Następujące rozwiązania do zarządzania dostępem do sieci Web i federacji zostały przetestowane dla organizacji Webex. Dokumenty połączone poniżej przeprowadzą Cię przez proces integracji tego konkretnego dostawcy tożsamości (IdP) z organizacją Webex.


Przewodniki te obejmują integrację logowania jednokrotnego dla usług Webex zarządzanych w centrum sterowania (https://admin.webex.com). Jeśli szukasz integracji logowania jednokrotnego w witrynie Webex Meetings (zarządzanej w administracji witryną), przeczytaj artykuł Konfigurowanie logowania jednokrotnego dla witryny Cisco Webex.

Jeśli nie widzisz swojego usługodawcy tożsamości na poniższej liście, wykonaj czynności wysokiego poziomu na karcie Konfiguracja logowania jednokrotnego w tym artykule.

Logowanie jednokrotne (SSO) umożliwia użytkownikom bezpieczne logowanie się do webex przez uwierzytelnianie w organizacji wspólnego dostawcy tożsamości (IdP). Aplikacja Webex korzysta z usługi Webex do komunikowania się z usługą Tożsamości Platformy Webex. Usługa tożsamości uwierzytelnia się u dostawcy tożsamości (IdP).

Konfigurację można uruchomić w centrum sterowania. W tej sekcji opisano ogólne kroki wysokiego poziomu dotyczące integracji dostawcy identyfikatorów innej firmy.

W przypadku logowania jednokrotnego i centrumsterowania dostawcy tożsamości muszą być zgodni ze specyfikacją SAML 2.0. Ponadto dostawcy IdPs muszą być skonfigurowani w następujący sposób:

  • Ustaw atrybut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Skonfiguruj oświadczenie dotyczące usługodawcy tożsamości zgodnie z typem wdrażanego logowania jednokrotnego:

    • Logowanie jednokrotne (dla organizacji) — jeśli konfigurujesz logowanie jednokrotne w imieniu organizacji, skonfiguruj oświadczenie dostawcy tożsamości tak, aby zawierało nazwę atrybutu uid z wartością mapowaną na atrybut wybrany w Łączniku katalogówlub atrybutem użytkownika zgodnym z atrybutem wybranym w usłudze tożsamości Webex. (Tym atrybutem mogą być na przykład E-mail-Addresses lub User-Principal-Name).

    • Logowanie jednokrotne partnera (tylko dla usługodawców) — jeśli jesteś administratorem usługodawcy, który konfiguruje logowanie jednokrotne partnera do użytku przez organizacje klientów, którymi zarządza usługodawca, skonfiguruj oświadczenie dostawcy tożsamości tak, aby zawierało atrybut poczty (a nie uid). Wartość musi być mapowana na atrybut wybrany w Łącznikukatalogów lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex.


    Aby uzyskać więcej informacji na temat mapowania atrybutów niestandardowych dla logowania jednokrotnego lub logowania jednokrotnego partnera, zobacz https://www.cisco.com/go/hybrid-services-directory.

  • Tylko logowanie jednokrotne partnerów. Dostawca tożsamości musi obsługiwać wiele adresów URL usługi ACS (Assertion Consumer Service). Aby zapoznać się z przykładami konfigurowania wielu adresów URL usługi ACS u dostawcy tożsamości, zobacz:

  • Użyj obsługiwanej przeglądarki: zalecamy najnowszą wersję przeglądarki Mozilla Firefox lub Google Chrome.

  • Wyłącz wszelkie blokady wyskakujących okienek w przeglądarce.


Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla formatu nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane. Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified lub urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale wykraczają poza zakres naszej dokumentacji.

Musisz ustanowić umowę SAML między Webex Platform Identity Service a Twoim dostawcą tożsamości.

Do pomyślnego zawarcia umowy SAML potrzebne są dwa pliki:

  • Plik metadanych z IdP, aby przekazać do Webex.

  • Plik metadanych z Webex, aby przekazać go dostawcy tożsamości.

Jest to przykład pliku metadanych PingFederate z metadanymi od dostawcy tożsamości.

Plik metadanych z usługi tożsamości.

