As seguintes soluções de gerenciamento de acesso à web e federação foram testadas para organizações Webex. Os documentos vinculados abaixo o mostra como integrar esse provedor de identidade específico (IdP) à organização Webex.


Esses guias cobrem SSO integração com os serviços Webex que são gerenciados no Control Hub (https://admin.webex.com). Se você estiver procurando uma integração SSO de um site Webex Meetings (gerenciado no administração do site), leia Configurar o single sign-on para Site Cisco Webex Meetings.

Se você não vir seu IdP listado abaixo, siga as etapas de alto nível na guia SSO configuração pessoal neste artigo.

O single sign-on (SSO) permite que os usuários se inscrevam no Webex de forma segura, autenticando no seu provedor de identidade comum (IdP) da sua organização. O aplicativo Webex usa o serviço Webex para se comunicar com o Serviço de identidade da plataforma Webex. O serviço de identidade autentica com seu provedor de identidade (IdP).

Você inicia a configuração no Control Hub. Esta seção captura passos genéricos de alto nível para integrar um IdP de terceiros.

Para SSO e ControlHub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure uma reivindicação no IdP de acordo com o tipo de SSO que você está implementando:

    • SSO (para uma organização) — Se você estiver configurando o SSO em nome de uma organização, configure a reivindicação do IdP para incluir o nome do atributo uid com um valor que é mapeado para o atributo que é escolhido no Conector de diretórios , ou o atributo de usuário que corresponde ao que é escolhido no serviço de identidade do Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.)

    • Parceiros SSO (apenas para provedores de serviços) — Se você for um administrador de provedor de serviços que está configurando o Parceiro SSO a ser usado pelas organizações de clientes que o provedor de serviços gerencia, configure a reivindicação do IdP para incluir o atributo de e-mail (em vez de uid). O valor deve mapear para o atributo que é escolhido no Conector de diretórios , ou o atributo de usuário que corresponde ao escolhido no atributo Webex serviço de identidade.


    Para obter mais informações sobre o mapeamento de atributos personalizados para os SSO ou Parceiros SSO, consulte https://www.cisco.com/go/hybrid-services-directory.

  • Apenas SSO parceiro. O Fornecedor da identidade deve suportar múltiplas URLs Serviço de consumidor de asserção (ACS). Por exemplos de como configurar múltiplas URLs ACS em um Fornecedor da identidade, consulte:

  • Use um navegador da Web suportado: recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.

  • Desative todos os bloqueadores de pop-up no seu navegador.


Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Você deve estabelecer um contrato SAML entre o Serviço de Identidade da Plataforma Webex e seu IdP.

Você precisa de dois arquivos para conseguir um acordo SAML bem-sucedido:

  • Um arquivo de metadados do IdP, para dar ao Webex.

  • Um arquivo de metadados do Webex, para dar ao IdP.

Este é um exemplo de um arquivo PingFederate de metadados com metadados do IdP.

Arquivo de metadados da serviço de identidade.

O seguinte é o que você espera ver no arquivo de metadados do serviço de identidade.

  • ID da Entidade — Isso é usado para identificar o contrato SAML na configuração IdP

  • Não há requisito para uma solicitação de AuthN assinada ou qualquer declaração de sign, ela está em conformidade com o que o IdP solicita no arquivo de metadados.

  • Um arquivo de metadados assinado para o IdP para verificar se os metadados pertence ao serviço de identidade.

1

Na exibição do cliente no Control Hub ( ), vá para Gerenciamento das > da organização, role até Autenticação e alterne na configuração de Single Sign-On para iniciar o assistente dehttps://admin.webex.com configuração.

2

Escolha o tipo de certificado:

  • Auto assinado pela Cisco—Recomendamos que você escolha essa opção para nos permitir se tornar o SP. Além disso, você só precisa renovar o certificado a cada cinco anos.
  • Assinado por uma autoridade de certificação pública — Esta opção é segura e se você receber os certificados assinados de uma CA pública, comoHydrant ou Godaddy. No entanto, você deve renovar o certificado uma vez por ano.
3

Clique em Baixar metadados e clique em Próximo .

4

O serviço de Identidade da Plataforma Webex valida o arquivo de metadados do IdP.

Existem duas maneiras possíveis de validar os metadados do IdP do cliente:

  • O IdP do cliente fornece uma assinatura nos metadados que é assinado por uma CA Raiz Pública.

  • O IdP do cliente fornece uma CA privada auto-assinada ou não fornece uma assinatura para seus metadados. Esta opção é menos segura.

