Pre organizácie Webex boli testované nasledujúce riešenia správy prístupu na web a federácie. Nižšie uvedené dokumenty vás prevedú, ako integrovať konkrétneho poskytovateľa identity (IdP) do vašej organizácie Webex.


 

Tieto príručky pokrývajú integráciu SSO pre služby Webex, ktoré sú spravované v Control Hub ( https://admin.webex.com). Ak hľadáte integráciu SSO stránky Webex Meetings (spravovanej v správe stránky), prečítajte si Nakonfigurujte jednotné prihlásenie pre lokalitu Cisco Webex.

Ak chcete nastaviť jednotné prihlásenie pre viacerých poskytovateľov identity vo vašej organizácii, pozrite si SSO s viacerými IdP vo Webexe.

Ak svoj IdP nevidíte nižšie, postupujte podľa krokov na vysokej úrovni v Nastavenie SSO kartu v tomto článku.

Jednotné prihlásenie (SSO) umožňuje používateľom bezpečne sa prihlásiť do Webexu autentifikáciou spoločného poskytovateľa identity (IdP) vašej organizácie. Aplikácia Webex používa službu Webex na komunikáciu so službou Webex Platform Identity Service. Služba identity sa overí u vášho poskytovateľa identity (IdP).

Konfiguráciu spustíte v Control Hub. Táto časť zachytáva všeobecné kroky na vysokej úrovni na integráciu poskytovateľa identity tretej strany.


 
Keď nakonfigurujete SSO s vaším IdP, môžete na uid namapovať akýkoľvek atribút. Napríklad priraďte k uid názov userPrincipalName, e-mailový alias, alternatívnu e-mailovú adresu alebo akýkoľvek iný vhodný atribút. IdP musí pri prihlasovaní zhodovať jednu z e-mailových adries používateľa s uid. Webex podporuje mapovanie až 5 e-mailových adries do uid.

 
Pri nastavovaní federácie Webex SAML vám odporúčame zahrnúť funkciu Single Log Out (SLO) do konfigurácie metadát. Tento krok je rozhodujúci, aby sa zabezpečilo, že používateľské tokeny budú zneplatnené u poskytovateľa identity (IdP) aj u poskytovateľa služieb (SP). Ak túto konfiguráciu nevykoná správca, Webex upozorní používateľov, aby zatvorili svoje prehliadače, aby sa zrušili všetky otvorené relácie.

Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:

  • Nastavte atribút Formát ID názvu na urn:oasis:names:tc:SAML:2.0:nameid-format:prechodný

  • Nakonfigurujte nárok na IdP podľa typu SSO, ktoré nasadzujete:

    • SSO (pre organizáciu) – ak konfigurujete SSO v mene organizácie, nakonfigurujte nárok IdP tak, aby obsahoval uid názov atribútu s hodnotou, ktorá je namapovaná na atribút, ktorý je vybraný v adresári Connector, alebo s atribútom používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex. (Tento atribút môže byť napríklad E-mail-Addresses alebo User-Principal-Name.)

    • Jednotné prihlásenie partnera (len pre poskytovateľov služieb) – ak ste správcom poskytovateľa služieb, ktorý konfiguruje jednotné prihlásenie partnera tak, aby ho používali organizácie zákazníkov, ktorých spravuje poskytovateľ služieb, nakonfigurujte nárok IdP tak, aby obsahoval pošty atribút (a nie uid). Hodnota sa musí namapovať na atribút, ktorý je vybraný v Directory Connector, alebo na atribút používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex.


     

    Ďalšie informácie o mapovaní vlastných atribútov pre jednotné prihlásenie alebo jednotné prihlásenie partnera nájdete na stránke https://www.cisco.com/go/hybrid-services-directory.

  • Iba partnerské jednotné prihlásenie. Poskytovateľ identity musí podporovať viacero adries URL Assertion Consumer Service (ACS). Príklady konfigurácie viacerých adries URL ACS u poskytovateľa identity nájdete v časti:

  • Použite podporovaný prehliadač: odporúčame najnovšiu verziu prehliadača Mozilla Firefox alebo Google Chrome.

  • Zakážte vo svojom prehliadači všetky blokovanie automaticky otváraných okien.


 

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad integračné kroky pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sú zdokumentované. Iné formáty ako napr urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Musíte uzavrieť dohodu SAML medzi službou Webex Platform Identity Service a vaším IdP.

Na dosiahnutie úspešnej dohody SAML potrebujete dva súbory:

  • Súbor metadát od IdP, ktorý sa má poskytnúť spoločnosti Webex.

  • Súbor metadát od spoločnosti Webex, ktorý sa má poskytnúť IdP.

Toto je príklad súboru metadát PingFederate s metadátami od IdP.

Súbor metadát zo služby identity.

Nasleduje to, čo očakávate, že uvidíte v súbore metadát zo služby identity.

