Preden integrira enotno prijavo (SSO), Webex privzeto uporablja osnovno preverjanje pristnosti. Osnovno preverjanje pristnosti zahteva, da uporabniki ob vsaki prijavi vnesejo svoje uporabniško ime in geslo za Webex. Če imate v svoji organizaciji lastnega ponudnika identitete (IdP), ga lahko integrirate s svojo organizacijo v Control Hub za SSO. SSO omogoča vašim uporabnikom uporabo enega samega, skupnega nabora poverilnic za aplikacije Webex v vaši organizaciji.

Če raje uporabljate osnovno preverjanje pristnosti, vam ni treba ukrepati. Vendar upoštevajte, da je osnovno preverjanje pristnosti lahko manj varno in manj priročno za uporabnike kot enotna prijava (SSO), zlasti če vaša organizacija že uporablja ponudnika identitetnih storitev (IdP). Za izboljšano varnost z osnovnim preverjanjem pristnosti priporočamo uporabo večfaktorske avtentikacije (MFA) v Control Hubu. Za več informacij glejte Omogočanje integracije večfaktorske avtentikacije v Control Hub.

Za organizacije Webex so bile preizkušene naslednje rešitve za upravljanje spletnega dostopa in združevanje. Spodaj navedeni dokumenti vas vodijo skozi postopek integracije določenega ponudnika identitete (IdP) z vašo organizacijo Webex.

Ti priročniki zajemajo integracijo SSO za storitve Webex, ki se upravljajo v Control Hubu ( https://admin.webex.com). Če iščete integracijo enotne prijave (SSO) za spletno mesto Webex Meetings (upravljano v skrbništvu spletnega mesta), preberite Konfiguracija enotne prijave za spletno mesto Cisco Webex.

Če želite nastaviti enotno prijavo (SSO) za več ponudnikov identitet v vaši organizaciji, glejte Enotna prijava z več ponudniki identitet v Webexu.

Če spodaj ne vidite svojega ponudnika identitete, sledite korakom na splošni ravni na zavihku Nastavitev enotne prijave v tem članku.

Enotna prijava (SSO) uporabnikom omogoča varno prijavo v Webex z overjanjem pri ponudniku skupne identitete (IdP) vaše organizacije. Aplikacija Webex uporablja storitev Webex za komunikacijo s storitvijo identitete platforme Webex. Storitev za identifikacijo overi vaš ponudnik identitete (IdP).

Konfiguracijo začnete v Control Hubu. Ta razdelek zajema splošne korake za integracijo ponudnika identitetnih storitev tretje osebe.

Ko konfigurirate SSO s svojim ponudnikom identitetnih storitev (IdP), lahko kateri koli atribut preslikate na UID. Na primer, preslikajte uporabniško_ime, vzdevek e-pošte, alternativni e-poštni naslov ali kateri koli drug primeren atribut v uid. Ponudnik identitete (IdP) mora pri prijavi povezati enega od uporabnikovih e-poštnih naslovov z UID-jem. Webex podpira preslikavo do 5 e-poštnih naslovov v UID.

Priporočamo, da med nastavitvijo federacije Webex SAML v konfiguracijo metapodatkov vključite enotno odjavo (SLO). Ta korak je ključnega pomena za zagotovitev, da so uporabniški žetoni neveljavni tako pri ponudniku identitete (IdP) kot pri ponudniku storitev (SP). Če te konfiguracije ne izvede skrbnik, Webex opozori uporabnike, naj zaprejo brskalnike, da razveljavijo vse odprte seje.

Zahteve za ponudnike identitete

Za SSO in Control Hub morajo IdP-ji ustrezati specifikaciji SAML 2.0. Poleg tega morajo biti ponudniki identitete konfigurirani na naslednji način:

  • Atribut Format NameID nastavite na urn:oasis:names:tc:SAML:2.0:nameid-format:prehoden

  • Konfigurirajte zahtevek na ponudniku identitetnih storitev (IdP) glede na vrsto enotne prijave (SSO), ki jo uvajate:

    • Enotna prijava (SSO) (za organizacijo) – če konfigurirate enotno prijavo (SSO) v imenu organizacije, konfigurirajte zahtevek IdP tako, da vključuje ime atributa uid z vrednostjo, ki je preslikana v atribut, izbran v povezovalniku imenika, ali atribut uporabnika, ki se ujema z atributom, izbranim v storitvi identitete Webex. (Ta atribut je lahko na primer E-poštni naslovi ali Ime uporabnika.)

    • Partnerska enotna prijava (samo za ponudnike storitev) – Če ste skrbnik ponudnika storitev, ki konfigurira partnersko enotno prijavo za uporabo s strani organizacij strank, ki jih upravlja ponudnik storitev, konfigurirajte zahtevek IdP tako, da vključuje atribut mail (namesto uid). Vrednost se mora preslikati v atribut, ki je izbran v povezovalniku imenika, ali v atribut uporabnika, ki se ujema z atributom, izbranim v storitvi identitete Webex.

    Za več informacij o preslikavi atributov po meri za SSO ali SSO partnerja glejte https://www.cisco.com/go/hybrid-services-directory.

  • Samo za partnersko enotno prijavo (SSO). Ponudnik identitete mora podpirati več URL-jev storitve za potrošnike trditev (ACS). Za primere konfiguracije več URL-jev ACS pri ponudniku identitete glejte:

  • Uporabite podprt brskalnik: Priporočamo najnovejšo različico brskalnika Mozilla Firefox ali Google Chrome.

