Următoarele soluții de gestionare și federalizare a accesului web au fost testate pentru organizațiile Webex. Documentele legate mai jos vă ghidează despre cum să integrați acel furnizor de identitate specific (IdP) cu organizația dvs.


Aceste ghiduri acoperă integrarea SSO pentru serviciile Webex care sunt gestionate în Control Hub (https://admin.webex.com). Dacă sunteți în căutarea integrării SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), citiți Configurarea conectării unice pentru site-ul Cisco Webex.

Dacă nu vedeți IdP-ul listat mai jos, urmați pașii de nivel înalt din fila Instalare SSO din acest articol.

Sign-on-ul unic (SSO) permite utilizatorilor să se conecteze la Webex în siguranță prin autentificarea la organizațiile dumneavoastră furnizor comun de identitate (IdP). Webex App utilizează serviciul Webex pentru a comunica cu Serviciul de identitate al platformei Webex. Serviciul de identitate se autentifică cu furnizorul de identitate (IdP).

Porniți configurația în Control Hub. Această secțiune surprinde pașii generici de nivel înalt pentru integrarea unui IdP terț.

Pentru SSO și ControlHub, IPP-urile trebuie să fie conforme cu specificațiile SAML 2.0. În plus, IPP-urile trebuie configurate în felul următor:

  • Setați atributul NameID Format la urn:oasis:names:tc:SAML:2.0:nameid-format:tranzitoriu

  • Configurați o revendicare pe IdP în funcție de tipul de SSO pe care îl implementați:

    • SSO (pentru o organizație)- Dacă configurați SSO în numele unei organizații, configurați revendicarea IdP pentru a include numele atributului uid cu o valoare care este mapată la atributul ales în Conector director sauatributul de utilizator care se potrivește cu cel ales în serviciul de identitate Webex. (Acest atribut poate fi adrese de poștă electronică sau nume-principal de utilizator, de exemplu.)

    • Partener SSO (numai pentru furnizorii de servicii) - Dacă sunteți un administrator de furnizor de servicii care configurează Partner SSO pentru a fi utilizat de organizațiile de clienți pe care le gestionează furnizorul de servicii, configurați revendicarea IdP pentru a include atributul de e-mail (mai degrabă decât uid). Valoarea trebuie să mapeze la atributul ales în Conector director sau laatributul de utilizator care se potrivește cu cel ales în serviciul de identitate Webex.


    Pentru mai multe informații despre maparea atributelor particularizate pentru SSO sau Partner SSO, consultați https://www.cisco.com/go/hybrid-services-directory.

  • Numai pentru parteneri SSO. Furnizorul de identitate trebuie să accepte mai multe adrese URL de servicii pentru consumatori (ACS). Pentru exemple de configurare a mai multor ADRESE URL ACS pe un furnizor de identitate, consultați:

  • Utilizați un browser acceptat: vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.

  • Dezactivați orice blocante pop-up din browser.


Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna nameid-format:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress will work for SSO integration but are outside the scope of our documentation.

Trebuie să stabiliți un acord SAML între Serviciul de identitate al platformei Webex și IdP-ul dvs.

Aveți nevoie de două fișiere pentru a obține un acord SAML de succes:

  • Un fișier de metadate din IdP, pentru a da webex.

  • Un fișier de metadate de la Webex, pentru a da idP.

Acesta este un exemplu de fișier de metadate PingFederate cu metadate din IdP.

Fișier de metadate de la serviciul de identitate.

Iată ce vă așteptați să vedeți în fișierul de metadate de la serviciul de identitate.

  • EntityID - Acest lucru este utilizat pentru a identifica acordul SAML în configurația IdP

  • Nu există nicio cerință pentru o solicitare AuthN semnată sau orice aserțiuni de semn, respectă ceea ce solicită IdP în fișierul de metadate.

  • Un fișier de metadate semnat pentru IdP pentru a verifica dacă metadatele aparțin serviciului de identitate.

1

Din vizualizarea client din Control Hub (https://admin.webex.com), accesați Gestionare > Setări organizație , defilați la Autentificare și comutați pe setarea Sign-On unic pentru a porni expertul de configurare.

2

Alegeți tipul de certificat:

  • Auto-semnat de Cisco- Vă recomandăm să alegeți această opțiune pentru a ne permite să devenim SP. De asemenea, trebuie doar să reînnoiți certificatul la fiecare cinci ani.
  • Semnată de o autoritate de certificare publică– Această opțiune este sigură și recomandabilă dacă obțineți certificatele semnate de la un CA public, cum ar fi Hydrant sau Godaddy. Cu toate acestea, trebuie să reînnoiți certificatul o dată pe an.
3

Faceți clic pe Descărcare metadate și faceți clic pe Următorul.

4

Serviciul de identitate a platformei Webex validează fișierul de metadate din IdP.

Există două modalități posibile de a valida metadatele din IdP-ul clientului:

  • IdP client furnizează o semnătură în metadatele care este semnat de un CA rădăcină publică.

