Ďakujeme za vašu spätnú väzbu.
Integrácia jediného prihlásenia v centre Control Hub
Spätná väzba?Pred integráciou jednotného prihlásenia (SSO) používa Webex štandardne základné overovanie. Základné overovanie vyžaduje, aby používatelia pri každom prihlásení zadali svoje používateľské meno a heslo Webex. Ak máte vo svojej organizácii vlastného poskytovateľa identity (IdP), môžete ho integrovať so svojou organizáciou v aplikácii Control Hub pre jednorazové prihlásenie (SSO). Jednotné prihlásenie (SSO) umožňuje vašim používateľom používať jednu spoločnú sadu prihlasovacích údajov pre aplikácie Webex vo vašej organizácii.
Ak uprednostňujete základné overenie, nemusíte konať. Majte však na pamäti, že základné overovanie môže byť pre používateľov menej bezpečné a menej pohodlné ako jednorazové prihlásenie (SSO), najmä ak vaša organizácia už používa poskytovateľa identity (IdP). Pre zvýšené zabezpečenie so základným overovaním odporúčame používať v aplikácii Control Hub viacfaktorové overovanie (MFA). Viac informácií nájdete v časti Povolenie integrácie viacfaktorového overovania v aplikácii Control Hub.
Nasledujúce riešenia správy webového prístupu a federácie boli testované pre organizácie Webex. Dokumenty, na ktoré odkazujeme nižšie, vás prevedú procesom integrácie daného poskytovateľa identity (IdP) s vašou organizáciou Webex.
Tieto príručky pokrývajú integráciu SSO pre služby Webex, ktoré sú spravované v Control Hub ( https://admin.webex.com). Ak hľadáte integráciu SSO pre webovú stránku Webex Meetings (spravovanú v časti Správa webovej stránky), prečítajte si článok Konfigurácia jednotného prihlásenia pre webovú stránku Cisco Webex.
Ak chcete nastaviť SSO pre viacerých poskytovateľov identít vo vašej organizácii, pozrite si časť SSO s viacerými poskytovateľmi identít vo Webexe.
Ak svojho poskytovateľa identity nevidíte nižšie, postupujte podľa krokov na základnej úrovni na karte Nastavenie SSO v tomto článku.
Jednotné prihlásenie (SSO) umožňuje používateľom bezpečne sa prihlásiť do Webexu overením totožnosti u poskytovateľa spoločnej identity (IdP) vašej organizácie. Aplikácia Webex používa službu Webex na komunikáciu so službou Webex Platform Identity Service. Služba identity sa overuje u vášho poskytovateľa identity (IdP).
Konfiguráciu spustíte v aplikácii Control Hub. Táto časť zachytáva všeobecné kroky na vysokej úrovni pre integráciu poskytovateľa identity tretej strany.
Keď konfigurujete SSO s vaším IdP, môžete namapovať ľubovoľný atribút na UID. Napríklad namapujte userPrincipalName, e-mailový alias, alternatívnu e-mailovú adresu alebo akýkoľvek iný vhodný atribút k uid. Poskytovateľ identity (IdP) musí pri prihlasovaní porovnať jednu z e-mailových adries používateľa s UID. Webex podporuje mapovanie až 5 e-mailových adries k UID.
Odporúčame, aby ste pri nastavovaní federácie Webex SAML do konfigurácie metadát zahrnuli aj jednorazové odhlásenie (SLO). Tento krok je kľúčový na zabezpečenie toho, aby boli používateľské tokeny zneplatnené u poskytovateľa identity (IdP) aj u poskytovateľa služieb (SP). Ak túto konfiguráciu nevykoná správca, Webex upozorní používateľov, aby zatvorili prehliadače, a tým zneplatnili všetky ponechané otvorené relácie.
Pre SSO a Control Hub musia IdP spĺňať špecifikáciu SAML 2.0. Okrem toho musia byť IdP nakonfigurovaní nasledujúcim spôsobom:
-
Nastavte atribút Formát identifikátora názvu na urn:oasis:names:tc:SAML:2.0:nameid-format:prechodný
-
Nakonfigurujte nárok na poskytovateľa identity podľa typu jediného prihlásenia (SSO), ktoré nasadzujete:
-
SSO (pre organizáciu) – Ak konfigurujete SSO v mene organizácie, nakonfigurujte nárok IdP tak, aby obsahoval názov atribútu uid s hodnotou, ktorá je namapovaná na atribút vybratý v Directory Connector alebo na atribút používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex. (Tento atribút môže byť napríklad E-mailové adresy alebo Meno používateľa.)
-
Partnerské SSO (iba pre poskytovateľov služieb) – Ak ste administrátor poskytovateľa služieb, ktorý konfiguruje partnerské SSO tak, aby ho používali organizácie zákazníkov, ktoré poskytovateľ služieb spravuje, nakonfigurujte nárok IdP tak, aby obsahoval atribút mail (namiesto uid). Hodnota sa musí zhodovať s atribútom vybratým v Directory Connector alebo s atribútom používateľa, ktorý sa zhoduje s atribútom vybratým v službe identity Webex.
Viac informácií o mapovaní vlastných atribútov pre SSO alebo SSO partnera nájdete v časti https://www.cisco.com/go/hybrid-services-directory.
-
-
Iba partnerské SSO. Poskytovateľ identity musí podporovať viacero URL adries služby pre spotrebiteľov tvrdení (ACS). Príklady konfigurácie viacerých adries URL ACS na poskytovateľovi identity nájdete v týchto častiach:
-
Použite podporovaný prehliadač: Odporúčame najnovšiu verziu prehliadača Mozilla Firefox alebo Google Chrome.
-
Vypnite všetky blokovače vyskakovacích okien vo vašom prehliadači.
Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad sú zdokumentované kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.
Musíte uzavrieť zmluvu SAML medzi službou Webex Platform Identity Service a vaším poskytovateľom identity.
Na dosiahnutie úspešnej dohody SAML potrebujete dva súbory:
-
Súbor s metadátami od poskytovateľa identity, ktorý sa má poskytnúť spoločnosti Webex.
-
Súbor s metadátami z Webexu, ktorý sa má poskytnúť poskytovateľovi identity.
Toto je príklad súboru metadát PingFederate s metadátami od poskytovateľa identity.
Súbor metadát zo služby identity.
Nasleduje to, čo očakávate v súbore metadát zo služby identity.
-
EntityID – Používa sa na identifikáciu zmluvy SAML v konfigurácii IdP.
-
Nevyžaduje sa podpísaná žiadosť o autorizáciu AuthN ani žiadne potvrdenia podpisu, všetko je v súlade s požiadavkami poskytovateľa identity v súbore s metadátami.
-
Podpísaný súbor metadát pre poskytovateľa identity na overenie, či metadáta patria k službe identity.
| 1 |
Prihláste sa do Control Hubu. |
| 2 |
Prejsť na . |
| 3 |
Prejdite na kartu Poskytovateľ identity a kliknite na Aktivovať SSO. |
| 4 |
Ako poskytovateľa identity vyberte Webex a kliknite na Ďalej. |
| 5 |
Začiarknite políčko Prečítal(a) som si a rozumiem tomu, ako funguje Webex IdP a kliknite na tlačidlo Ďalej. |
| 6 |
Nastavte pravidlo smerovania. Po pridaní pravidla smerovania sa váš poskytovateľ identity pridá a zobrazí sa na karte Poskytovateľ identity.
Viac informácií nájdete v článku SSO s viacerými IdP vo Webexe.
|
Či už ste dostali oznámenie o vypršaní platnosti certifikátu alebo chcete skontrolovať svoju existujúcu konfiguráciu SSO, môžete použiť funkcie správy jednotného prihlásenia (SSO) v aplikácii Control Hub na správu certifikátov a všeobecné činnosti údržby SSO.
Ak narazíte na problémy s integráciou SSO, použite požiadavky a postup v tejto časti na riešenie problémov s tokom SAML medzi vaším poskytovateľom identity a Webexom.
-
Na riešenie problémov použite webový prehliadač, v ktorom ste nainštalovali nástroj na ladenie sledovania SAML, a prejdite na webovú verziu Webexu na adrese https://web.webex.com.
Nasleduje tok správ medzi aplikáciou Webex, službami Webex, službou identity platformy Webex a poskytovateľom identity (IdP).
| 1 |
Prejdite na https://admin.webex.com a po povolení SSO sa aplikácia vyzve na zadanie e-mailovej adresy.
 Aplikácia odošle informácie do služby Webex, ktorá overí e-mailovú adresu.
|
| 2 |
Aplikácia odošle požiadavku GET na autorizačný server OAuth o token. Požiadavka je presmerovaná na službu identity do toku SSO alebo používateľského mena a hesla. Vráti sa URL adresa overovacieho servera. Požiadavku GET môžete vidieť v súbore sledovania.
V sekcii parametrov služba hľadá kód OAuth, e-mail používateľa, ktorý odoslal požiadavku, a ďalšie podrobnosti OAuth, ako napríklad ClientID, redirectURI a Scope.
|
| 3 |
Aplikácia Webex vyžaduje od poskytovateľa identity potvrdenie SAML pomocou protokolu SAML HTTP POST.
Keď je povolené jednorazové prihlásenie (SSO), overovací nástroj v službe identity presmeruje na URL adresu IdP pre jednorazové prihlásenie (SSO). URL adresa IdP poskytnutá pri výmene metadát.
Skontrolujte v nástroji na sledovanie správu SAML POST. Zobrazí sa správa HTTP POST pre poskytovateľa identity, ktorú si vyžiadal broker IdP.
Parameter RelayState zobrazuje správnu odpoveď od IdP.
Skontrolujte dekódovanú verziu požiadavky SAML, neexistuje žiadny mandát AuthN a cieľ odpovede by mal smerovať na cieľovú URL adresu poskytovateľa identity. Uistite sa, že formát nameid je správne nakonfigurovaný v IdP pod správnym identifikátorom entityID (SPNameQualifier).
Formát identifikátora názvu poskytovateľa identity (IdP) sa zadá a názov zmluvy sa nakonfiguruje pri vytvorení zmluvy SAML. |
| 4 |
Autentifikácia aplikácie prebieha medzi webovými zdrojmi operačného systému a poskytovateľom identity.
V závislosti od vášho poskytovateľa identity (IdP) a mechanizmov autentifikácie nakonfigurovaných v IdP sa z IdP spúšťajú rôzne toky.
|
| 5 |
Aplikácia odošle HTTP Post späť do služby identity a zahrnie atribúty poskytnuté poskytovateľom identity a dohodnuté v pôvodnej zmluve.
Keď je autentifikácia úspešná, aplikácia odošle informácie v správe SAML POST do služby identity.
Stav RelayState je rovnaký ako predchádzajúca správa HTTP POST, kde aplikácia informuje IdP, ktoré EntityID požaduje tvrdenie.
|
| 6 |
SAML assertácia z IdP do Webexu.
|
| 7 |
Služba identity dostane autorizačný kód, ktorý je nahradený prístupovým a obnovovacím tokenom OAuth. Tento token sa používa na prístup k zdrojom v mene používateľa.
Keď služba identity overí odpoveď od poskytovateľa identity (IdP), vydá token OAuth, ktorý umožňuje aplikácii Webex prístup k rôznym službám Webex.
|
