Приведенные ниже решения федерации и управления веб-доступом были протестированы для организаций Webex. В документах, ссылки на которые приведены ниже, описаны способы интеграции определенных поставщиков удостоверений (idP) с вашей организацией Webex.


 

Эти руководства охватывают интеграцию SSO для служб Webex, управление которыми осуществляется в Control Hub (https://admin.webex.com). Если вам необходима интеграция SSO для веб-сайта Webex Meetings (под управлением службы администрирования веб-сайта), прочтите статью Настройка системы единого входа для веб-сайта Cisco Webex.

Чтобы настроить SSO для нескольких поставщиков удостоверений в вашей организации, см. SSO с несколькими поставщиками удостоверений в Webex.

Если ваш idP отсутствует в приведенном ниже списке, следуйте общим инструкциям, которые описаны на вкладке Настройка SSO в этой статье.

Благодаря системе единого входа (SSO) пользователи могут безопасно входить в Webex с помощью аутентификации общего поставщика удостоверений (idP) вашей организации. Приложение Webex посредством службы Webex взаимодействует со службой удостоверений платформы Webex. Служба удостоверений проходит аутентификацию с помощью поставщика удостоверений (IdP).

Настройка конфигурации начинается в Control Hub. В этом разделе описаны общие действия для интеграции стороннего поставщика удостоверений.


 
При настройке системы SSO с помощью idP можно сопоставить любой атрибут с идентификатором UID. Например, сопоставьте с UID атрибут userPrincipalName, псевдоним электронной почты, альтернативный адрес электронной почты или любой другой подходящий атрибут. При входе в систему idP должен сопоставить один из адресов электронной почты пользователя с UID. Webex поддерживает сопоставление с UID до 5 адресов электронной почты.

 
Рекомендуется включить единый выход (SLO) в конфигурацию метаданных при настройке федерации SAML Webex. Этот шаг имеет решающее значение для обеспечения того, чтобы токены пользователей были признаны недействительными как в поставщике удостоверений (IdP), так и в поставщике услуг (SP). Если эта конфигурация не выполняется администратором, Webex предупреждает пользователей о необходимости закрыть свои браузеры для признания недействительными всех сеансов, оставшихся открытыми.

При использовании SSO и Control Hub поставщики удостоверений должны соответствовать требованиям спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте заявление idP в соответствии с типом развертываемой SSO.

    • SSO (для организации). При настройке SSO от имени организации настройте параметры заявления idP для добавления имени атрибута uid со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.)

    • Партнерская SSO (только для поставщиков услуг). Администратору поставщика услуг в случае настройки партнерской SSO для использования организациями клиентов, которыми управляет этот поставщик услуг, нужно настроить параметры заявления idP для добавления атрибута mail (а не uid). Значение должно быть сопоставлено с атрибутом, выбранным в Соединителе каталогов, или с атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex.


     

    Дополнительную информацию о сопоставлении пользовательских атрибутов для SSO или партнерской SSO см. на странице https://www.cisco.com/go/hybrid-services-directory.

  • Только для партнерской SSO. Поставщик удостоверений должен поддерживать использование нескольких URL-адресов службы утверждения пользователей (ACS). Примеры настройки нескольких URL-адресов ACS в разрезе поставщика удостоверений см. в перечисленных ниже документах.

  • Используйте поддерживаемый браузер. Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.


 

В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Необходимо установить соглашение SAML между службой удостоверений платформы Webex и вашим поставщиком удостоверений.

Для достижения успешного установления соглашения SAML необходимы два файла.

  • Файл метаданных поставщика удостоверений, который необходимо предоставить Webex.

  • Файл метаданных Webex, который необходимо предоставить поставщику удостоверений.

Ниже приведен пример файла метаданных PingFederate с метаданными от поставщика удостоверений.

Файл метаданных от службы удостоверений.

Ниже приведен ожидаемый результат, отображаемый в файле метаданных от службы удостоверений.

  • Идентификатор EntityID используется для идентификации соглашения SAML в конфигурации поставщика удостоверений

  • Подписанный запрос AuthN или другие утверждения подписи не требуются. Данные соответствуют сведениям, которые запрашивает поставщик удостоверений в файле метаданных.

