Приведенные ниже решения федерации и управления веб-доступом были протестированы для организаций Webex. В документах, ссылки на которые приведены ниже, описаны способы интеграции определенных поставщиков удостоверений (idP) с вашей организацией Webex.

Эти руководства охватывают интеграцию SSO для служб Webex, управление которыми осуществляется в Control Hub (https://admin.webex.com). Если вам необходима интеграция SSO для веб-сайта Webex Meetings (под управлением службы администрирования веб-сайта), прочтите статью Настройка системы единого входа для веб-сайта Cisco Webex.

Чтобы настроить SSO для нескольких поставщиков удостоверений в вашей организации, см. статью SSO с несколькими IdP в Webex.

Если ваш idP отсутствует в приведенном ниже списке, следуйте общим инструкциям, которые описаны на вкладке Настройка SSO в этой статье.

Благодаря системе единого входа (SSO) пользователи могут безопасно входить в Webex с помощью аутентификации общего поставщика удостоверений (idP) вашей организации. Приложение Webex посредством службы Webex взаимодействует со службой удостоверений платформы Webex. Служба удостоверений проходит аутентификацию с помощью поставщика удостоверений (IdP).

Настройка конфигурации начинается в Control Hub. В этом разделе описаны общие действия для интеграции стороннего поставщика удостоверений.

При настройке системы SSO с помощью idP можно сопоставить любой атрибут с идентификатором UID. Например, сопоставьте с UID атрибут userPrincipalName, псевдоним электронной почты, альтернативный адрес электронной почты или любой другой подходящий атрибут. При входе в систему idP должен сопоставить один из адресов электронной почты пользователя с UID. Webex поддерживает сопоставление с UID до 5 адресов электронной почты.

При настройке федерации Webex SAML рекомендуется включить единый выход (SLO) в конфигурацию метаданных. Этот шаг имеет решающее значение для обеспечения недействительности токенов пользователя как у поставщика удостоверений (IdP), так и у поставщика услуг (SP). Если администратор не выполняет эту настройку, Webex предупреждает пользователей о том, что все сеансы, которые остаются открытыми, будут недействительными.

При использовании SSO и Control Hub поставщики удостоверений должны соответствовать требованиям спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

  • Задайте атрибут формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:временный

  • Настройте заявление idP в соответствии с типом развертываемой SSO.

    • SSO (для организации). При настройке SSO от имени организации настройте параметры заявления idP для добавления имени атрибута uid со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.)

    • Партнерская SSO (только для поставщиков услуг). Администратору поставщика услуг в случае настройки партнерской SSO для использования организациями клиентов, которыми управляет этот поставщик услуг, нужно настроить параметры заявления idP для добавления атрибута mail (а не uid). Значение должно быть сопоставлено с атрибутом, выбранным в Соединителе каталогов, или с атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex.

    Дополнительную информацию о сопоставлении пользовательских атрибутов для SSO или партнерской SSO см. на странице https://www.cisco.com/go/hybrid-services-directory.

  • Только для партнерской SSO. Поставщик удостоверений должен поддерживать использование нескольких URL-адресов службы утверждения пользователей (ACS). Примеры настройки нескольких URL-адресов ACS в разрезе поставщика удостоверений см. в перечисленных ниже документах.

  • Используйте поддерживаемый браузер. Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.

В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Необходимо установить соглашение SAML между службой удостоверений платформы Webex и вашим поставщиком удостоверений.

Для достижения успешного установления соглашения SAML необходимы два файла.

  • Файл метаданных поставщика удостоверений, который необходимо предоставить Webex.

  • Файл метаданных Webex, который необходимо предоставить поставщику удостоверений.

Процесс обмена файлами метаданных между Webex и поставщиком удостоверений.

Ниже приведен пример файла метаданных PingFederate с метаданными от поставщика удостоверений.

Снимок экрана файла метаданных PingFederate, на котором отображаются метаданные от поставщика удостоверений.

Файл метаданных от службы удостоверений.

Снимок экрана файла метаданных службы удостоверений.

Ниже приведен ожидаемый результат, отображаемый в файле метаданных от службы удостоверений.

Снимок экрана файла метаданных службы удостоверений.

  • Идентификатор EntityID используется для идентификации соглашения SAML в конфигурации поставщика удостоверений

  • Подписанный запрос AuthN или другие утверждения подписи не требуются. Данные соответствуют сведениям, которые запрашивает поставщик удостоверений в файле метаданных.

  • Подписанный файл метаданных для поставщика удостоверений используется для проверки принадлежности метаданных службе удостоверений.

Снимок экрана подписанного файла метаданных поставщика удостоверений, чтобы убедиться в том, что метаданные принадлежат службе удостоверений.

Снимок экрана подписанного файла метаданных с помощью Okta.

1

В окне просмотра информации о клиенте в Control Hub (https://admin.webex.com) перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и щелкните параметр Активировать SSO , чтобы запустить мастер настройки.

2

Выберите Webex в качестве поставщика удостоверений и щелкните Далее.

