Ďakujeme za vašu spätnú väzbu.
Integrácia jediného prihlásenia v centre Control Hub
Spätná väzba?Pre organizácie Webex boli testované nasledujúce riešenia správy prístupu na web a federácie. Nižšie uvedené dokumenty vás prevedú, ako integrovať konkrétneho poskytovateľa identity (IdP) do vašej organizácie Webex.
Tieto príručky pokrývajú integráciu SSO pre služby Webex, ktoré sú spravované v Control Hub ( https://admin.webex.com). Ak hľadáte integráciu SSO lokality Webex Meetings (spravovanej v správe lokality), prečítajte si časť Konfigurácia jednotného prihlásenia pre lokalitu Cisco Webex.
Ak chcete nastaviť jednotné prihlásenie pre viacerých poskytovateľov identity vo vašej organizácii, pozrite si článok Jedno prihlásenie s viacerými IdP vo Webexe.
Ak sa váš IdP nezobrazuje nižšie, postupujte podľa hlavných krokov na karte Nastavenie jednotného prihlásenia v tomto článku.
Jednotné prihlásenie (SSO) umožňuje používateľom bezpečne sa prihlásiť do Webexu overením spoločného poskytovateľa identity (IdP) vašej organizácie. Aplikácia Webex používa službu Webex na komunikáciu so službou Webex Platform Identity Service. Služba identity sa overí u vášho poskytovateľa identity (IdP).
Konfiguráciu spustíte v Control Hub. Táto časť zachytáva všeobecné kroky na vysokej úrovni na integráciu poskytovateľa identity tretej strany.
Keď nakonfigurujete SSO s vaším IdP, môžete na uid namapovať akýkoľvek atribút. Napríklad priraďte k uid názov userPrincipalName, e-mailový alias, alternatívnu e-mailovú adresu alebo akýkoľvek iný vhodný atribút. IdP musí pri prihlasovaní zhodovať jednu z e-mailových adries používateľa s uid. Webex podporuje mapovanie až 5 e-mailových adries do uid.
Pri nastavovaní federácie Webex SAML vám odporúčame zahrnúť funkciu Single Log Out (SLO) do konfigurácie metadát. Tento krok je rozhodujúci, aby sa zabezpečilo, že používateľské tokeny budú zneplatnené u poskytovateľa identity (IdP) aj u poskytovateľa služieb (SP). Ak túto konfiguráciu nevykoná správca, Webex upozorní používateľov, aby zatvorili svoje prehliadače, aby sa zrušili všetky otvorené relácie.
Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:
-
Nastavte atribút Formát ID názvu na urn:oasis:names:tc:SAML:2.0:nameid-format:prechodný
-
Nakonfigurujte nárok na IdP podľa typu SSO, ktoré nasadzujete:
-
Jednotné prihlásenie (pre organizáciu) – ak konfigurujete jednotné prihlásenie v mene organizácie, nakonfigurujte nárok IdP tak, aby obsahoval názov atribútu uid s hodnotou, ktorá je namapovaná na atribút vybraný v konektore adresára alebo atribút používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex. (Tento atribút môže byť napríklad E-mail-Addresses alebo User-Principal-Name.)
-
Jednotné prihlásenie partnera (len pre poskytovateľov služieb) – ak ste správcom poskytovateľa služieb, ktorý konfiguruje jednotné prihlásenie partnera tak, aby ho používali organizácie zákazníkov, ktorých spravuje poskytovateľ služieb, nakonfigurujte nárok IdP tak, aby obsahoval atribút mail ( namiesto uid). Hodnota sa musí namapovať na atribút, ktorý je vybraný v Directory Connector, alebo na atribút používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex.
Ďalšie informácie o mapovaní vlastných atribútov pre jednotné prihlásenie alebo jednotné prihlásenie partnera nájdete na stránke https://www.cisco.com/go/hybrid-services-directory.
-
-
Iba partnerské jednotné prihlásenie. Poskytovateľ identity musí podporovať viacero adries URL Assertion Consumer Service (ACS). Príklady konfigurácie viacerých adries URL ACS u poskytovateľa identity nájdete v časti:
-
Použite podporovaný prehliadač: odporúčame najnovšiu verziu prehliadača Mozilla Firefox alebo Google Chrome.
-
Zakážte vo svojom prehliadači všetky blokovanie automaticky otváraných okien.
Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Zdokumentované sú napríklad kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified alebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO ale sú mimo rozsahu našej dokumentácie.
Musíte uzavrieť dohodu SAML medzi službou Webex Platform Identity Service a vaším IdP.
Na dosiahnutie úspešnej dohody SAML potrebujete dva súbory:
-
Súbor metadát od IdP, ktorý sa má poskytnúť spoločnosti Webex.
-
Súbor metadát od spoločnosti Webex, ktorý sa má poskytnúť IdP.
Toto je príklad súboru metadát PingFederate s metadátami od IdP.
Súbor metadát zo služby identity.
Nasleduje to, čo očakávate, že uvidíte v súbore metadát zo služby identity.
