As seguintes soluções de gerenciamento e federação de acesso à web foram testadas para organizações Webex. Os documentos vinculados abaixo orientam você sobre como integrar esse provedor de identidade específico (IdP) à sua organização Webex.


 

Esses guias cobrem a integração de SSO para serviços Webex gerenciados no Control Hub (https://admin.webex.com). Se você estiver procurando a integração de SSO de um site Webex Meetings (gerenciado na Administração do site), leia Configurar o registro único no site Cisco Webex.

Se você não vir seu IdP listado abaixo, siga as etapas de alto nível na guia Configuração de SSO deste artigo.

O registro único (SSO) permite que os usuários iniciem sessão no Webex com segurança, autenticando-se no provedor de identidade comum (IdP) da sua organização. O aplicativo Webex usa o serviço Webex para se comunicar com o Serviço de identidade da plataforma Webex. O serviço de identidade é autenticado com seu provedor de identidade (IdP).

Você inicia a configuração no Control Hub. Esta seção reúne etapas genéricas de alto nível para a integração de um IdP de terceiros.


 
Ao configurar o SSO com seu IdP, você poderá mapear qualquer atributo no uid. Por exemplo, mapeie o userPrincipalName, um alias de e-mail, um endereço de e-mail alternativo ou qualquer outro atributo adequado para o uid. O IdP precisa corresponder ao uid de um dos endereços de e-mail do usuário ao iniciar sessão. O Webex oferece suporte ao mapeamento de até 5 endereços de e-mail no uid.

Requisitos para provedores de identidade

No SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure uma declaração no IdP de acordo com o tipo de SSO que você está implantando:

    • SSO (de uma organização)—Se você estiver configurando o SSO em nome de uma organização, configure a declaração IdP para incluir o nome do atributo uid com um valor mapeado para o atributo escolhido no Conector de diretórios, ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.)

    • SSO de parceiro (apenas para provedores de serviços)—Se você for um administrador de Provedor de serviços que está configurando o SSO de parceiro para ser usado pelas organizações de clientes que o Provedor de serviços gerencia, configure a declaração de IdP para incluir o atributo de correio (em vez de uid). O valor deve corresponder ao atributo escolhido no Conector de diretórios ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex.


     

    Para obter mais informações sobre como mapear atributos personalizados para SSO ou SSO de parceiro, consulte https://www.cisco.com/go/hybrid-services-directory.

  • Somente SSO de parceiro. O Provedor de identidade deve oferecer suporte a várias URLs do Assertion Consumer Service (ACS). Para obter exemplos de como configurar várias URLs do ACS em um Provedor de identidade, consulte:

  • Use um navegador compatível: recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.

  • Desative todos os bloqueadores de pop-up em seu navegador.


 

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração do nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarão para integração de SSO, mas estão fora do escopo da nossa documentação.

Estabeleça um contrato SAML

Você deve estabelecer um contrato SAML entre o Serviço de identidade da plataforma Webex e seu IdP.

Você precisa de dois arquivos para obter um contrato SAML bem-sucedido:

  • Um arquivo de metadados do IdP para fornecer ao Webex.

  • Um arquivo de metadados do Webex para fornecer ao IdP.

Este é um exemplo de arquivo de metadados PingFederate com metadados do IdP.

Arquivo de metadados do serviço de identidade.

Veja a seguir o que você espera ver no arquivo de metadados do serviço de identidade.

  • EntityID—Usado para identificar o contrato SAML na configuração do IdP

  • Não há nenhum requisito para uma solicitação AuthN assinada ou qualquer declaração de assinatura, ela está em conformidade com o que o IdP solicita no arquivo de metadados.

  • Um arquivo de metadados assinado para o IdP para verificar se os metadados pertencem ao serviço de identidade.

Configurar serviço de identidade Webex

1

Na exibição do cliente no Control Hub https://admin.webex.com), vá até Gerenciamento > Configurações da organização, role até Autenticação e ative a configuração de Registro único para iniciar o assistente de configuração.

2

Escolha o tipo de certificado:

  • Autoassinado pela Cisco—Recomendamos que você escolha esta opção para que possamos nos tornar o SP. Além disso, você só precisa renovar o certificado a cada cinco anos.
  • Assinado por uma autoridade de certificação pública—Esta opção é segura e recomendável se você obtiver seus certificados assinados por uma CA pública, como Hydrant ou Godaddy. No entanto, você deve renovar o certificado uma vez por ano.
3

Clique em Baixar metadados e em Próximo.