3

Установите флажок Я подтверждаю прочтение и понимание принципов работы IdP Webex и щелкните Далее.

4

Настройте правило маршрутизации.

После добавления правила маршрутизации ваш поставщик удостоверений будет добавлен и отображается на вкладке Поставщик удостоверений .
Дополнительную информацию см. в статье SSO с несколькими IdP в Webex.

Независимо от того, получили ли вы уведомление об истечении срока действия сертификата или хотите проверить текущую конфигурацию SSO, вы можете воспользоваться функциями управления Системы единого входа (SSO) в Control Hub для управления сертификатами и общего обслуживания SSO.

При возникновении проблем с интеграцией SSO воспользуйтесь описанными в этом разделе требованиями и процедурой, чтобы устранить неполадки, связанные с выполнением процесса SAML между idP и службой Webex.

  • Используйте надстройку SAML tracer для Firefox, Chrome или Edge.

  • Для устранения неполадок воспользуйтесь веб-браузером, в котором установлен инструмент отладки трассировки SAML, и перейдите в веб-версию Webex по адресу https://web.webex.com.

Ниже приведен процесс обмена сообщениям между приложением Webex, службами Webex, службой удостоверений платформы Webex и поставщиком удостоверений (idP).

Процесс SAML между приложением Webex, службами Webex, службой удостоверений платформы Webex и поставщиком удостоверений.
1

Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.

Экран входа в Control Hub.

Приложение отправит информацию в службу Webex, которая выполнит проверку адреса электронной почты.

Информация, отправленная в службу Webex для подтверждения адреса электронной почты.

2

Приложение отправит запрос GET на сервер авторизации OAuth для получения токена. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.

Запрос GET будет отображен в файле трассировки.

Сведения о запросе GET в файле журнала.

В разделе параметров служба выполнит поиск кода OAuth, электронного адреса пользователя, отправившего запрос, а также другие сведения OAuth, такие как идентификатор клиента, URI переадресации и область.

В разделе параметров отображаются сведения об OAuth, такие как идентификатор клиента, redirectURI и область действия.

3

Приложение Webex выполнит запрос утверждения SAML от idP с помощью параметра SAML HTTP POST.

Если система единого входа включена, модуль аутентификации в службе удостоверений перенаправит запрос на URL-адрес поставщика удостоверений для выполнения единого входа. URL-адрес поставщика удостоверений предоставляется при обмене метаданными.

Модуль аутентификации перенаправляет пользователей на URL-адрес поставщика удостоверений, указанный во время обмена метаданными.

Проверьте сообщение SAML POST в инструменте трассировки. Ниже отображено сообщение HTTP POST для поставщика удостоверений, запрошенное службой IdPbroker.

Сообщение SAML POST поставщику удостоверений.

Параметр RelayState отображает верный ответ от поставщика удостоверений.

Параметр RelayState, отображающий правильный ответ от поставщика удостоверений.

Просмотрите дешифрованную версию запроса SAML. Предписания для AuthN отсутствуют, поэтому назначение ответа должно быть переадресовано на URL-адрес назначения поставщика удостоверений. Убедитесь, что формат NameID в поставщике удостоверений настроен верно для правильного значения EntityID (SPNameQualifier)

Запрос SAML, отображающий формат nameid, настроенный в поставщике удостоверений.

Определение формата NameID поставщика удостоверений и настройка названия соглашения осуществляется при создании соглашения SAML.

4

Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.

В зависимости от поставщика удостоверений и настроенных им механизмов аутентификации поставщиком удостоверений будут запущены различные процессы.

Заместитель поставщика удостоверений для вашей организации.

5

Приложение отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные idP и согласованные в начальном соглашении.

При успешной аутентификации приложение отправит службе удостоверений информацию в сообщении SAML POST.

Сообщение SAML POST службе удостоверений.

RelayState совпадает с предыдущим сообщением HTTP POST, в котором приложение сообщает поставщику удостоверений о том, какой идентификатор EntityID запрашивает утверждение.

Сообщение HTTP POST, указывающее, какой идентификатор объекта запрашивает утверждение от поставщика удостоверений.

6

Утверждение SAML, направленное поставщиком удостоверений в Webex.

Утверждение SAML от поставщика удостоверений в Webex.

Утверждение SAML от поставщика удостоверений в Webex.

Утверждение SAML от поставщика удостоверений в Webex. Формат NameID не указан.

Утверждение SAML от поставщика удостоверений в Webex. Адрес электронной почты в формате NameID.

Утверждение SAML от поставщика удостоверений в Webex. Временный формат NameID.

7

Код авторизации, полученный службой удостоверений, будет заменен токеном доступа и обновления OAuth. Этот токен используется для доступа к ресурсам от имени пользователя.

После того как служба удостоверений проверит ответ от idP, будет выпущен токен OAuth, который обеспечит доступ приложению Webex к различным облачным службам Webex.

Токен OAuth, позволяющий приложению Webex получать доступ к различным службам Webex.