Poniżej przedstawiono oczekiwane informacje w pliku metadanych z usługi tożsamości.

  • EntityID — służy do identyfikowania umowy SAML w konfiguracji usługodawcy tożsamości.

  • Nie ma wymogu podpisanego żądania AuthN ani żadnych podpisu, jest ono zgodne z żądaniami dostawcy tożsamości w pliku metadanych.

  • Podpisany plik metadanych dla dostawcy tożsamości w celu sprawdzenia, czy metadane należą do usługi tożsamości.

1

Z widoku klienta w centrum sterowania (https://admin.webex.com), przejdź do pozycji Zarządzanie > Ustawienia organizacji , przewiń do pozycji Uwierzytelnianie i włącz ustawienie logowania jednokrotnego, aby uruchomić kreatora konfiguracji.

2

Wybierz typ certyfikatu:

  • Podpis własny firmy Cisco— zalecamy wybranie tej opcji, aby umożliwić nam stanie się SP. Ponadto musisz odnawiać certyfikat tylko co pięć lat.
  • Podpisane przez publiczny urządcertyfikacji — ta opcja jest bezpieczna i zalecana, jeśli certyfikaty są podpisywane z publicznego urzędu certyfikacji, takiego jak Hydrant lub Godaddy. Certyfikat należy jednak odnawiać raz w roku.
3

Kliknij pobierz metadane i kliknij dalej .

4

Usługa Webex Platform Identity sprawdza poprawność pliku metadanych od dostawcy tożsamości.

Istnieją dwa możliwe sposoby sprawdzania poprawności metadanych od dostawcy tożsamości klienta:

  • Klient IdP zapewnia podpis w metadanych podpisany przez publiczny główny urząd certyfikacji.

  • Usługodawca tożsamości klienta udostępnia prywatny urząd certyfikacji z podpisem własnym lub nie zapewnia podpisu dla swoich metadanych. Ta opcja jest mniej bezpieczna.

5

Przetestuj połączenie logowania jednokrotnego przed jego włączenia. Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.


 

Aby bezpośrednio wyświetlić logowanie jednokrotne, możesz też kliknąć opcję Kopiuj adres URL do schowka z tego ekranu i wkleić go w prywatnym oknie przeglądarki. Stamtąd możesz przejść przez logowanie się za pomocą logowania jednokrotnego. Pomaga to usunąć wszelkie informacje buforowane w przeglądarce internetowej, które mogą dostarczyć fałszywie pozytywny wynik podczas testowania konfiguracji logowania jednokrotnego.

6

Jeśli test się powiedzie, włącz logowanie jednokrotne i zapisz zmiany.

Aby logowanie jednokrotne w organizacji obowiązywała, należy zapisać zmiany.

Niezależnie od tego, czy otrzymano powiadomienie o wygasającym certyfikacie, czy chcesz sprawdzić istniejącą konfigurację logowania jednokrotnego, możesz użyć funkcji zarządzania logowaniem jednokrotnym (SSO) w centrum sterowania do zarządzania certyfikatami i ogólnych działań związanych z konserwacją logowania jednokrotnego.

Jeśli napotkasz problemy z integracją logowania jednokrotnego, użyj wymagań i procedury w tej sekcji, aby rozwiązać problem z przepływem SAML między usługodawcą tożsamości a firmą Webex.

  • Użyj dodatku śledzenia SAML dla przeglądarki Firefox lub Chrome .

  • Aby rozwiązać problem, użyj przeglądarki internetowej, w której zainstalowano narzędzie do debugowania śledzenia SAML, i przejdź do internetowej wersji Webex pod adresem https://web.webex.com.

Poniżej przedstawiono przepływ komunikatów między aplikacją Webex, usługami Webex Services, usługą tożsamości platformy Webex a dostawcą tożsamości (IdP).