  • Подписанный файл метаданных для поставщика удостоверений используется для проверки принадлежности метаданных службе удостоверений.

1.

В окне просмотра информации о клиенте в Control Hub ( https://admin.webex.com) перейдите к Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и щелкните Активировать настройку SSO , чтобы запустить мастер конфигурации.

2.

Выбрать Webex в качестве своего IdP и щелкните Далее .

3.

Проверить Я прочитал и понял, как работает Webex IdP и щелкните Далее .

4.

Настройте правило маршрутизации.

После добавления правила маршрутизации ваш IdP будет добавлен и отображается под Поставщик удостоверений таб.
Дополнительную информацию см. в разделе SSO с несколькими поставщиками удостоверений в Webex.

Независимо от того, получили ли вы уведомление об истечении срока действия сертификата или хотите проверить текущую конфигурацию SSO, вы можете воспользоваться функциями управления Системы единого входа (SSO) в Control Hub для управления сертификатами и общего обслуживания SSO.

При возникновении проблем с интеграцией SSO воспользуйтесь описанными в этом разделе требованиями и процедурой, чтобы устранить неполадки, связанные с выполнением процесса SAML между idP и службой Webex.

  • Используйте надстройку трассировщика SAML для Firefox, Chrome или Edge.

  • Для устранения неполадок воспользуйтесь веб-браузером, в котором установлен инструмент отладки трассировки SAML, и перейдите в веб-версию Webex по адресу https://web.webex.com.

Ниже приведен процесс обмена сообщениям между приложением Webex, службами Webex, службой удостоверений платформы Webex и поставщиком удостоверений (idP).

1.

Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.

Приложение отправит информацию в службу Webex, которая выполнит проверку адреса электронной почты.

2.

Приложение отправит запрос GET на сервер авторизации OAuth для получения токена. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.

Запрос GET будет отображен в файле трассировки.

В разделе параметров служба выполнит поиск кода OAuth, электронного адреса пользователя, отправившего запрос, а также другие сведения OAuth, такие как идентификатор клиента, URI переадресации и область.

3.

Приложение Webex выполнит запрос утверждения SAML от idP с помощью параметра SAML HTTP POST.

Если система единого входа включена, модуль аутентификации в службе удостоверений перенаправит запрос на URL-адрес поставщика удостоверений для выполнения единого входа. URL-адрес поставщика удостоверений предоставляется при обмене метаданными.

Проверьте сообщение SAML POST в инструменте трассировки. Ниже отображено сообщение HTTP POST для поставщика удостоверений, запрошенное службой IdPbroker.

Параметр RelayState отображает верный ответ от поставщика удостоверений.

Просмотрите дешифрованную версию запроса SAML. Предписания для AuthN отсутствуют, поэтому назначение ответа должно быть переадресовано на URL-адрес назначения поставщика удостоверений. Убедитесь, что формат NameID в поставщике удостоверений настроен верно для правильного значения EntityID (SPNameQualifier)

Определение формата NameID поставщика удостоверений и настройка названия соглашения осуществляется при создании соглашения SAML.

4.

Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.

В зависимости от поставщика удостоверений и настроенных им механизмов аутентификации поставщиком удостоверений будут запущены различные процессы.

5

Приложение отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные idP и согласованные в начальном соглашении.

При успешной аутентификации приложение отправит службе удостоверений информацию в сообщении SAML POST.

RelayState совпадает с предыдущим сообщением HTTP POST, в котором приложение сообщает поставщику удостоверений о том, какой идентификатор EntityID запрашивает утверждение.

6

Утверждение SAML, направленное поставщиком удостоверений в Webex.

7.

Код авторизации, полученный службой удостоверений, будет заменен токеном доступа и обновления OAuth. Этот токен используется для доступа к ресурсам от имени пользователя.

После того как служба удостоверений проверит ответ от idP, будет выпущен токен OAuth, который обеспечит доступ приложению Webex к различным облачным службам Webex.