć w:

  • Użyj obsługiwanej przeglądarki: zalecamy najnowszą wersję Przeglądarki Mozilla Firefox lub Google Chrome.

  • Wyłącz wszystkie blokady wyskakujących wyskakujących po przeglądarce.


Przewodniki konfiguracji zawierają konkretny przykład integracji z swolotnym przysłowieszem SWO, ale nie zapewniają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla urn:oasis:oasis:oasis:name:tc:SAML:2.0:nameid-format:transient są udokumentowane. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będzie działać na rzecz integracji jednokrotnego podpisu, ale są poza zakresem naszej dokumentacji.

Należy zawrzeć umowę SAML między usługą tożsamości platformy Webex a twoim IdP.

Potrzebujesz dwóch plików, aby osiągnąć pomyślną umowę SAML:

  • Plik metadanych z IdP, aby dać Webex.

  • Plik metadanych z Webex, aby dać do IdP.

Jest to przykład pliku metadanych PingFederate z metadanymi z IdP.

Plik metadanych z usługi tożsamości.

Poniżej przedstawiono, czego oczekujesz w pliku metadanych z usługi tożsamości.

  • EntityID — służy do identyfikowania umowy SAML w konfiguracji IdP

  • Nie ma wymogu dla podpisanego żądania AuthN lub jakichkolwiek potwierdzeń znaku, jest zgodny z żądaniami IdP w pliku metadanych.

  • Podpisany plik metadanych dla dostawcy tożsamości, aby sprawdzić, czy metadane należą do usługi tożsamości.

1

Zaloguj się do Centrum sterowania (https://admin.webex.com), przejdź do pozycji Ustawienia ,przewiń do pozycji Uwierzytelnianie i kliknij przyciskModyfikuj.

2

Kliknij pozycję Zintegruj dostawcę tożsamości innej firmy. (Zaawansowane) , a następnie kliknij pozycję Wprowadzenie.

3

Kliknij pozycję Pobierz plik metadanych i kliknij przycisk Dalej.

4

Usługa tożsamości platformy Webex sprawdza poprawność pliku metadanych z dostawcy tożsamości.

Istnieją dwa możliwe sposoby sprawdzania poprawności metadanych z identyfikatora klienta:

  • Customer IdP udostępnia podpis w metadanych, który jest podpisany przez publiczny główny urząd certyfikacji.

  • Customer IdP zapewnia własny podpis prywatnego urzędu certyfikacji lub nie udostępnia podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.

5

Przed włączeniem należy przetestować połączenie sytego.

6

Jeśli test zakończy się pomyślnie, włącz logowanie jednokrotne.

Jeśli napotkasz problemy z integracją sycącącą, użyj wymagań i procedur w tej sekcji, aby rozwiązać problem przepływu SAML między IdP i Webex.

  • Użyj dodatku śledzenia SAML dla Firefoksa lub Chrome.

  • Aby rozwiązać problem, należy skorzystać z przeglądarki internetowej, w której zainstalowano narzędzie do debugowania śledzenia SAML, i przejdź do internetowej wersji webex pod adresem https://teams.webex.com.

Poniżej przedstawiono przepływ wiadomości między aplikacją Webex, usługami Webex, usługą tożsamości platformy Webex i dostawcą tożsamości (IdP).

  1. Przejdź do https://admin.webex.com aplikacji SSO, a po włączeniu funkcji SSO aplikacja wyświetli monit o podanie adresu e-mail.
  2. Aplikacja wysyła żądanie GET do serwera autoryzacji OAuth dla tokenu. Żądanie zostanie przekierowane do usługi tożsamości do logowania jednoliczonego lub przepływu nazwy użytkownika i hasła. Zwracany jest adres URL serwera uwierzytelniania.
  3. Aplikacja Webex żąda potwierdzenia SAML z IdP przy użyciu WPISU HTTP SAML.
  4. Uwierzytelnianie aplikacji odbywa się między zasobami sieci web systemu operacyjnego a idP.
  5. Aplikacja wysyła wpis HTTP z powrotem do usługi tożsamości i zawiera atrybuty dostarczone przez IdP i uzgodnione w umowie początkowej.
  6. Twierdzenie SAML z IdP do Webex.
  7. Usługa tożsamości odbiera kod autoryzacji, który jest zastępowany tokenem dostępu i odświeżania OAuth. Ten token jest używany do uzyskiwania dostępu do zasobów w imieniu użytkownika.
1

Przejdź do https://admin.webex.com aplikacji SSO, a po włączeniu funkcji SSO aplikacja wyświetli monit o podanie adresu e-mail.

Aplikacja wysyła informacje do usługi Webex, która weryfikuje adres e-mail.

2

Aplikacja wysyła żądanie GET do serwera autoryzacji OAuth dla tokenu. Żądanie zostanie przekierowane do usługi tożsamości do logowania jednoliczonego lub przepływu nazwy użytkownika i hasła. Zwracany jest adres URL serwera uwierzytelniania.

Żądanie GET można zobaczyć w pliku śledzenia.

W sekcji parametry usługa wyszukuje kod OAuth, wiadomość e-mail użytkownika, który wysłał żądanie, oraz inne szczegóły OAuth, takie jak ClientID, redirectURI i Scope.

3

Aplikacja Webex żąda potwierdzenia SAML z IdP przy użyciu WPISU HTTP SAML.

Gdy funkcja SSO jest włączona, aparat uwierzytelniania w usłudze tożsamości przekierowuje adres URL dostawcy tożsamości dla dostawcy obsługi dokumentów sytłych. Adres URL IdP podany podczas wymiany metadanych.

Zaewidencjonuj narzędzie śledzenia dla komunikatu SAML POST. Zostanie wyświetlony komunikat HTTP POST do IdP żądanego przez IdPbroker.

Parametr RelayState pokazuje poprawną odpowiedź z IdP.

Przejrzyj wersję dekodowania żądania SAML, nie ma żadnego mandatu AuthN, a miejsce docelowe odpowiedzi powinno przejść do docelowego adresu URL IdP. Upewnij się, że format nazwy jest poprawnie skonfigurowany w IdP pod właściwym identyfikatorem entityID (SPNameQualifier)

Określono format nameid IdP i nazwę umowy skonfigurowaną podczas tworzenia umowy SAML.

4

Uwierzytelnianie aplikacji odbywa się między zasobami sieci web systemu operacyjnego a idP.

W zależności od identyfikatora i mechanizmów uwierzytelniania skonfigurowanych w IdP, różne przepływy są uruchamiane z IdP.

5

Aplikacja wysyła wpis HTTP z powrotem do usługi tożsamości i zawiera atrybuty dostarczone przez IdP i uzgodnione w umowie początkowej.

Po pomyślnym uwierzytelnieniu aplikacja wysyła informacje w wiadomości SAML POST do usługi tożsamości.

RelayState jest taka sama jak poprzedni komunikat HTTP POST, gdzie aplikacja informuje IdP, który EntityID żąda potwierdzenia.

6

Twierdzenie SAML z IdP do Webex.

7

Usługa tożsamości odbiera kod autoryzacji, który jest zastępowany tokenem dostępu i odświeżania OAuth. Ten token jest używany do uzyskiwania dostępu do zasobów w imieniu użytkownika.

Po usługa tożsamości sprawdza poprawność odpowiedzi z IdP, wydają token OAuth, który umożliwia aplikacji Webex dostęp do różnych usług Webex.