Dacă aveți propriul furnizor de identitate (IdP) în organizația dvs., puteți integra IdP SAML în cadrul organizației dvs. în Control Hub pentru conectare unică (SSO). SSO le permite utilizatorilor să utilizeze un singur set comun de date de autentificare pentru aplicațiile Webex și alte aplicații din organizația dvs.
Următoarele soluții de gestionare a accesului web și de federare au fost testate pentru organizațiile Webex. Documentele de mai jos vă îndrumă prin modul de integrare a furnizorului de identitate specific (IdP) respectiv în organizația dvs. Webex.
Aceste ghiduri includ integrarea SSO pentru serviciile Webex care sunt gestionate în Control Hub (https://admin.webex.com). Dacă sunteți în căutarea unei integrării SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), consultați Configurați autentificarea unică pentru site-ul Cisco Webex. Dacă doriți să configurați SSO pentru mai mulți furnizori de identitate din organizația dvs., consultați SSO cu mai multe ID-uri în Webex. |
Dacă nu vedeți IdP-ul dvs. enumerat mai jos, urmați pașii de nivel înalt din fila Configurare SSO din acest articol.
Conectarea unică (SSO) le permite utilizatorilor să se conecteze la Webex în siguranță, autentificându-se la furnizorul de identitate comun (IdP) al organizației dvs. Aplicația Webex utilizează serviciul Webex pentru a comunica cu Webex Platform Identity Service. Serviciul de identitate se autentifică la furnizorul dvs. de identitate (IdP).
Începeți configurarea în Control Hub. Această secțiune surprinde pașii generici de nivel înalt pentru integrarea unui IdP terț.
Când configurați SSO cu IdP, puteți mapa orice atribut la uid. De exemplu, mapați userPrincipalName, un pseudonim de e-mail, o adresă de e-mail alternativă sau orice alt atribut adecvat pentru uid. IdP trebuie să corespundă uneia dintre adresele de e-mail ale utilizatorului cu uid-ul atunci când se conectează. Webex acceptă maparea a până la 5 adrese de e-mail la uid. |
Vă recomandăm să includeți Single Log Out (SLO) în configurația dvs. de metadate în timp ce configurați federația Webex SAML. Acest pas este crucial pentru a se asigura că jetoanele de utilizator sunt invalidate atât la Furnizorul de identitate (IdP), cât și la Furnizorul de servicii (SP). Dacă această configurație nu este efectuată de un administrator, atunci Webex avertizează utilizatorii să își închidă browserele pentru a invalida orice sesiuni rămase deschise. |
Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:
Setați atributul pentru formatul NameID la urn:oasis:names:tc:SAML:2.0:nameid-format:tranzitoriu
Configurați o revendicare a IdP în funcție de tipul de SSO pe care îl implementați:
SSO (pentru o organizație)—dacă configurați SSO în numele unei organizații, configurați revendicarea IdP pentru a include numele de atribut uid cu o valoare care este mapată la atributul care este ales în Directory Connector sau atributul de utilizator care se potrivește cu cel care este ales în serviciul de identitate Webex. (Acest atribut poate fi Adresă de e-mail sau Nume principal utilizator, de exemplu.)
SSO partener (doar pentru furnizorii de servicii)—dacă sunteți administratorul unui Furnizor de servicii care configurează SSO partener pentru a fi utilizat de către organizațiile client pe care Furnizorul de servicii le administrează, configurați revendicarea IdP pentru a include atributul de e-mail (în loc de uid). Valoarea trebuie să fie mapată la atributul care este ales în Directory Connector sau atributul pentru utilizator care se potrivește cu cel care este ales în serviciul de identitate Webex.
Pentru mai multe informații despre maparea atributelor personalizate pentru SSO sau SSO partener, consultați https://www.cisco.com/go/hybrid-services-directory.
Doar SSO partener. Furnizorul de identitate trebuie să accepte mai multe URL-uri Assertion Consumer Service (ACS). Pentru a vedea exemple de configurare a mai multor URL-uri ACS pe un furnizor de identitate, consultați:
Utilizați un browser acceptat: vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.
Dezactivați blocarea ferestrelor pop-up din browserul dvs.
Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru |
Trebuie să stabiliți un acord SAML între Webex Platform Identity Service și IdP-ul dvs.
Aveți nevoie de două fișiere pentru a obține un acord SAML reușit:
Un fișier cu metadate de la IdP, pentru a-l furniza Webex.
Un fișier cu metadate de la Webex, pentru a-l furniza IdP.
Acesta este un exemplu de fișier cu metadate PingFederate cu metadate de la IdP.
Fișier cu metadate de la serviciul de identitate.
