Приведенные ниже решения федерации и управления веб-доступом были протестированы для организаций Webex. В документах, ссылки на которые приведены ниже, описаны способы интеграции определенных поставщиков удостоверений (idP) с вашей организацией Webex.


Эти руководства охватывают интеграцию SSO для служб Webex, управление которыми осуществляется в Control Hub (https://admin.webex.com). Если вам необходима интеграция SSO для веб-сайта Webex Meetings (под управлением службы администрирования веб-сайта), прочтите статью Настройка системы единого входа для веб-сайта Cisco Webex.

Если ваш idP отсутствует в приведенном ниже списке, следуйте общим инструкциям, которые описаны на вкладке Настройка SSO в этой статье.

Благодаря системе единого входа (SSO) пользователи могут безопасно входить в Webex с помощью аутентификации общего поставщика удостоверений (idP) вашей организации. Приложение Webex посредством службы Webex взаимодействует со службой удостоверений платформы Webex. Служба удостоверений проходит аутентификацию с помощью поставщика удостоверений (IdP).

Настройка конфигурации начинается в Control Hub. В этом разделе описаны общие действия для интеграции стороннего поставщика удостоверений.

Для SSO и Control Hub поставщики удостоверений должны соответствовать спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте заявление idP в соответствии с типом развертываемой SSO.

    • SSO (для организации). При настройке SSO от имени организации настройте параметры заявления idP для добавления имени атрибута uid со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.)

    • Партнерская SSO (только для поставщиков услуг). Администратору поставщика услуг в случае настройки партнерской SSO для использования организациями клиентов, которыми управляет этот поставщик услуг, нужно настроить параметры заявления idP для добавления атрибута mail (а не uid). Значение должно быть сопоставлено с атрибутом, выбранным в соединителе каталогов, или с атрибутом пользователя, который соответствует варианту, выбранному в службе удостоверений Webex.


    Дополнительную информацию о сопоставлении пользовательских атрибутов для SSO или партнерской SSO см. на странице https://www.cisco.com/go/hybrid-services-directory.

  • Только для партнерской SSO. Поставщик удостоверений должен поддерживать использование нескольких URL-адресов службы утверждения пользователей (ACS). Примеры настройки нескольких URL-адресов ACS в разрезе поставщика удостоверений см. в перечисленных ниже документах.

  • Используйте поддерживаемый браузер. Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Необходимо установить соглашение SAML между службой удостоверений платформы Webex и вашим idP.

Для достижения успешного установления соглашения SAML необходимы два файла.

  • Файл метаданных от idP, который необходимо предоставить Webex.

  • Файл метаданных от Webex, который необходимо предоставить idP.

Ниже приведен пример файла метаданных PingFederate с метаданными от поставщика удостоверений.

Файл метаданных от службы удостоверений.

Ниже приведен ожидаемый результат, отображаемый в файле метаданных от службы удостоверений.

  • Идентификатор EntityID используется для идентификации соглашения SAML в конфигурации поставщика удостоверений

  • Подписанный запрос AuthN или другие утверждения подписи не требуются. Данные соответствуют сведениям, которые запрашивает поставщик удостоверений в файле метаданных.

  • Подписанный файл метаданных для поставщика удостоверений используется для проверки принадлежности метаданных службе удостоверений.

1

Войдите в Control Hub (https://admin.webex.com), перейдите к разделу Настройки, прокрутите страницу до параметра Аутентификация и щелкните Изменить.

2

Щелкните Интегрировать стороннего поставщика удостоверений. (расширенно) и нажмите Начало работы.

3

Щелкните Скачать файл метаданных и нажмите Далее.

4

Служба удостоверений платформы Webex выполнит проверку файла метаданных от idP.

Существует два способа проверки метаданных от поставщика удостоверений клиента.

  • Поставщик удостоверений клиента предоставляет подпись в метаданных, подписанную общедоступным корневым центром сертификации.

  • Поставщик удостоверений клиента предоставляет самоподписанный сертификат частного центра сертификации или не предоставляет подпись для своих метаданных. Этот вариант менее безопасен.

5

Протестируйте соединение системы единого входа перед ее включением.

6

Если тестирование выполнено успешно, включите систему единого входа.

При возникновении проблем с интеграцией SSO воспользуйтесь описанными в этом разделе требованиями и процедурой, чтобы устранить неполадки, связанные с выполнением процесса SAML между idP и службой Webex.

  • Используйте надстройку трассировки SAML для Firefox или Chrome.

  • Для устранения неполадок воспользуйтесь веб-браузером, в котором установлен инструмент отладки трассировки SAML, и перейдите в веб-версию Webex по адресу https://teams.webex.com.

Ниже приведен процесс обмена сообщениям между приложением Webex, службами Webex, службой удостоверений платформы Webex и поставщиком удостоверений (idP).

  1. Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.
  2. Приложение отправит запрос GET на сервер авторизации OAuth для получения токена. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.
  3. Приложение Webex выполнит запрос утверждения SAML от idP с помощью параметра SAML HTTP POST.
  4. Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.
  5. Приложение отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные idP и согласованные в начальном соглашении.
  6. Утверждение SAML, направленное поставщиком удостоверений в Webex.
  7. Код авторизации, полученный службой удостоверений, будет заменен токеном доступа и обновления OAuth. Этот токен используется для доступа к ресурсам от имени пользователя.
1

Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.

Приложение отправит информацию в службу Webex, которая выполнит проверку адреса электронной почты.

2

Приложение отправит запрос GET на сервер авторизации OAuth для получения токена. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.

Запрос GET будет отображен в файле трассировки.

В разделе параметров служба выполнит поиск кода OAuth, электронного адреса пользователя, отправившего запрос, а также другие сведения OAuth, такие как идентификатор клиента, URI переадресации и область.

3

Приложение Webex выполнит запрос утверждения SAML от idP с помощью параметра SAML HTTP POST.

Если система единого входа включена, модуль аутентификации в службе удостоверений перенаправит запрос на URL-адрес поставщика удостоверений для выполнения единого входа. URL-адрес поставщика удостоверений предоставляется при обмене метаданными.

Проверьте сообщение SAML POST в инструменте трассировки. Ниже отображено сообщение HTTP POST для поставщика удостоверений, запрошенное службой IdPbroker.

Параметр RelayState отображает верный ответ от поставщика удостоверений.

Просмотрите дешифрованную версию запроса SAML. Предписания для AuthN отсутствуют, поэтому назначение ответа должно быть переадресовано на URL-адрес назначения поставщика удостоверений. Убедитесь, что формат NameID в поставщике удостоверений настроен верно для правильного значения EntityID (SPNameQualifier)

Определение формата NameID поставщика удостоверений и настройка названия соглашения осуществляется при создании соглашения SAML.

4

Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.

В зависимости от поставщика удостоверений и настроенных им механизмов аутентификации поставщиком удостоверений будут запущены различные процессы.

5

Приложение отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные idP и согласованные в начальном соглашении.

При успешной аутентификации приложение отправит службе удостоверений информацию в сообщении SAML POST.

RelayState совпадает с предыдущим сообщением HTTP POST, в котором приложение сообщает поставщику удостоверений о том, какой идентификатор EntityID запрашивает утверждение.

6

Утверждение SAML, направленное поставщиком удостоверений в Webex.

7

Код авторизации, полученный службой удостоверений, будет заменен токеном доступа и обновления OAuth. Этот токен используется для доступа к ресурсам от имени пользователя.

После того как служба удостоверений проверит ответ от idP, будет выпущен токен OAuth, который обеспечит доступ приложению Webex к различным облачным службам Webex.