  • EntityID – Používa sa na identifikáciu dohody SAML v konfigurácii IdP

  • Neexistuje žiadna požiadavka na podpísanú požiadavku AuthN ani žiadne tvrdenia o podpise, je v súlade s tým, čo IdP požaduje v súbore metadát.

  • Podpísaný súbor metadát pre IdP na overenie, že metadáta patria službe identity.

1

Z pohľadu zákazníka v Control Hub ( https://admin.webex.com), ísť do Zvládanie > Nastavenia organizácie, prejdite na Overenie a kliknite Aktivovať jednotné prihlásenie nastavenie na spustenie sprievodcu konfiguráciou.

2

Vyberte Webex ako váš IdP a kliknite na Ďalšie.

3

Skontrolujte Čítal som a pochopil som, ako Webex IdP funguje a kliknite Ďalšie.

4

Nastavte pravidlo smerovania.

Po pridaní pravidla smerovania sa váš IdP pridá a zobrazí sa pod Poskytovateľ identity tab.
Ďalšie informácie nájdete v časti SSO s viacerými IdP vo Webexe.

Či už ste dostali oznámenie o končiacom certifikáte alebo chcete skontrolovať svoju existujúcu konfiguráciu SSO, môžete použiť Funkcie správy Single Sign-On (SSO). v Control Hub pre správu certifikátov a všeobecnú údržbu SSO.

Ak narazíte na problémy s integráciou SSO, použite požiadavky a postup v tejto časti na riešenie problémov s tokom SAML medzi vaším IdP a Webexom.

  • Použite doplnok SAML tracer na Firefox, Chrome, alebo Hrana.

  • Na riešenie problémov použite webový prehliadač, do ktorého ste nainštalovali nástroj na ladenie sledovania SAML, a prejdite na webovú verziu Webexu na adrese https://web.webex.com.

Nasleduje tok správ medzi aplikáciou Webex, službami Webex, službou Webex Platform Identity Service a poskytovateľom identity (IdP).

1

Ísť do https://admin.webex.com a ak je povolené jednotné prihlásenie, aplikácia vás vyzve na zadanie e-mailovej adresy.

Aplikácia odošle informácie službe Webex, ktorá overí e-mailovú adresu.

2

Aplikácia odošle požiadavku GET na autorizačný server OAuth o token. Požiadavka je presmerovaná na službu identity na SSO alebo tok používateľského mena a hesla. Vráti sa URL pre autentifikačný server.

Požiadavku GET môžete vidieť v súbore sledovania.

V sekcii parametrov služba hľadá kód OAuth, e-mail používateľa, ktorý žiadosť odoslal, a ďalšie podrobnosti OAuth, ako sú ClientID, redirectURI a Rozsah.

3

Aplikácia Webex požaduje vyhlásenie SAML od poskytovateľa identity pomocou SAML HTTP POST.

Keď je povolené jednotné prihlásenie, overovací mechanizmus v službe identity sa presmeruje na adresu URL IdP pre jednotné prihlásenie. Adresa URL IdP poskytnutá pri výmene metadát.

Skontrolujte v nástroji sledovania správu POST SAML. Uvidíte správu HTTP POST pre IdP, ktorú požaduje IdPbroker.

Parameter RelayState zobrazuje správnu odpoveď od IdP.

Skontrolujte dekódovaciu verziu žiadosti SAML, neexistuje žiadne poverenie AuthN a cieľ odpovede by mal smerovať na cieľovú adresu URL poskytovateľa identity. Uistite sa, že formát názvu mena je správne nakonfigurovaný v IdP pod správnym identifikátorom entity (SPNameQualifier)

Je zadaný formát IdP nameid-format a názov dohody nakonfigurovaný pri vytvorení dohody SAML.

4

Autentifikácia pre aplikáciu prebieha medzi webovými zdrojmi operačného systému a IdP.

V závislosti od vášho IdP a autentifikačných mechanizmov nakonfigurovaných v IdP sa od IdP spúšťajú rôzne toky.

5

Aplikácia odošle HTTP Post späť do služby identity a zahŕňa atribúty poskytnuté poskytovateľom identity a dohodnuté v pôvodnej zmluve.

Keď je overenie úspešné, aplikácia odošle informácie v správe POST SAML do služby identity.

RelayState je rovnaký ako predchádzajúca správa HTTP POST, v ktorej aplikácia informuje IdP, ktorá EntityID požaduje tvrdenie.

6

Tvrdenie SAML od IdP po Webex.

7

Služba identity dostane autorizačný kód, ktorý sa nahradí prístupovým a obnovovacím tokenom OAuth. Tento token sa používa na prístup k zdrojom v mene používateľa.

Keď služba identity overí odpoveď od IdP, vydá token OAuth, ktorý aplikácii Webex umožní prístup k rôznym službám Webex.