Integração do registro único no Control Hub
As seguintes soluções de gerenciamento e federação de acesso à web foram testadas para organizações Webex. Os documentos vinculados abaixo orientam você sobre como integrar esse provedor de identidade específico (IdP) à sua organização Webex.
Esses guias cobrem a integração de SSO para serviços Webex gerenciados no Control Hub (https://admin.webex.com). Se você estiver procurando a integração de SSO de um site Webex Meetings (gerenciado na Administração do site), leia Configurar o registro único no site Cisco Webex.
Se você quiser configurar o SSO para vários provedores de identidade na sua organização, consulte SSO com vários IdPs no Webex .
Se você não vir seu IdP listado abaixo, siga as etapas de alto nível na guia Configuração de SSO deste artigo.
O registro único (SSO) permite que os usuários iniciem sessão no Webex com segurança, autenticando-se no provedor de identidade comum (IdP) da sua organização. O aplicativo Webex usa o serviço Webex para se comunicar com o Serviço de identidade da plataforma Webex. O serviço de identidade é autenticado com seu provedor de identidade (IdP).
Você inicia a configuração no Control Hub. Esta seção reúne etapas genéricas de alto nível para a integração de um IdP de terceiros.
Ao configurar o SSO com seu IdP, você poderá mapear qualquer atributo no uid. Por exemplo, mapeie o userPrincipalName, um alias de e-mail, um endereço de e-mail alternativo ou qualquer outro atributo adequado para o uid. O IdP precisa corresponder ao uid de um dos endereços de e-mail do usuário ao iniciar sessão. O Webex oferece suporte ao mapeamento de até 5 endereços de e-mail no uid.
Recomendamos que você inclua o Single Log Out (SLO) na configuração de metadados durante a configuração da federação SAML do Webex. Esta etapa é crucial para garantir que os tokens dos usuários sejam inválidos em ambos, no Provedor de identidade (IdP) e no Provedor de serviços (SP). Se esta configuração não for executada por um administrador, o Webex alertará os usuários a fecharem os navegadores para invalidar todas as sessões deixadas abertas.
No SSO e Control Hub, os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:
-
Defina o atributo de Formato NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transiente
-
Configure uma declaração no IdP de acordo com o tipo de SSO que você está implantando:
-
SSO (de uma organização)—Se você estiver configurando o SSO em nome de uma organização, configure a declaração IdP para incluir o nome do atributo uid com um valor mapeado para o atributo escolhido no Conector de diretórios, ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.)
-
SSO de parceiro (apenas para provedores de serviços)—Se você for um administrador de Provedor de serviços que está configurando o SSO de parceiro para ser usado pelas organizações de clientes que o Provedor de serviços gerencia, configure a declaração de IdP para incluir o atributo de correio (em vez de uid). O valor deve corresponder ao atributo escolhido no Conector de diretórios ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex.
Para obter mais informações sobre como mapear atributos personalizados para SSO ou SSO de parceiro, consulte https://www.cisco.com/go/hybrid-services-directory.
-
-
Somente SSO de parceiro. O Provedor de identidade deve oferecer suporte a várias URLs do Assertion Consumer Service (ACS). Para obter exemplos de como configurar várias URLs do ACS em um Provedor de identidade, consulte:
-
Use um navegador compatível: recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.
-
Desative todos os bloqueadores de pop-up em seu navegador.
Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.
Você deve estabelecer um contrato SAML entre o Serviço de identidade da plataforma Webex e seu IdP.
Você precisa de dois arquivos para obter um contrato SAML bem-sucedido:
-
Um arquivo de metadados do IdP para fornecer ao Webex.
-
Um arquivo de metadados do Webex para fornecer ao IdP.
Este é um exemplo de arquivo de metadados PingFederate com metadados do IdP.
Arquivo de metadados do serviço de identidade.
Veja a seguir o que você espera ver no arquivo de metadados do serviço de identidade.
-
EntityID—Usado para identificar o contrato SAML na configuração do IdP
-
Não há nenhum requisito para uma solicitação AuthN assinada ou qualquer declaração de assinatura, ela está em conformidade com o que o IdP solicita no arquivo de metadados.
