As seguintes soluções de gerenciamento de acesso à web e federação foram testadas para organizações Cisco Webex com usuários Webex. Os documentos vinculados abaixo o guiam sobre como integrar esse provedor de identidade específico (IdP) ao Webex e à organização Webex gerenciada através do Cisco Webex Control Hub .


Se você não vir seu IdP listado abaixo, use as etapas de alto nível na guia "configuração SSO aplicativo" neste artigo.

Os guias anteriores abrangem SSO integração com os serviços Webex que são gerenciados em Cisco Webex Control Hub (https://admin.webex.com). Se você está procurando pela integração SSO para um site Webex clássico (gerenciado no administração do site), use o artigo Configurar o single sign-on para Site Cisco Webex Meetings em vez disso.

O single sign-on (SSO) permite que os usuários se inscrevam para Cisco Webex segurança autenticando no seu provedor de identidade comum (IdP) da sua organização. Cisco Webex usa o serviço Cisco Webex de atendimento para se comunicar com o serviço Cisco Webex de identidade da plataforma de serviço. O serviço de identidade autentica com seu provedor de identidade (IdP).

Você inicia a configuração em Cisco Webex Control Hub. Esta seção captura passos genéricos de alto nível para integrar um IdP de terceiros.

Para SSO e Cisco Webex Control Hub , os IdPs devem estar em conformidade com a especificação SAML 2.0. Além disso, os IdPs devem ser configurados da seguinte maneira:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transitório

  • Configure uma reivindicação no IdP para incluir o nome do atributo uid com um valor que é mapeado para o atributo que é escolhido no Cisco Conector de diretórios ou o atributo de usuário que corresponde ao que é escolhido no Cisco Webex serviço de identidade. (Este atributo pode ser E-mail-Endereços ou Nome Do Usuário-Principal, por exemplo.) Consulte as informações do atributo personalizado https://www.cisco.com/go/hybrid-services-directory em para obter orientação.

  • Use um navegador da Web suportado: recomendamos a versão mais recente do Mozilla Firefox ou Google Chrome.

  • Desative todos os bloqueadores de pop-up no seu navegador.


Os guias de configuração mostram um exemplo específico para a integração SSO e não fornecem configuração exaustiva para todas as possibilidades. Por exemplo, as etapas de integração para o formato nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transitório são documentadas. Outros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionará para a integração SSO mas estão fora do escopo da nossa documentação.

Você deve estabelecer um contrato SAML entre o serviço Cisco Webex de identidade da plataforma e o seu IdP.

Você precisa de dois arquivos para conseguir um acordo SAML bem-sucedido.

Este é um exemplo de um arquivo PingFederate de metadados com metadados do IdP.

Arquivo de metadados da serviço de identidade.

O seguinte é o que você espera ver no arquivo de metadados do serviço de identidade.

  • ID da Entidade — Isso é usado para identificar o contrato SAML na configuração IdP

  • Não há requisito para uma solicitação de AuthN assinada ou quaisquer declarações de sinal, ela está em conformidade com o que o IdP solicita no arquivo de metadados.

  • Um arquivo de metadados assinado para o IdP para verificar se os metadados pertence ao serviço de identidade.

1

Na exibição do cliente https://admin.webex.comem , vá para Configurações, role até Autenticação e clique em Modificar .

2

Clique em Integrar um provedor de identidade de terceiros. (Avançado) e clique em Introdução.

3

Clique em Baixar arquivo de metadados e clique em Próximo.

4

Cisco Webex serviço de Identidade da Plataforma valida o arquivo de metadados do IdP.

Existem duas maneiras possíveis de validar os metadados do IdP do cliente:

  • O IdP do cliente fornece uma assinatura nos metadados que é assinado por uma CA Raiz Pública.

  • O IdP do cliente fornece uma CA privada auto-assinada ou não fornece uma assinatura para seus metadados. Esta opção é menos segura.

5

Teste a conexão SSO anterior antes de habilita-la.

6

Se o teste for bem-sucedido, então ative o Single Sign On.