5

Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma dry run e não afeta as configurações da sua organização até que você permita SSO próxima etapa.


 

Para ver a SSO de início de trabalho diretamente, você também pode clicar em Copiar URL para área de transferência desta tela e colar em uma janela de navegador privado. A partir daí, você pode entrar com SSO. Isso ajuda a remover qualquer informação armazenada em cache no seu navegador da Web que poderia fornecer um resultado falso positivo ao testar a sua SSO configuração.

6

Se o teste for bem-sucedido, SSO e salve as alterações.

Você deve salvar as alterações SSO que entrarão em vigor na sua organização.

Se você recebeu um aviso sobre um certificado expirado ou quer verificar sua configuração existente do SSO, você pode usar os recursos de gerenciamento de Registro Único (SSO) no Control Hub para atividades de manutenção gerenciamento de certificados e em geral do SSO.

Se você tiver problemas com a integração SSO sistema, use os requisitos e o procedimento nesta seção para solucionar o fluxo SAML entre o IdP e o Webex.

  • Use o complemento de rastreamento SAML para o Firefox ou Chrome .

  • Para solucionar problemas, use o navegador da web em que você instalou a ferramenta de rastreamento SAML e vá para a versão web do Webex em https://web.webex.com.

O seguinte é o fluxo de mensagens entre o aplicativo Webex, serviços Webex, serviço de identidade da plataforma Webex e o provedor de identidade (IdP).

  1. Vá para https://admin.webex.com e, com SSO habilitado, o aplicativo solicita um endereço de e-mail.
  2. O aplicativo envia uma solicitação GET para o servidor de autorização OAuth para um token. A solicitação é redirecionada para a serviço de identidade para a SSO de usuário e o fluxo da senha. A URL para o servidor de autenticação é retornada.
  3. O aplicativo Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.
  4. A autenticação para o aplicativo acontece entre os recursos web do sistema operacional e o IdP.
  5. O aplicativo envia uma mensagem HTTP de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no acordo inicial.
  6. Afirmação SAML do IdP ao Webex.
  7. O serviço de identidade recebe um código de autorização que é substituído por um acesso OAuth e um token de atualização. Este token é usado para acessar recursos em nome do usuário.
1

Vá para https://admin.webex.com e, com SSO habilitado, o aplicativo solicita um endereço de e-mail.

O aplicativo envia as informações para o serviço Webex que verifica o endereço de e-mail.

2

O aplicativo envia uma solicitação GET para o servidor de autorização OAuth para um token. A solicitação é redirecionada para a serviço de identidade para a SSO de usuário e o fluxo da senha. A URL para o servidor de autenticação é retornada.

Você pode ver a solicitação GET no arquivo de rastreamento.

Na seção de parâmetros, o serviço procura um código OAuth, um e-mail do usuário que enviou a solicitação e outros detalhes do OAuth, como ClientID, redirectURI e Escopo.

3

O aplicativo Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.

Quando SSO ativado, o mecanismo de autenticação no serviço de identidade redireciona para a URL IdP para SSO. A URL IdP fornecida quando os metadados foram trocados.

Verifique na ferramenta de rastreamento para uma mensagem SAML POST. Você verá uma mensagem HTTP POST para o IdP solicitado pelo idPbroker.

O parâmetro RelayState mostra a resposta correta do IdP.

Revise a versão de decodificar da solicitação SAML, não há nenhum pedido de AuthN e o destino da resposta deve ir para a URL de destino do IdP. Certifique-se que o formato nameid está configurado corretamente no IdP no ID da entidade correta (SPNameQualifier)

O formato IdP nameid é especificado e o nome do contrato configurado quando o contrato SAML foi criado.

4

A autenticação para o aplicativo acontece entre os recursos web do sistema operacional e o IdP.

Dependendo do IdP e dos mecanismos de autenticação configurados no IdP, fluxos diferentes são iniciados a partir do IdP.

5

O aplicativo envia uma mensagem HTTP de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no acordo inicial.

Quando a autenticação é bem sucedida, o aplicativo envia as informações em uma mensagem POST SAML para o serviço de identidade.

O RelayState é a mesma mensagem HTTP POST anterior onde o aplicativo informa o IdP qual EntityID está solicitando a afirmação.

6

Afirmação SAML do IdP ao Webex.

7

O serviço de identidade recebe um código de autorização que é substituído por um acesso OAuth e um token de atualização. Este token é usado para acessar recursos em nome do usuário.

Após o serviço de identidade validar a resposta do IdP, eles em emissão de um token OAuth que permite que o aplicativo Webex acesse os diferentes serviços Webex.