Următoarele opțiuni sunt ceea vă așteptați să vedeți în fișierul cu metadate de la serviciul de identitate.
EntityID—Acesta este utilizat pentru a identifica acordul SAML în configurația IdP
Nu există nicio cerință pentru o solicitare AuthN semnată sau orice aserțiuni semnate, aceasta respectând ceea ce solicită IdP în fișierul cu metadate.
Un fișier cu metadate semnat pentru IdP pentru a verifica dacă metadatele aparțin serviciului de identitate.
1 | Din vizualizarea clientului din Control Hub ( https://admin.webex.com), accesați , derulați la Autentificare și faceți clic pe Activare setare SSO pentru a porni expertul de configurare. |
2 | Selectați Webex ca IdP și faceți clic pe Înainte. |
3 | Verificați dacă am citit și am înțeles cum funcționează Webex IdP și faceți clic pe Înainte. |
4 | Configurați o regulă de rutare. După ce ați adăugat o regulă de rutare, IdP-ul dvs. este adăugat și este afișat în fila Identitate furnizor .
Pentru mai multe informații, consultați SSO cu mai multe ID-uri în Webex.
|
Indiferent dacă ați primit o notificare privind un certificat care expiră sau dacă doriți să verificați configurația SSO existentă, puteți utiliza Funcțiile de gestionare a conectării unice (SSO) în Control Hub pentru gestionarea certificatelor și activități generale de întreținere SSO.
Dacă întâmpinați probleme cu integrarea SSO, utilizați cerințele și procedura din această secțiune pentru a soluționa problemele fluxului SAML dintre IdP și Webex.
Utilizați programul suplimentar de urmărire SAML pentru Firefox, Chrome, sau Edge.
Pentru soluționarea problemelor, utilizați browserul web în care ați instalat instrumentul de depanare a urmăririi SAML și accesați versiunea web a Webex la https://web.webex.com.
Mai jos vedeți fluxul de mesaje între Aplicația Webex, serviciile Webex, Webex Platform Identity Service și furnizorul de identitate (IdP).
1 | Accesați https://admin.webex.com și, cu SSO activat, aplicația va solicita o adresă de e-mail.
Aplicația trimite informațiile către serviciul Webex care verifică adresa de e-mail.
|
2 | Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un token. Cererea este redirecționată către serviciul de identitate, către fluxul SSO sau de nume de utilizator și parolă. URL-ul pentru serverul de autentificare este returnat. Puteți vedea solicitarea GET în fișierul de urmărire. În secțiunea de parametri, serviciul caută un cod OAuth, e-mailul utilizatorului care a trimis solicitarea și alte detalii OAuth, precum ClientID, redirectURI și domeniul de aplicare. |
3 | Aplicația Webex solicită o aserțiune SAML de la IdP utilizând un HTTP POST SAML.
Când SSO este activat, motorul de autentificare din serviciul de identitate redirecționează către URL-ul IdP pentru SSO. URL-ul IdP furnizat în momentul schimbului de metadate. Verificați în instrumentul de urmărire dacă există un mesaj POST SAML. Vedeți un mesaj HTTP POST către IdP solicitat de IdPbroker. Parametrul RelayState afișează răspunsul corect de la IdP. Revizuiți versiunea de decodare a solicitării SAML, nu există niciun mandat AuthN și destinația răspunsului ar trebui să meargă la URL-ul de destinație al IdP. Asigurați-vă că formatul nameid este configurat corect în IdP cu un entityID corect (SPNameQualifier) Formatul IdP nameid este specificat și numele acordului configurat atunci când a fost creat acordul SAML. |
4 | Autentificarea pentru aplicație are loc între resursele web ale sistemului de operare și IdP.
În funcție de IdP-ul dvs. și de mecanismele de autentificare configurate în IdP, din IdP sunt pornite diferite fluxuri. |
5 | Aplicația trimite un HTTP Post înapoi către serviciul de identitate și include atributele furnizate de IdP și convenite în acordul inițial.
Când autentificarea este efectuată, aplicația trimite informațiile într-un mesaj POST SAML către serviciul de identitate. RelayState este același cu mesajul HTTP POST anterior, în care aplicația îi indică IdP ce EntityID solicită aserțiunea. |
6 | Aserțiune SAML de la IdP la Webex. |
7 | Serviciul de identitate primește un cod de autorizare care este înlocuit cu un token de acces și reîmprospătare OAuth. Acest token este utilizat pentru a accesa resurse în numele utilizatorului.
După ce serviciul de identitate validează răspunsul de la IdP, acesta emite un token OAuth care permite Aplicației Webex să acceseze diferitele servicii Webex. |