Următoarele soluții de gestionare a accesului web și de federare au fost testate pentru organizațiile Webex. Documentele de mai jos vă îndrumă prin modul de integrare a furnizorului de identitate specific (IdP) respectiv în organizația dvs. Webex.

Aceste ghiduri includ integrarea SSO pentru serviciile Webex care sunt gestionate în Control Hub (https://admin.webex.com). Dacă sunteți în căutarea unei integrării SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), consultați Configurați autentificarea unică pentru site-ul Cisco Webex.

Dacă doriți să configurați SSO pentru mai mulți furnizori de identitate din organizația dvs., consultați SSO cu mai mulți IdP în Webex.

Dacă nu vedeți IdP-ul dvs. enumerat mai jos, urmați pașii de nivel înalt din fila Configurare SSO din acest articol.

Conectarea unică (SSO) le permite utilizatorilor să se conecteze la Webex în siguranță, autentificându-se la furnizorul de identitate comun (IdP) al organizației dvs. Aplicația Webex utilizează serviciul Webex pentru a comunica cu Webex Platform Identity Service. Serviciul de identitate se autentifică la furnizorul dvs. de identitate (IdP).

Începeți configurarea în Control Hub. Această secțiune surprinde pașii generici de nivel înalt pentru integrarea unui IdP terț.

Când configurați SSO cu IdP, puteți mapa orice atribut la uid. De exemplu, mapați userPrincipalName, un pseudonim de e-mail, o adresă de e-mail alternativă sau orice alt atribut adecvat pentru uid. IdP trebuie să corespundă uneia dintre adresele de e-mail ale utilizatorului cu uid-ul atunci când se conectează. Webex acceptă maparea a până la 5 adrese de e-mail la uid.

Vă recomandăm să includeți Deconectare unică (SLO) la configurația metadatelor în timp ce configurați federația Webex SAML. Acest pas este crucial pentru a vă asigura că tokenurile de utilizator sunt invalidate atât la furnizorul de identitate (IdP), cât și la furnizorul de servicii (SP). Dacă această configurație nu este efectuată de un administrator, Webex alertează utilizatorii să-și închidă browserele pentru a invalida toate sesiunile rămase deschise.

Pentru SSO și Control Hub, IdP-urile trebuie să respecte specificația SAML 2.0. În plus, IdP-urile trebuie configurate în felul următor:

  • Setați atributul pentru formatul NameID la urn:oasis:names:tc:SAML:2.0:nameid-format:tranzitorie

  • Configurați o revendicare a IdP în funcție de tipul de SSO pe care îl implementați:

    • SSO (pentru o organizație)—dacă configurați SSO în numele unei organizații, configurați revendicarea IdP pentru a include numele de atribut uid cu o valoare care este mapată la atributul care este ales în Directory Connector sau atributul de utilizator care se potrivește cu cel care este ales în serviciul de identitate Webex. (Acest atribut poate fi Adresă de e-mail sau Nume principal utilizator, de exemplu.)

    • SSO partener (doar pentru furnizorii de servicii)—dacă sunteți administratorul unui Furnizor de servicii care configurează SSO partener pentru a fi utilizat de către organizațiile client pe care Furnizorul de servicii le administrează, configurați revendicarea IdP pentru a include atributul de e-mail (în loc de uid). Valoarea trebuie să fie mapată la atributul care este ales în Directory Connector sau atributul pentru utilizator care se potrivește cu cel care este ales în serviciul de identitate Webex.

    Pentru mai multe informații despre maparea atributelor personalizate pentru SSO sau SSO partener, consultați https://www.cisco.com/go/hybrid-services-directory.

  • Doar SSO partener. Furnizorul de identitate trebuie să accepte mai multe URL-uri Assertion Consumer Service (ACS). Pentru a vedea exemple de configurare a mai multor URL-uri ACS pe un furnizor de identitate, consultați:

  • Utilizați un browser acceptat: vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.

  • Dezactivați blocarea ferestrelor pop-up din browserul dvs.

Ghidurile de configurare prezintă un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile. De exemplu, pașii de integrare pentru nume-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentați. Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecificified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vor funcționa pentru integrarea SSO, dar sunt în afara domeniului de aplicare al documentației noastre.

Trebuie să stabiliți un acord SAML între Webex Platform Identity Service și IdP-ul dvs.

Aveți nevoie de două fișiere pentru a obține un acord SAML reușit:

  • Un fișier cu metadate de la IdP, pentru a-l furniza Webex.

  • Un fișier cu metadate de la Webex, pentru a-l furniza IdP.

Flux de schimb de fișiere cu metadate între Webex și furnizorul de identitate.

Acesta este un exemplu de fișier cu metadate PingFederate cu metadate de la IdP.

Captură de ecran a unui fișier cu metadate PingFederate care afișează metadate de la furnizorul de identitate.

Fișier cu metadate de la serviciul de identitate.

Captură de ecran a fișierului cu metadate de la serviciul de identitate.

Următoarele opțiuni sunt ceea vă așteptați să vedeți în fișierul cu metadate de la serviciul de identitate.

Captură de ecran a fișierului cu metadate de la serviciul de identitate.

  • EntityID—Acesta este utilizat pentru a identifica acordul SAML în configurația IdP

  • Nu există nicio cerință pentru o solicitare AuthN semnată sau orice aserțiuni semnate, aceasta respectând ceea ce solicită IdP în fișierul cu metadate.

  • Un fișier cu metadate semnat pentru IdP pentru a verifica dacă metadatele aparțin serviciului de identitate.

Captură de ecran a unui fișier cu metadate semnat pentru ca furnizorul de identitate să verifice dacă metadatele aparțin serviciului de identitate.