  • IdP client oferă un CA privat auto-semnat sau nu furnizează o semnătură pentru metadatele lor. Această opțiune este mai puțin sigură.

5

Testați conexiunea SSO înainte de a o activa. Acest pas funcționează ca o rulare uscată și nu afectează setările organizației până când nu activați SSO în pasul următor.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiere URL în clipboard din acest ecran și să îl lipiți într-o fereastră de browser privată. De acolo, puteți merge prin conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul web care ar putea oferi un rezultat fals pozitiv atunci când testați configurația SSO.

6

Dacă testul reușește, atunci rotiți SSO și salvați modificările.

Trebuie să salvați modificările pentru ca SSO să aibă efect în organizația dvs.

Indiferent dacă ați primit o notificare despre un certificat care expiră sau doriți să verificați configurația SSO existentă, puteți utiliza caracteristicile de gestionare Single Sign-On (SSO) din Control Hub pentru gestionarea certificatelor și activitățile generale de întreținere SSO.

Dacă întâmpinați probleme cu integrarea SSO, utilizați cerințele și procedura din această secțiune pentru a depana fluxul SAML între IdP și Webex.

  • Utilizați addon-ul de urmărire SAML pentru Firefox sau Chrome .

  • Pentru a depana, utilizați browserul web unde ați instalat instrumentul de depanare a urmăririi SAML și accesați versiunea web a Webex la https://web.webex.com.

Următorul este fluxul de mesaje între Webex App, Webex Services, Webex Platform Identity Service și furnizorul de identitate (IdP).

  1. Accesați https://admin.webex.com și, cu SSO activat, aplicația solicită o adresă de e-mail.
  2. Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un token. Solicitarea este redirecționată către serviciul de identitate către fluxul SSO sau numele de utilizator și parola. URL-ul pentru serverul de autentificare este returnat.
  3. Aplicația Webex solicită o afirmație SAML de la IdP utilizând o postare HTTP SAML.
  4. Autentificarea pentru aplicație are loc între resursele web ale sistemului de operare și IdP.
  5. Aplicația trimite o postare HTTP înapoi la serviciul de identitate și include atributele furnizate de IdP și convenite în acordul inițial.
  6. Saml afirmație de la IdP la Webex.
  7. Serviciul de identitate primește un cod de autorizare care este înlocuit cu un simbol de acces și reîmprospătare OAuth. Acest token este utilizat pentru a accesa resurse în numele utilizatorului.
1

Accesați https://admin.webex.com și, cu SSO activat, aplicația solicită o adresă de e-mail.

Aplicația trimite informațiile către serviciul Webex care verifică adresa de e-mail.

2

Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un token. Solicitarea este redirecționată către serviciul de identitate către fluxul SSO sau numele de utilizator și parola. URL-ul pentru serverul de autentificare este returnat.

Puteți vedea solicitarea GET în fișierul de urmărire.

În secțiunea parametri, serviciul caută un cod OAuth, un e-mail al utilizatorului care a trimis solicitarea și alte detalii OAuth, cum ar fi ClientID, redirectURI și Scope.

3

Aplicația Webex solicită o afirmație SAML de la IdP utilizând o postare HTTP SAML.

Când este activat SSO, motorul de autentificare în serviciul de identitate redirecționează către URL-ul IdP pentru SSO. URL-ul IdP furnizat atunci când metadatele au fost schimbate.

Verificați instrumentul de urmărire pentru un mesaj SAML POST. Vedeți un mesaj HTTP POST la IdP solicitat de IdPbroker.

Parametrul RelayState afișează răspunsul corect din IdP.

Examinați versiunea decodare a cererii SAML, nu există nici un mandat AuthN și destinația răspunsului ar trebui să meargă la adresa URL de destinație a IdP. Asigurați-vă că formatul nameid este configurat corect în IdP sub entityID corect (SPNameQualifier)

Formatul nameid IdP este specificat și numele acordului configurat atunci când s-a creat acordul SAML.

4

Autentificarea pentru aplicație are loc între resursele web ale sistemului de operare și IdP.

În funcție de IdP și de mecanismele de autentificare configurate în IdP, fluxuri diferite sunt pornite de la IdP.

5

Aplicația trimite o postare HTTP înapoi la serviciul de identitate și include atributele furnizate de IdP și convenite în acordul inițial.

Când autentificarea are succes, aplicația trimite informațiile dintr-un mesaj SAML POST către serviciul de identitate.

RelayState este la fel ca mesajul anterior HTTP POST în cazul în care aplicația spune IdP care EntityID solicită aserțiunea.

6

Saml afirmație de la IdP la Webex.

7

Serviciul de identitate primește un cod de autorizare care este înlocuit cu un simbol de acces și reîmprospătare OAuth. Acest token este utilizat pentru a accesa resurse în numele utilizatorului.

După ce serviciul de identitate validează răspunsul de la IdP, acestea emit un simbol OAuth care permite aplicației Webex să acceseze diferitele servicii Webex.