Za organizacije Webex so bile preizkušene naslednje rešitve za upravljanje spletnega dostopa in združevanje. V spodaj povezanih dokumentih boste izvedeli, kako integrirati določenega ponudnika identitete (IdP) v organizacijo Webex.

Ta vodnika zajemata integracijo SSO za storitve Webex, ki se upravljajo v vozlišču Control Hub ( https://admin.webex.com). Če želite integrirati SSO v spletno mesto Webex Meetings (ki ga upravljate v Upravljanju spletnega mesta), preberite Configure Single Sign-On for Cisco Webex Site.

Če želite SSO nastaviti za več ponudnikov identitet v svoji organizaciji, glejte SSO z več IdP v Webex.

Če svojega ponudnika identitete ne vidite na spodnjem seznamu, sledite korakom na visoki ravni v zavihku Nastavitev SSO v tem članku.

Enotna prijava (SSO) uporabnikom omogoča varno prijavo v Webex z avtentikacijo pri skupnem ponudniku identitete (IdP) vaše organizacije. Aplikacija Webex uporablja storitev Webex za komunikacijo s storitvijo Webex Platform Identity Service. Identitetna storitev preveri pristnost pri vašem ponudniku identitet (IdP).

Konfiguracijo začnete v vozlišču Control Hub. V tem razdelku so opisani splošni koraki na visoki ravni za integracijo IdP tretje osebe.

Ko konfigurirate SSO s svojim IdP, lahko katerikoli atribut preslikate na uid. Na primer prikažite ime uporabnika, e-poštni vzdevek, alternativni e-poštni naslov ali kateri koli drug ustrezen atribut na uid. IdP mora ob prijavi uid ujemati z enim od uporabnikovih e-poštnih naslovov. Webex podpira preslikavo do 5 e-poštnih naslovov na uid.

Priporočamo, da med nastavljanjem federacije Webex SAML v konfiguracijo metapodatkov vključite možnost Single Log Out (SLO). Ta korak je ključnega pomena za zagotovitev, da se uporabniški žetoni razveljavijo tako pri ponudniku identitete (IdP) kot pri ponudniku storitev (SP). Če te konfiguracije ne izvede skrbnik, Webex opozori uporabnike, naj zaprejo brskalnik, da se razveljavijo vse odprte seje.

Zahteve za ponudnike identitete

Za SSO in nadzorno vozlišče morajo biti ponudniki identitete skladni s specifikacijo SAML 2.0. Poleg tega je treba IdP konfigurirati na naslednji način:

  • Atribut NameID Format nastavite na urn:oasis:names:tc:SAML:2.0:nameid-format:prehodni

  • Konfigurirajte trditev v IdP glede na vrsto SSO, ki jo uvajate:

    • SSO (za organizacijo) - če konfigurirate SSO v imenu organizacije, konfigurirajte trditev IdP, da vključuje ime atributa uid z vrednostjo, ki je preslikana na atribut, ki je izbran v povezovalniku imenikov, ali na atribut uporabnika, ki se ujema z izbranim v storitvi identitete Webex. (Ta atribut je lahko na primer e-poštni naslov ali glavno ime uporabnika.)

    • Partner SSO (samo za ponudnike storitev) - če ste skrbnik ponudnika storitev, ki konfigurira partnerski SSO, ki ga bodo uporabljale organizacije strank, ki jih upravlja ponudnik storitev, konfigurirajte trditev IdP, da vključuje atribut mail (namesto uid). Vrednost se mora ujemati z atributom, ki je izbran v povezovalniku imenikov, ali z atributom uporabnika, ki se ujema z atributom, izbranim v storitvi identitete Webex.

    Za več informacij o preslikavi atributov po meri za SSO ali partnerski SSO glejte https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Ponudnik identitete mora podpirati več naslovov URL storitve ACS (Assertion Consumer Service). Za primere, kako konfigurirati več naslovov URL ACS v ponudniku identitete, glejte:

  • Uporabite podprt brskalnik: priporočamo najnovejšo različico brskalnika Mozilla Firefox ali Google Chrome.