  1. Przejdź do https://admin.webex.com aplikacji, a po włączeniu logowania jednokrotnego aplikacja wyświetli monit o podanie adresu e-mail.
  2. Aplikacja wysyła żądanie GET do serwera autoryzacji OAuth dla tokenu. Żądanie jest przekierowywane do usługi tożsamości do przepływu logowania jednokrotnego lub nazwy użytkownika i hasła. Zostanie zwrócony adres URL serwera uwierzytelniania.
  3. Aplikacja Webex żąda potwierdzenia SAML od usługodawcy tożsamości przy użyciu protokołu SAML HTTP POST.
  4. Uwierzytelnianie aplikacji odbywa się między zasobami sieci Web systemu operacyjnego a usługodawcą IdP.
  5. Aplikacja wysyła wpis HTTP z powrotem do usługi tożsamości i zawiera atrybuty dostarczone przez dostawcę tożsamości i uzgodnione w pierwotnej umowie.
  6. Potwierdzenie SAML od IdP do Webex.
  7. Usługa tożsamości otrzymuje kod autoryzacji, który jest zastępowany tokenem dostępu i odświeżania OAuth. Ten token jest używany do uzyskiwania dostępu do zasobów w imieniu użytkownika.
1

Przejdź do https://admin.webex.com aplikacji, a po włączeniu logowania jednokrotnego aplikacja wyświetli monit o podanie adresu e-mail.

Aplikacja wysyła informacje do usługi Webex, która weryfikuje adres e-mail.

2

Aplikacja wysyła żądanie GET do serwera autoryzacji OAuth dla tokenu. Żądanie jest przekierowywane do usługi tożsamości do przepływu logowania jednokrotnego lub nazwy użytkownika i hasła. Zostanie zwrócony adres URL serwera uwierzytelniania.

Żądanie GET można zobaczyć w pliku śledzenia.

W sekcji parametrów usługa szuka kodu OAuth, adresu e-mail użytkownika, który wysłał żądanie, oraz innych szczegółów OAuth, takich jak ClientID, redirectURI i Scope.

3

Aplikacja Webex żąda potwierdzenia SAML od usługodawcy tożsamości przy użyciu protokołu SAML HTTP POST.

Gdy logowanie jednokrotne jest włączone, aparat uwierzytelniania w usłudze tożsamości przekierowuje do adresu URL dostawcy tożsamości dla logowania jednokrotnego. Adres URL dostawcy tożsamości podany podczas wymiany metadanych.

Sprawdź w narzędziu do śledzenia, czy jest wyświetlany komunikat SAML POST. Zostanie wyświetlony komunikat HTTP POST do IdP żądany przez IdPbroker.

Parametr RelayState pokazuje poprawną odpowiedź od IdP.

Przejrzyj wersję dekodowania żądania SAML, nie ma mandatu AuthN, a miejsce docelowe odpowiedzi powinno przejść do docelowego adresu URL usługodawcy tożsamości. Upewnij się, że format nameid jest poprawnie skonfigurowany w IdP pod poprawnym identyfikatorem jednostki (SPNameQualifier)

Format nazwy usługodawcy tożsamości jest określony, a nazwa umowy skonfigurowana podczas tworzenia umowy SAML.

4

Uwierzytelnianie aplikacji odbywa się między zasobami sieci Web systemu operacyjnego a usługodawcą IdP.

W zależności od usługodawcy IdP i mechanizmów uwierzytelniania skonfigurowanych w IdP różne przepływy są uruchamiane z IdP.

5

Aplikacja wysyła wpis HTTP z powrotem do usługi tożsamości i zawiera atrybuty dostarczone przez dostawcę tożsamości i uzgodnione w pierwotnej umowie.

Po pomyślnym uwierzytelnieniu aplikacja wysyła informacje zawarte w komunikacie SAML POST do usługi tożsamości.

Stan przekazywania jest taki sam jak poprzedni komunikat HTTP POST, w którym aplikacja informuje IdP, który Identyfikator jednostki żąda potwierdzenia.

6

Potwierdzenie SAML od IdP do Webex.

7

Usługa tożsamości otrzymuje kod autoryzacji, który jest zastępowany tokenem dostępu i odświeżania OAuth. Ten token jest używany do uzyskiwania dostępu do zasobów w imieniu użytkownika.

Po sprawdzeniu poprawności odpowiedzi dostawcy tożsamości przez dostawcę tożsamości wystawia token OAuth, który umożliwia aplikacji Webex dostęp do różnych usług Webex.