Captură de ecran a unui fișier cu metadate semnat utilizând Okta.

1

Din vizualizarea client din Control Hub (https://admin.webex.com), accesați Gestionare > Setări organizație, derulați la Autentificare și faceți clic pe setarea Activare SSO pentru a porni expertul de configurare.

2

Selectați Webex ca IdP și faceți clic pe Înainte.

3

Verificați Am citit și am înțeles cum funcționează Webex IdP și faceți clic pe Înainte.

4

Configurați o regulă de rutare.

După ce ați adăugat o regulă de rutare, IdP-ul dvs. este adăugat și este afișat în fila Furnizor de identitate .
Pentru mai multe informații, consultați SSO cu mai multe IdP în Webex.

Indiferent dacă ați primit o notificare privind un certificat care expiră sau dacă doriți să verificați configurația SSO existentă, puteți utiliza Funcțiile de gestionare a conectării unice (SSO) în Control Hub pentru gestionarea certificatelor și activități generale de întreținere SSO.

Dacă întâmpinați probleme cu integrarea SSO, utilizați cerințele și procedura din această secțiune pentru a soluționa problemele fluxului SAML dintre IdP și Webex.

  • Utilizați programul de completare SAML tracer pentru Firefox, Chrome sau Edge.

  • Pentru soluționarea problemelor, utilizați browserul web în care ați instalat instrumentul de depanare a urmăririi SAML și accesați versiunea web a Webex la https://web.webex.com.

Mai jos vedeți fluxul de mesaje între Aplicația Webex, serviciile Webex, Webex Platform Identity Service și furnizorul de identitate (IdP).

Flux SAML între Aplicația Webex, Serviciile Webex, Serviciul de identitate al platformei Webex și furnizorul de identitate.
1

Accesați https://admin.webex.com și, cu SSO activat, aplicația va solicita o adresă de e-mail.

Ecran de conectare Control Hub.

Aplicația trimite informațiile către serviciul Webex care verifică adresa de e-mail.

Informații trimise către serviciul Webex pentru verificarea adresei de e-mail.

2

Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un token. Cererea este redirecționată către serviciul de identitate, către fluxul SSO sau de nume de utilizator și parolă. URL-ul pentru serverul de autentificare este returnat.

Puteți vedea solicitarea GET în fișierul de urmărire.

Detaliile solicitării OBȚINEȚI în fișierul jurnal.

În secțiunea de parametri, serviciul caută un cod OAuth, e-mailul utilizatorului care a trimis solicitarea și alte detalii OAuth, precum ClientID, redirectURI și domeniul de aplicare.

Secțiunea de parametri care afișează detaliile OAuth, cum ar fi ClientID, redirectURI și domeniul de aplicare.

3

Aplicația Webex solicită o aserțiune SAML de la IdP utilizând un HTTP POST SAML.

Când SSO este activat, motorul de autentificare din serviciul de identitate redirecționează către URL-ul IdP pentru SSO. URL-ul IdP furnizat în momentul schimbului de metadate.

Motorul de autentificare redirecționează utilizatorii către URL-ul furnizorului de identitate specificat în timpul schimbului de metadate.

Verificați în instrumentul de urmărire dacă există un mesaj POST SAML. Vedeți un mesaj HTTP POST către IdP solicitat de IdPbroker.

Mesaj POST SAML către furnizorul de identitate.

Parametrul RelayState afișează răspunsul corect de la IdP.

Parametru RelayState care afișează răspunsul corect de la furnizorul de identitate.

Revizuiți versiunea de decodare a solicitării SAML, nu există niciun mandat AuthN și destinația răspunsului ar trebui să meargă la URL-ul de destinație al IdP. Asigurați-vă că formatul nameid este configurat corect în IdP cu un entityID corect (SPNameQualifier)

Solicitare SAML care afișează formatul nameid configurat în furnizorul de identitate.

Formatul IdP nameid este specificat și numele acordului configurat atunci când a fost creat acordul SAML.

4

Autentificarea pentru aplicație are loc între resursele web ale sistemului de operare și IdP.

În funcție de IdP-ul dvs. și de mecanismele de autentificare configurate în IdP, din IdP sunt pornite diferite fluxuri.

Înlocuitor furnizor de identitate pentru organizația dvs.

5

Aplicația trimite un HTTP Post înapoi către serviciul de identitate și include atributele furnizate de IdP și convenite în acordul inițial.

Când autentificarea este efectuată, aplicația trimite informațiile într-un mesaj POST SAML către serviciul de identitate.

Mesaj POST SAML către serviciul de identitate.

RelayState este același cu mesajul HTTP POST anterior, în care aplicația îi indică IdP ce EntityID solicită aserțiunea.

Mesaj HTTP POST care indică ce EntityID solicită aserțiunea de la furnizorul de identitate.

6

Aserțiune SAML de la IdP la Webex.

Aserțiune SAML de la furnizorul de identitate la Webex.

Aserțiune SAML de la furnizorul de identitate la Webex.

Aserțiune SAML de la furnizorul de identitate la Webex: Format NameID nespecificat.

Aserțiune SAML de la furnizorul de identitate la Webex: E-mail în format NameID.

Aserțiune SAML de la furnizorul de identitate la Webex: Format NameID tranzitoriu.

7

Serviciul de identitate primește un cod de autorizare care este înlocuit cu un token de acces și reîmprospătare OAuth. Acest token este utilizat pentru a accesa resurse în numele utilizatorului.

După ce serviciul de identitate validează răspunsul de la IdP, acesta emite un token OAuth care permite Aplicației Webex să acceseze diferitele servicii Webex.

Tokenul OAuth care permite Aplicației Webex să acceseze diferitele servicii Webex.