Приведенные ниже решения федерации и управления веб-доступом были протестированы для организаций Cisco Webex с пользователями Webex Teams. В документах, ссылки на которые приведены ниже, описаны способы интеграции определенных поставщиков удостоверений (IdP) с Webex Teams и вашей организацией Webex, управляемой с помощью Cisco Webex Control Hub.


Если ваш поставщик удостоверений отсутствует в приведенном списке, воспользуйтесь общими инструкциями, которые описаны на вкладке Настройка SSO в этой статье.

Приведенные руководства охватывают интеграцию системы единого входа для служб Webex, управление которыми осуществляется в Cisco Webex Control Hub (https://admin.webex.com). Если вам необходима интеграция системы единого входа для классического веб-сайта Webex (под управлением службы администрирования веб-сайта), воспользуйтесь статьей: Настройка системы единого входа для веб-сайта Cisco Webex.

Благодаря системе единого входа (SSO) пользователи могут безопасно входить в Cisco Webex Teams с помощью аутентификации общего поставщика удостоверений (IdP) вашей организации. С помощью службы Cisco Webex приложение Cisco Webex Teams передает данные в службу удостоверений платформы Cisco Webex. Служба удостоверений проходит аутентификацию с помощью поставщика удостоверений (IdP).

Настройка конфигурации начинается в Cisco Webex Control Hub. В этом разделе описаны общие действия для интеграции стороннего поставщика удостоверений.

Для системы единого входа и Cisco Webex Control Hub поставщики удостоверений должны соответствовать спецификации SAML 2.0. Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте в параметрах поставщика удостоверений запрос для добавления имени атрибута UID со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов Cisco, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Cisco Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.) Информацию о пользовательских атрибутах см. в статье https://www.cisco.com/go/hybrid-services-directory.

  • Используйте поддерживаемый браузер. Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Необходимо установить соглашение SAML между службой удостоверений платформы Cisco Webex и вашим поставщиком удостоверений.

Для достижения успешного установления соглашения SAML необходимы два файла.

Ниже приведен пример файла метаданных PingFederate с метаданными от поставщика удостоверений.

Файл метаданных от службы удостоверений.

Ниже приведен ожидаемый результат, отображаемый в файле метаданных от службы удостоверений.

  • Идентификатор EntityID используется для идентификации соглашения SAML в конфигурации поставщика удостоверений

  • Подписанный запрос AuthN или другие утверждения подписи не требуются. Данные соответствуют сведениям, которые запрашивает поставщик удостоверений в файле метаданных.

  • Подписанный файл метаданных для поставщика удостоверений используется для проверки принадлежности метаданных службе удостоверений.

1

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к меню Настройки, прокрутите до раздела Аутентификация и щелкните Изменить.

2

Щелкните Интегрировать стороннего поставщика удостоверений. (расширенно) и нажмите Начало работы.

3

Щелкните Скачать файл метаданных и нажмите Далее.

4

Служба удостоверений платформы Cisco Webex выполнит проверку файла метаданных от поставщика удостоверений.

Существует два способа проверки метаданных от поставщика удостоверений клиента.

  • Поставщик удостоверений клиента предоставляет подпись в метаданных, подписанную общедоступным корневым центром сертификации.

  • Поставщик удостоверений клиента предоставляет самоподписанный сертификат частного центра сертификации или не предоставляет подпись для своих метаданных. Этот вариант менее безопасен.

5

Протестируйте соединение системы единого входа перед ее включением.

6

Если тестирование выполнено успешно, включите систему единого входа.

При возникновении проблем с интеграцией системы единого входа воспользуйтесь описанными в этом разделе требованиями и процедурой, чтобы устранить неполадки, связанные с выполнением процесса SAML между поставщиком удостоверений и службой Cisco Webex.

  • Используйте надстройку трассировки SAML для Firefox или Chrome.

  • Для устранения неполадок воспользуйтесь веб-браузером, в котором установлен инструмент отладки трассировки SAML, и перейдите в веб-приложение Cisco Webex по адресу https://teams.webex.com.

Ниже описан процесс обмена сообщениям между приложением Cisco Webex Teams, службой Cisco Webex, службой удостоверений платформы Cisco Webex и поставщиком удостоверений (IdP).

  1. Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.
  2. Клиент отправит запрос GET на сервер авторизации OAuth для получения маркера. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.
  3. Cisco Webex Teams выполнит запрос утверждения SAML от поставщика удостоверений с помощью параметра SAML HTTP POST.
  4. Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.
  5. Приложение Cisco Webex отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные поставщиком удостоверений и согласованные в начальном соглашении.
  6. Утверждение SAML, направленное поставщиком удостоверений в Webex.
  7. Код авторизации, полученный службой удостоверений, будет заменен маркером доступа и обновления OAuth. Этот маркер используется для доступа к ресурсам от имени пользователя.
1

Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.

Приложение отправит информацию в службу Cisco Webex, и служба выполнит проверку адреса электронной почты.

2

Клиент отправит запрос GET на сервер авторизации OAuth для получения маркера. Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля. Будет возвращен URL-адрес для сервера аутентификации.

Запрос GET будет отображен в файле трассировки.

В разделе параметров служба выполнит поиск кода OAuth, электронного адреса пользователя, отправившего запрос, а также другие сведения OAuth, такие как идентификатор клиента, URI переадресации и область.

3

Cisco Webex Teams выполнит запрос утверждения SAML от поставщика удостоверений с помощью параметра SAML HTTP POST.

Если система единого входа включена, модуль аутентификации в службе удостоверений перенаправит запрос на URL-адрес поставщика удостоверений для выполнения единого входа. URL-адрес поставщика удостоверений предоставляется при обмене метаданными.

Проверьте сообщение SAML POST в инструменте трассировки. Ниже отображено сообщение HTTP POST для поставщика удостоверений, запрошенное службой IdPbroker.

Параметр RelayState отображает верный ответ от поставщика удостоверений.

Просмотрите дешифрованную версию запроса SAML. Предписания для AuthN отсутствуют, поэтому назначение ответа должно быть переадресовано на URL-адрес назначения поставщика удостоверений. Убедитесь, что формат NameID в поставщике удостоверений настроен верно для правильного значения EntityID (SPNameQualifier)

Определение формата NameID поставщика удостоверений и настройка названия соглашения осуществляется при создании соглашения SAML.

4

Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.

В зависимости от поставщика удостоверений и настроенных им механизмов аутентификации поставщиком удостоверений будут запущены различные процессы.

5

Приложение Cisco Webex отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные поставщиком удостоверений и согласованные в начальном соглашении.

При успешной аутентификации Cisco Webex Teams отправит службе удостоверений информацию в сообщении SAML POST.

RelayState совпадает с предыдущим сообщением HTTP POST, в котором приложение сообщает поставщику удостоверений о том, какой идентификатор EntityID запрашивает утверждение.

6

Утверждение SAML, направленное поставщиком удостоверений в Webex.

7

Код авторизации, полученный службой удостоверений, будет заменен маркером доступа и обновления OAuth. Этот маркер используется для доступа к ресурсам от имени пользователя.

После того как служба удостоверений проверит ответ от поставщика удостоверений, будет выпущен маркер OAuth, который обеспечит доступ Cisco Webex Teams к различным облачным службам Cisco Webex.