-
EntityID – Používa sa na identifikáciu dohody SAML v konfigurácii IdP
-
Neexistuje žiadna požiadavka na podpísanú požiadavku AuthN ani žiadne tvrdenia o podpise, je v súlade s tým, čo IdP požaduje v súbore metadát.
-
Podpísaný súbor metadát pre IdP na overenie, že metadáta patria službe identity.
| 1 |
V zobrazení zákazníka v Control Hub ( https://admin.webex.com) prejdite na položku , prejdite na položku Overenie a kliknite na položku Aktivovať jednotné prihlásenie nastavenie na spustenie sprievodcu konfiguráciou. |
| 2 |
Ako IdP vyberte Webex a kliknite na tlačidlo Ďalej. |
| 3 |
Začiarknite políčko Prečítal som si a rozumiem tomu, ako funguje Webex IdP a kliknite na tlačidlo Ďalej. |
| 4 |
Nastavte pravidlo smerovania. Po pridaní pravidla smerovania sa váš poskytovateľ identity pridá a zobrazí sa na karte Poskytovateľ identity .
Ďalšie informácie nájdete v časti Jedno prihlásenie s viacerými IdP vo Webexe.
|
Či už ste dostali oznámenie o končiacom certifikáte alebo chcete skontrolovať svoju existujúcu konfiguráciu SSO, môžete použiť funkcie správy jednotného prihlásenia (SSO) v Control Hub na správu certifikátov a všeobecnú údržbu SSO.
Ak narazíte na problémy s integráciou SSO, použite požiadavky a postup v tejto časti na riešenie problémov s tokom SAML medzi vaším IdP a Webexom.
-
Použite doplnok sledovania SAML pre prehliadače Firefox, Chrome alebo Edge.
-
Ak chcete problém vyriešiť, použite webový prehliadač, do ktorého ste nainštalovali nástroj na ladenie sledovania SAML, a prejdite na webovú verziu Webex na adrese https://web.webex.com.
Nasleduje tok správ medzi aplikáciou Webex, službami Webex, službou Webex Platform Identity Service a poskytovateľom identity (IdP).
| 1 |
Prejdite na stránku https://admin.webex.com a keď je povolené jednotné prihlásenie, aplikácia vás vyzve na zadanie e-mailovej adresy.
 Aplikácia odošle informácie službe Webex, ktorá overí e-mailovú adresu.
|
| 2 |
Aplikácia odošle požiadavku GET na autorizačný server OAuth o token. Požiadavka je presmerovaná na službu identity na SSO alebo tok používateľského mena a hesla. Vráti sa URL pre autentifikačný server. Požiadavku GET môžete vidieť v súbore sledovania.
V sekcii parametrov služba hľadá kód OAuth, e-mail používateľa, ktorý žiadosť odoslal, a ďalšie podrobnosti OAuth, ako sú ClientID, redirectURI a Rozsah.
|
| 3 |
Aplikácia Webex požaduje vyhlásenie SAML od poskytovateľa identity pomocou SAML HTTP POST.
Keď je povolené SSO, overovací mechanizmus v službe identity sa presmeruje na adresu URL IdP pre SSO. Adresa URL IdP poskytnutá pri výmene metadát.
Skontrolujte v nástroji sledovania správu POST SAML. Uvidíte správu HTTP POST pre IdP, ktorú požaduje IdPbroker.
Parameter RelayState zobrazuje správnu odpoveď od IdP.
Skontrolujte dekódovaciu verziu žiadosti SAML, neexistuje žiadne poverenie AuthN a cieľ odpovede by mal smerovať na cieľovú adresu URL poskytovateľa identity. Uistite sa, že formát názvu mena je správne nakonfigurovaný v IdP pod správnym identifikátorom entity (SPNameQualifier)
Je zadaný formát IdP nameid-format a názov dohody nakonfigurovaný pri vytvorení dohody SAML. |
| 4 |
Autentifikácia pre aplikáciu prebieha medzi webovými zdrojmi operačného systému a IdP.
V závislosti od vášho IdP a autentifikačných mechanizmov nakonfigurovaných v IdP sa od IdP spúšťajú rôzne toky.
|
| 5 |
Aplikácia odošle HTTP Post späť do služby identity a zahŕňa atribúty poskytnuté poskytovateľom identity a dohodnuté v pôvodnej zmluve.
Keď je overenie úspešné, aplikácia odošle informácie v správe POST SAML do služby identity.
RelayState je rovnaký ako predchádzajúca správa HTTP POST, v ktorej aplikácia informuje IdP, ktorá EntityID požaduje tvrdenie.
|
| 6 |
Tvrdenie SAML od IdP po Webex.
|
| 7 |
Služba identity dostane autorizačný kód, ktorý sa nahradí prístupovým a obnovovacím tokenom OAuth. Tento token sa používa na prístup k zdrojom v mene používateľa.
Keď služba identity overí odpoveď od IdP, vydá token OAuth, ktorý aplikácii Webex umožní prístup k rôznym službám Webex.
|
