Următoarele soluții de gestionare a accesului web și de federație au fost testate pentru organizațiile Webex. Documentele legate mai jos vă arată să integrați acel furnizor de identitate specific (IDP) cu organizația Webex.


Aceste ghiduri acoperă integrarea SSO pentru serviciile Webex care sunt gestionate în Control Hub (https://admin.webex.com). Dacă sunteți în căutarea integrării SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), citiți Configurarea sign-on-ului unic pentru site-ul Cisco Webex.

Dacă nu vedeți IdP-ul listat mai jos, urmați pașii la nivel înalt din fila Configurare SSO din acest articol.

Sign-on unic (SSO) permite utilizatorilor să se conecteze la Webex în siguranță prin autentificarea la furnizorul comun de identitate (IDP) al organizațiilor dvs. Webex App utilizează serviciul Webex pentru a comunica cu Serviciul de identitate platformă Webex. Serviciul de identitate se autentifică cu furnizorul de identitate (IDP).

Porniți configurația în Control Hub. Această secțiune surprinde pași generici la nivel înalt pentru integrarea unui IdP terț.

Pentru SSO și Control Hub, PSI trebuie să fie conforme cu specificația SAML 2.0. În plus, PSI trebuie configurate în felul următor:

  • Setați atributul Format NameID la urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurați o revendicare pe IDP în funcție de tipul de SSO pe care îl implementați:

    • SSO (pentru o organizație) — Dacă configurați SSO în numele unei organizații, configurați revendicarea IDP pentru a include numele atributului uid cu o valoare care este mapată la atributul ales în Conectorul director sau atributul de utilizator care se potrivește cu cel ales în serviciul de identitate Webex. (Acest atribut poate fi Adrese de poștă electronică sau Nume-principal utilizator, de exemplu.)

    • Partener SSO (numai pentru furnizorii de servicii) - Dacă sunteți un administrator de furnizor de servicii care configurează SSO partener pentru a fi utilizat de organizațiile de clienți pe care furnizorul de servicii le gestionează, configurați revendicarea IdP pentru a include atributul de poștă electronică (mai degrabă decât uid). Valoarea trebuie să se mapeze la atributul ales în Conector director sau la atributul utilizator care se potrivește cu cel ales în serviciul de identitate Webex.


    Pentru mai multe informații despre maparea atributelor particularizate fie pentru SSO, fie pentru SSO partener, consultați https://www.cisco.com/go/hybrid-services-directory.

  • Numai SSO partener. Furnizorul de identitate trebuie să accepte mai multe URL-uri de serviciu de consum de afirmare (ACS). Pentru exemple despre configurarea mai multor adrese URL ACS pe un furnizor de identitate, consultați:

  • Utilizați un browser acceptat: vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.

  • Dezactivați orice blocante pop-up din browser.


Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru urna în format nameid:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified sau urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress va lucra pentru integrarea SSO, dar sunt în afara domeniului de aplicare al documentației noastre.

Trebuie să stabiliți un acord SAML între Serviciul de identitate a platformei Webex și IDP-ul dvs.

Aveți nevoie de două fișiere pentru a obține un acord SAML de succes:

  • Un fișier de metadate din IDP, pentru a-l da webexului.

  • Un fișier de metadate de la Webex, pentru a-l da IDP-ului.

Acesta este un exemplu de fișier de metadate PingFederate cu metadate din IDP.

Fișier de metadate de la serviciul de identitate.

Următorul este ceea ce vă așteptați să vedeți în fișierul de metadate din serviciul de identitate.

  • EntityID — Acesta este utilizat pentru a identifica acordul SAML în configurația IDP

  • Nu există nicio cerință pentru o solicitare AuthN semnată sau orice afirmații de semne, aceasta respectă ceea ce solicită IDP în fișierul de metadate.

  • Un fișier de metadate semnat pentru IDP pentru a verifica dacă metadatele aparțin serviciului de identitate.

1

Conectați-vă la Hubul de control (https://admin.webex.com), accesați Setări ,defilați la Autentificare și faceți clic pe Modificare.

2

Faceți clic pe Integrare furnizor de identitate terță parte. (Avansat) apoi faceți clic pe Introducere.

3

Faceți clic pe Descărcare fișier metadate și faceți clic pe Următorul .

4

Serviciul Webex Platform Identity validează fișierul de metadate din IDP.