4

O serviço de Identidade da plataforma Webex valida o arquivo de metadados do IdP.

Existem duas maneiras possíveis de validar os metadados do IdP do cliente:

  • O IdP do cliente fornece uma assinatura nos metadados que é assinada por uma CA raiz pública.

  • O IdP do cliente fornece uma CA privada autoassinada ou não fornece uma assinatura para os metadados. Esta opção é menos segura.

5

Teste a conexão de SSO antes de habilitá-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.


 

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

6

Se o teste for bem-sucedido, ative o SSO e salve as alterações.

Você deve salvar as alterações para que o SSO entre em vigor na sua organização.

Se você receber um aviso sobre um certificado expirando ou deseja verificar sua configuração de SSO existente, poderá usar os Recursos de gerenciamento de registro único (SSO) no Control Hub para gerenciamento de certificados e atividades gerais de manutenção de SSO.

Se você tiver problemas com sua integração de SSO, use os requisitos e o procedimento nesta seção para solucionar problemas de fluxo SAML entre seu IdP e Webex.

Requisitos para solução de problemas de SSO

  • Use o complemento de rastreamento SAML para Firefox ou Chrome.

  • Para solucionar problemas, use o navegador da web onde você instalou a ferramenta de depuração de rastreamento SAML e vá até a versão web do Webex em https://web.webex.com.

Solucionar problemas do fluxo SAML entre o aplicativo Webex, seu IdP e os serviços Webex

A seguir está o fluxo de mensagens entre o aplicativo Webex, serviços Webex, serviço de identidade da plataforma Webex e o provedor de identidade (IdP).

1

Vá até o https://admin.webex.com e, com o SSO ativado, o aplicativo solicitará um endereço de e-mail.

O aplicativo envia as informações para o serviço Webex que verifica o endereço de e-mail.

2

O aplicativo envia uma solicitação GET ao servidor de autorização OAuth para obter um token. A solicitação é redirecionada ao serviço de identidade, SSO ou fluxo de nome de usuário e senha. A URL do servidor de autenticação é retornada.

Você pode ver a solicitação GET no arquivo de rastreamento.

Na seção de parâmetros, o serviço procura um código OAuth, e-mail do usuário que enviou a solicitação e outros detalhes do OAuth, como ClientID, redirectURI e Scope.

3

O aplicativo Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.

Quando o SSO está ativado, o mecanismo de autenticação no serviço de identidade redireciona para a URL IdP do SSO. A URL IdP fornecida quando os metadados foram trocados.

Verifique na ferramenta de rastreamento se há uma mensagem SAML POST. Você vê uma mensagem HTTP POST para o IdP solicitada pelo IdPbroker.

O parâmetro RelayState mostra a resposta correta do IdP.

Revise a versão decodificada da solicitação SAML, não há autorização AuthN e o destino da resposta deve ir para a URL de destino do IdP. Certifique-se de que o nameid-format esteja configurado corretamente no IdP sob o entityID correto (SPNameQualifier)

O IdP nameid-format será especificado e o nome do contrato configurado quando o contrato SAML for criado.

4

A autenticação do aplicativo ocorre entre os recursos da web do sistema operacional e o IdP.

Dependendo do seu IdP e dos mecanismos de autenticação configurados no IdP, diferentes fluxos são iniciados do IdP.

5

O aplicativo envia um HTTP Post de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no contrato inicial.

Quando a autenticação for bem-sucedida, o aplicativo enviará as informações em uma mensagem SAML POST para o serviço de identidade.

O RelayState é o mesmo que a mensagem HTTP POST anterior em que o aplicativo informa ao IdP qual EntityID está solicitando a declaração.

6

Declaração SAML do IdP para o Webex.

7

O serviço de identidade recebe um código de autorização que é substituído por um token de acesso e atualização OAuth. Esse token é usado para acessar recursos em nome do usuário.

Depois que o serviço de identidade valida a resposta do IdP, ele emite um token OAuth que permite que o aplicativo Webex acesse os diferentes serviços Webex.