Se você tiver problemas com a integração SSO sistema, use os requisitos e o procedimento nesta seção para solucionar o fluxo SAML entre o IdP e o serviço Cisco Webex cliente.

  • Use o complemento de rastreamento SAML para Firefox ou Chrome .

  • Para solucionar problemas, use o navegador da web em que você instalou a ferramenta de rastreamento SAML e vá para a versão web das ferramentas Cisco Webex em https://teams.webex.com.

O seguinte é o fluxo de mensagens entre o Cisco Webex , o serviço Cisco Webex de Cisco Webex De Identidade da Plataforma e o Provedor de Identidade (IdP).

  1. Vá para https://admin.webex.com e, com SSO habilitado, o aplicativo solicita um endereço de e-mail.
  2. O cliente envia uma solicitação GET para o servidor de autorização OAuth para um token. A solicitação é redirecionada para a serviço de identidade para o fluxo de SSO de usuário e senha. A URL para o servidor de autenticação é retornada.
  3. Cisco Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.
  4. A autenticação para o aplicativo acontece entre os recursos web do sistema operacional e o IdP.
  5. Cisco Webex envia um Post HTTP de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no acordo inicial.
  6. Afirmação SAML do IdP ao Webex.
  7. O serviço de identidade recebe um código de autorização que é substituído por um acesso OAuth e um token de atualização. Este token é usado para acessar recursos em nome do usuário.
1

Vá para https://admin.webex.com e, com SSO habilitado, o aplicativo solicita um endereço de e-mail.

O aplicativo envia as informações para o serviço Cisco Webex e o serviço verifica o endereço de e-mail.

2

O cliente envia uma solicitação GET para o servidor de autorização OAuth para um token. A solicitação é redirecionada para a serviço de identidade para o fluxo de SSO de usuário e senha. A URL para o servidor de autenticação é retornada.

Você pode ver a solicitação GET no arquivo de rastreamento.

Na seção de parâmetros, o serviço procura um código OAuth, um e-mail do usuário que enviou a solicitação e outros detalhes do OAuth, como ClientID, redirectURI e Escopo.

3

Cisco Webex solicita uma declaração SAML do IdP usando um SAML HTTP POST.

Quando SSO ativado, o mecanismo de autenticação no serviço de identidade redireciona para a URL IdP para SSO. A URL IdP fornecida quando os metadados foram trocados.

Verifique na ferramenta de rastreamento para uma mensagem SAML POST. Você verá uma mensagem HTTP POST para o IdP solicitado pelo idPbroker.

O parâmetro RelayState mostra a resposta correta do IdP.

Revise a versão de decodificar da solicitação SAML, não há nenhum pedido de AuthN e o destino da resposta deve ir para a URL de destino do IdP. Certifique-se que o formato nameid está configurado corretamente no IdP no ID da entidade correta (SPNameQualifier)

O formato IdP nameid é especificado e o nome do contrato configurado quando o contrato SAML foi criado.

4

A autenticação para o aplicativo acontece entre os recursos web do sistema operacional e o IdP.

Dependendo do IdP e dos mecanismos de autenticação configurados no IdP, fluxos diferentes são iniciados a partir do IdP.

5

Cisco Webex envia um Post HTTP de volta ao serviço de identidade e inclui os atributos fornecidos pelo IdP e acordados no acordo inicial.

Quando a autenticação é bem sucedida, Cisco Webex envia as informações em uma mensagem SAML POST para o serviço de identidade.

O RelayState é o mesmo que a mensagem HTTP POST anterior, onde o aplicativo informa o IdP qual EntityID está solicitando a afirmação.

6

Afirmação SAML do IdP ao Webex.

7

O serviço de identidade recebe um código de autorização que é substituído por um acesso OAuth e um token de atualização. Este token é usado para acessar recursos em nome do usuário.

Após o serviço de identidade validar a resposta do IdP, ele em questão um token OAuth que permite Cisco Webex acesso a diferentes Cisco Webex em nuvem.