Există două modalități posibile de validare a metadatelor din IDP-ul clientului:

  • IdP-ul clientului furnizează o semnătură în metadatele semnate de un CA rădăcină publică.

  • IdP-ul clientului furnizează un CA privat autosemnat sau nu furnizează o semnătură pentru metadatele sale. Această opțiune este mai puțin sigură.

5

Testați conexiunea SSO înainte de a o activa.

6

Dacă testul reușește, activați Sign On unic.

Dacă aveți probleme cu integrarea SSO, utilizați cerințele și procedura din această secțiune pentru a depana fluxul SAML între IDP și Webex.

  • Utilizați addon-ul de urmărire SAML pentru Firefox sau Chrome .

  • Pentru a depana, utilizați browserul Web unde ați instalat instrumentul de depanare a urmelor SAML și mergeți la versiunea web de Webex la https://teams.webex.com.

Următorul este fluxul de mesaje între Webex App, Webex Services, Webex Platform Identity Service și furnizorul de identitate (IdP).

  1. Accesați https://admin.webex.com și, cu SSO activat, aplicația solicită o adresă de e-mail.
  2. Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un simbol. Solicitarea este redirecționată către serviciul de identitate către SSO sau către fluxul de nume de utilizator și parolă. URL-ul pentru serverul de autentificare este returnat.
  3. Webex App solicită o afirmație SAML de la IDP folosind un SAML HTTP POST.
  4. Autentificarea aplicației are loc între resursele web ale sistemului de operare și IDP.
  5. Aplicația trimite o postare HTTP înapoi la serviciul de identitate și include atributele furnizate de IDP și convenite în acordul inițial.
  6. Afirmația SAML de la IDP la Webex.
  7. Serviciul de identitate primește un cod de autorizare care este înlocuit cu un simbol de acces și reîmprospătare OAuth. Acest simbol este utilizat pentru a accesa resurse în numele utilizatorului.
1

Accesați https://admin.webex.com și, cu SSO activat, aplicația solicită o adresă de e-mail.

Aplicația trimite informațiile către serviciul Webex care verifică adresa de e-mail.

2

Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un simbol. Solicitarea este redirecționată către serviciul de identitate către SSO sau către fluxul de nume de utilizator și parolă. URL-ul pentru serverul de autentificare este returnat.

Puteți vedea solicitarea GET în fișierul de urmărire.

În secțiunea parametri, serviciul caută un cod OAuth, e-mailul utilizatorului care a trimis solicitarea și alte detalii OAuth, ar fi ClientID, redirectURI și Scope.

3

Webex App solicită o afirmație SAML de la IDP folosind un SAML HTTP POST.

Când SSO este activat, motorul de autentificare din serviciul de identitate redirecționează către URL-ul IdP pentru SSO. URL-ul IDP furnizat atunci când metadatele au fost schimbate.

Verificați instrumentul de urmărire pentru un mesaj SAML POST. Vedeți un mesaj HTTP POST la IDP solicitat de IdPbroker.

Parametrul RelayState afișează răspunsul corect din IDP.

Examinați versiunea de decodare a solicitării SAML, nu există niciun mandat AuthN, iar destinația răspunsului ar trebui să meargă la adresa URL de destinație a IDP. Asigurați-vă că formatul nameid este configurat corect în IDP sub IDID-ul corect (SPNameQualifier)

Se specifică formatul idP nameid și numele acordului configurat atunci când a fost creat acordul SAML.

4

Autentificarea aplicației are loc între resursele web ale sistemului de operare și IDP.

În funcție de IDP și de mecanismele de autentificare configurate în IDP, diferite fluxuri sunt pornite de la IDP.

5

Aplicația trimite o postare HTTP înapoi la serviciul de identitate și include atributele furnizate de IDP și convenite în acordul inițial.

Când autentificarea are succes, aplicația trimite informațiile într-un mesaj SAML POST către serviciul de identitate.

RelayState este același cu mesajul HTTP POST anterior în care aplicația spune IDP-ului care EntityID solicită afirmația.

6

Afirmația SAML de la IDP la Webex.

7

Serviciul de identitate primește un cod de autorizare care este înlocuit cu un simbol de acces și reîmprospătare OAuth. Acest simbol este utilizat pentru a accesa resurse în numele utilizatorului.

După ce serviciul de identitate validează răspunsul de la IDP, acestea emit un simbol OAuth care permite aplicației Webex să acceseze diferitele servicii Webex.