  • V brskalniku onemogočite blokatorje pojavnih oken.

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

Vzpostavitev sporazuma SAML

Vzpostaviti morate sporazum SAML med storitvijo Webex Platform Identity Service in vašim IdP.

Za uspešno sklenitev sporazuma SAML potrebujete dve datoteki:

  • Datoteka z metapodatki iz ponudnika identitete, ki jo posredujete družbi Webex.

  • Datoteka z metapodatki iz storitve Webex, ki jo posreduje IdP.

Potek izmenjave datotek z metapodatki med storitvijo Webex in ponudnikom identitete.

To je primer datoteke z metapodatki PingFederate z metapodatki iz IdP.

Zaslonska slika datoteke z metapodatki PingFederate, ki prikazuje metapodatke ponudnika identitete.

Datoteka z metapodatki iz storitve identitete.

Zaslonska slika datoteke z metapodatki iz identitetne storitve.

V datoteki z metapodatki identitetne storitve pričakujete naslednje.

Zaslonska slika datoteke z metapodatki iz identitetne storitve.

  • EntityID - uporablja se za identifikacijo sporazuma SAML v konfiguraciji IdP.

  • Ni zahteve po podpisani zahtevi AuthN ali kakršnih koli trditvah o podpisu, temveč je skladen s tem, kar IdP zahteva v datoteki z metapodatki.

  • Podpisana datoteka z metapodatki, s katero IdP preveri, ali metapodatki pripadajo identitetni storitvi.

Zaslonska slika podpisane datoteke z metapodatki za ponudnika identitete za preverjanje, ali metapodatki pripadajo storitvi identitete.

Zaslonska slika podpisane datoteke z metapodatki z uporabo storitve Okta.

Konfiguracija storitve Webex Identity Service
1

V pogledu stranke v središču Control Hub ( https://admin.webex.com) pojdite na Management > Organization Settings, se pomaknite na Authentication in kliknite Activate SSO nastavitev, da zaženete čarovnika za konfiguracijo.

2

Izberite Webex kot IdP in kliknite Naprej.

3

Preverite Prebral sem in razumel, kako deluje Webex IdP in kliknite Naprej.

4

Nastavite pravilo usmerjanja.

Ko dodate pravilo usmerjanja, je vaš ponudnik identitete dodan in je prikazan v zavihku Ponudnik identitete .
Za več informacij glejte SSO z več IdP v Webex.

Ne glede na to, ali ste prejeli obvestilo o poteku veljavnosti potrdila ali želite preveriti obstoječo konfiguracijo SSO, lahko za upravljanje potrdil in splošne dejavnosti vzdrževanja SSO uporabite funkcije za upravljanje Single Sign-On (SSO) v Control Hubu.

Če pri integraciji SSO naletite na težave, uporabite zahteve in postopek v tem razdelku za odpravljanje težav s tokom SAML med IdP in Webexom.

Zahteve za odpravljanje težav SSO

  • Uporabite dodatek za sledenje SAML za Firefox, Chrome ali Edge.

  • Če želite odpraviti težave, uporabite spletni brskalnik, v katerega ste namestili orodje za odpravljanje težav s sledenjem SAML, in pojdite v spletno različico storitve Webex na naslov https://web.webex.com.

Odpravljanje težav s tokom SAML med aplikacijo Webex, IdP in storitvami Webex

V nadaljevanju je prikazan tok sporočil med aplikacijo Webex, storitvami Webex, storitvijo Webex Platform Identity Service in ponudnikom identitete (IdP).

Tok SAML med aplikacijo Webex, storitvami Webex, storitvijo Webex Platform Identity Service in ponudnikom identitete.
1

Pojdite na spletno stran https://admin.webex.com in z omogočenim SSO aplikacija zahteva e-poštni naslov.

Prijavni zaslon kontrolnega vozlišča.

Aplikacija pošlje podatke storitvi Webex, ki preveri e-poštni naslov.