-
Um arquivo de metadados assinado para o IdP para verificar se os metadados pertencem ao serviço de identidade.
1 |
Na exibição do cliente no Control Hub ( https://admin.webex.com), vá para , role até Autenticação e clique em Ativar configuração de SSO para iniciar o assistente de configuração. |
2 |
Selecione Webex como seu IdP e clique em Next . |
3 |
Verifique Eu li e entendi como o Webex IdP funciona e clique em Next . |
4 |
Configure uma regra de roteamento. Depois de adicionar uma regra de roteamento, o IdP é adicionado e mostrado na guia Identity provider .
Para obter mais informações, consulte SSO com vários IdPs no Webex .
|
Se você receber um aviso sobre um certificado expirando ou deseja verificar sua configuração de SSO existente, poderá usar os Recursos de gerenciamento de registro único (SSO) no Control Hub para gerenciamento de certificados e atividades gerais de manutenção de SSO.
Se você tiver problemas com sua integração de SSO, use os requisitos e o procedimento nesta seção para solucionar problemas de fluxo SAML entre seu IdP e Webex.
-
Use o complemento do rastreador SAML para Firefox , Chrome ou Edge .
-
Para solucionar problemas, use o navegador da web onde você instalou a ferramenta de depuração de rastreamento SAML e vá até a versão web do Webex em https://web.webex.com.
A seguir está o fluxo de mensagens entre o aplicativo Webex, serviços Webex, serviço de identidade da plataforma Webex e o provedor de identidade (IdP).
1 |
Vá até o https://admin.webex.com e, com o SSO ativado, o aplicativo solicitará um endereço de e-mail.
O aplicativo envia as informações para o serviço Webex que verifica o endereço de e-mail.
|
2 |
O aplicativo envia uma solicitação GET ao servidor de autorização OAuth para obter um token. A solicitação é redirecionada ao serviço de identidade, SSO ou fluxo de nome de usuário e senha. A URL do servidor de autenticação é retornada. Você pode ver a solicitação GET no arquivo de rastreamento. Na seção de parâmetros, o serviço procura um código OAuth, e-mail do usuário que enviou a solicitação e outros detalhes do OAuth, como ClientID, redirectURI e Scope. |
3 |
O aplicativo Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.
Quando o SSO está ativado, o mecanismo de autenticação no serviço de identidade redireciona para a URL IdP do SSO. A URL IdP fornecida quando os metadados foram trocados. Verifique na ferramenta de rastreamento se há uma mensagem SAML POST. Você vê uma mensagem HTTP POST para o IdP solicitada pelo IdPbroker. O parâmetro RelayState mostra a resposta correta do IdP. Revise a versão decodificada da solicitação SAML, não há autorização AuthN e o destino da resposta deve ir para a URL de destino do IdP. Certifique-se de que o nameid-format esteja configurado corretamente no IdP sob o entityID correto (SPNameQualifier) O IdP nameid-format será especificado e o nome do contrato configurado quando o contrato SAML for criado. |
4 |
A autenticação do aplicativo ocorre entre os recursos da web do sistema operacional e o IdP.
Dependendo do seu IdP e dos mecanismos de autenticação configurados no IdP, diferentes fluxos são iniciados do IdP. |
5 |
O aplicativo envia um HTTP Post de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no contrato inicial.
Quando a autenticação for bem-sucedida, o aplicativo enviará as informações em uma mensagem SAML POST para o serviço de identidade. O RelayState é o mesmo que a mensagem HTTP POST anterior em que o aplicativo informa ao IdP qual EntityID está solicitando a declaração. |
6 |
Declaração SAML do IdP para o Webex. |
7 |
O serviço de identidade recebe um código de autorização que é substituído por um token de acesso e atualização OAuth. Esse token é usado para acessar recursos em nome do usuário.
Depois que o serviço de identidade valida a resposta do IdP, ele emite um token OAuth que permite que o aplicativo Webex acesse os diferentes serviços Webex. |