Informacije, poslane storitvi Webex za preverjanje e-poštnega naslova.

2

Aplikacija pošlje zahtevo GET avtorizacijskemu strežniku OAuth za žeton. Zahteva je preusmerjena na storitev identitete v tok SSO ali uporabniško ime in geslo. Vrne se naslov URL za strežnik za preverjanje pristnosti.

Zahtevo GET si lahko ogledate v datoteki za sledenje.

Podrobnosti zahtevka GET v dnevniški datoteki.

V razdelku s parametri storitev poišče kodo OAuth, e-pošto uporabnika, ki je poslal zahtevo, in druge podrobnosti OAuth, kot so ClientID, redirectURI in Scope.

Razdelek Parametri prikazuje podrobnosti OAuth, kot so ClientID, redirectURI in Scope.

3

Aplikacija Webex od IdP zahteva potrditev SAML z uporabo SAML HTTP POST.

Ko je SSO omogočen, avtentikacijski mehanizem v identitetni storitvi preusmeri na naslov URL IdP za SSO. URL IdP, ki je bil naveden ob izmenjavi metapodatkov.

Motor za preverjanje pristnosti uporabnike preusmeri na URL ponudnika identitete, ki je bil določen med izmenjavo metapodatkov.

V orodju za sledenje preverite sporočilo SAML POST. Prikaže se sporočilo HTTP POST, ki ga IdPbroker zahteva od IdPbrokerja.

Sporočilo SAML POST ponudniku identitete.

Parameter RelayState prikazuje pravilen odgovor IdP.

Parameter RelayState prikazuje pravilen odgovor ponudnika identitete.

Pri pregledu različice dekodiranja zahteve SAML ni mandata AuthN, cilj odgovora pa mora biti ciljni URL ponudnika identitete. Prepričajte se, da je format nameid pravilno konfiguriran v IdP pod pravilnim entityID (SPNameQualifier).

Zahteva SAML, ki prikazuje format nameid, konfiguriran v ponudniku identitete.

Navedena sta oblika imena IdP in ime sporazuma, ki je bilo konfigurirano ob ustvarjanju sporazuma SAML.

4

Preverjanje pristnosti aplikacije poteka med spletnimi viri operacijskega sistema in IdP.

Odvisno od IdP in mehanizmov za preverjanje pristnosti, konfiguriranih v IdP, se iz IdP začnejo različni tokovi.

Namestnik ponudnika identitete za vašo organizacijo.

5

Aplikacija pošlje sporočilo HTTP Post nazaj v identitetno storitev in vključi atribute, ki jih je zagotovila identitetna točka in so bili dogovorjeni v začetnem dogovoru.

Ko je avtentikacija uspešna, aplikacija pošlje podatke v sporočilu SAML POST identitetni storitvi.

Sporočilo SAML POST identitetni storitvi.

Sporočilo RelayState je enako kot prejšnje sporočilo HTTP POST, v katerem aplikacija sporoča IdP, kateri EntityID zahteva potrditev.

Sporočilo HTTP POST, v katerem je navedeno, kateri EntityID od ponudnika identitete zahteva potrditev.

6

Potrditev SAML iz IdP v Webex.

Potrditev SAML od ponudnika identitete do družbe Webex.

Potrditev SAML od ponudnika identitete do družbe Webex.

Potrditev SAML od ponudnika identitete do družbe Webex: Oblika NameID ni določena.

Potrditev SAML od ponudnika identitete do družbe Webex: ImeID format e-pošta.

Potrditev SAML od ponudnika identitete do družbe Webex: ImeID format je prehoden.

7

Identitetna storitev prejme avtorizacijsko kodo, ki se nadomesti z žetonom za dostop in osvežitev OAuth. Ta žeton se uporablja za dostop do virov v imenu uporabnika.

Ko identitetna storitev potrdi odgovor identitetnega ponudnika, izda žeton OAuth, ki aplikaciji Webex omogoča dostop do različnih storitev Webex.

žeton OAuth, ki aplikaciji Webex omogoča dostop do različnih storitev Webex.