  • Onemogočite vse blokatorje pojavnih oken v brskalniku.

Konfiguracijski vodniki prikazujejo specifičen primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Druge oblike zapisa, kot je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, bodo delovale za integracijo SSO, vendar ne spadajo pod našo dokumentacijo.

Vzpostavite sporazum SAML

Med storitvijo identitete platforme Webex in vašim ponudnikom identitetnih storitev morate skleniti sporazum SAML.

Za uspešno sklenitev sporazuma SAML potrebujete dve datoteki:

  • Datoteka z metapodatki iz ponudnika identitetnih podatkov, ki jo je treba posredovati Webexu.

  • Datoteka z metapodatki iz Webexa, ki jo je treba posredovati ponudniku identitetnih podatkov (IdP).

Tok izmenjave datotek z metapodatki med Webexom in ponudnikom identitete.

To je primer datoteke z metapodatki PingFederate z metapodatki iz ponudnika identitetnih storitev (IdP).

Posnetek zaslona datoteke z metapodatki PingFederate, ki prikazuje metapodatke ponudnika identitete.

Datoteka z metapodatki iz storitve identitete.

Posnetek zaslona datoteke z metapodatki iz storitve identitete.

Sledi prikaz metapodatkovne datoteke storitve identitete.

Posnetek zaslona datoteke z metapodatki iz storitve identitete.

  • EntityID – Ta se uporablja za identifikacijo sporazuma SAML v konfiguraciji IdP.

  • Ni zahteve za podpisano zahtevo AuthN ali kakršne koli potrditve podpisa, saj je skladno s tem, kar IdP zahteva v datoteki z metapodatki.

  • Podpisana datoteka z metapodatki, s katero ponudnik identitetnih storitev preveri, ali metapodatki pripadajo storitvi identitete.

Posnetek zaslona podpisane datoteke z metapodatki, s katero ponudnik identitete preveri, ali metapodatki pripadajo storitvi identitete.

Posnetek zaslona podpisane datoteke z metapodatki z uporabo Okte.

Konfigurirajte storitev identitete Webex
1

Prijavite se v Control Hub.

2

Pojdi na Upravljanje > Varnost > Preverjanje pristnosti.

3

Pojdite na zavihek Ponudnik identitete in kliknite Aktiviraj enotno prijavo.

4

Kot ponudnika identitete izberite Webex in kliknite Naprej.

5

Označite Prebral/a sem in razumel/a, kako deluje Webex IdP in kliknite Naprej.

6

Nastavite pravilo usmerjanja.

Ko dodate pravilo usmerjanja, je vaš ponudnik identitete dodan in prikazan na zavihku Ponudnik identitete.
Za več informacij glejte Enotna prijava z več ponudniki identitet v Webexu.

Ne glede na to, ali ste prejeli obvestilo o poteku veljavnosti potrdila ali želite preveriti obstoječo konfiguracijo enotne prijave (SSO), lahko za upravljanje potrdil in splošne dejavnosti vzdrževanja enotne prijave uporabite funkcije upravljanja enotne prijave (SSO) v Control Hubu.

Če naletite na težave z integracijo SSO, uporabite zahteve in postopek v tem razdelku za odpravljanje težav s tokom SAML med vašim ponudnikom identitet in Webexom.

Zahteve za odpravljanje težav s SSO

  • Uporabite dodatek SAML tracer za Firefox, Chromeali Edge.

  • Za odpravljanje težav uporabite spletni brskalnik, v katerem ste namestili orodje za odpravljanje napak sledenja SAML, in pojdite na spletno različico Webexa na https://web.webex.com.

Odpravljanje težav s tokom SAML med aplikacijo Webex, vašim ponudnikom identitetnih storitev (IDP) in storitvami Webex

Sledi tok sporočil med aplikacijo Webex, storitvami Webex, storitvijo identitete platforme Webex in ponudnikom identitete (IdP).

Tok SAML med aplikacijo Webex, storitvami Webex, storitvijo identitete platforme Webex in ponudnikom identitete.
1

Pojdite na https://admin.webex.com in če je enotna prijava omogočena, aplikacija pozove k vnosu e-poštnega naslova.

Zaslon za prijavo v Control Hub.

Aplikacija pošlje podatke storitvi Webex, ki preveri e-poštni naslov.

Informacije, poslane storitvi Webex za preverjanje e-poštnega naslova.

2

Aplikacija pošlje zahtevo GET na avtorizacijski strežnik OAuth za žeton. Zahteva je preusmerjena k storitvi identitete v tok enotne prijave (SSO) ali uporabniškega imena in gesla. Vrnjen je URL za strežnik za preverjanje pristnosti.

Zahtevo GET si lahko ogledate v datoteki sledenja.

Pridobi podrobnosti zahteve v dnevniški datoteki.

V razdelku s parametri storitev išče kodo OAuth, e-poštni naslov uporabnika, ki je poslal zahtevo, in druge podrobnosti OAuth, kot so ClientID, redirectURI in Scope.

Razdelek s parametri, ki prikazuje podrobnosti OAuth, kot so ClientID, redirectURI in Scope.

3

Aplikacija Webex od ponudnika identitetnih storitev (IdP) zahteva trditev SAML z uporabo zahteve SAML HTTP POST.

Ko je enotna prijava (SSO) omogočena, mehanizem za preverjanje pristnosti v storitvi identitete preusmeri na URL ponudnika identitete (IdP) za enotno prijavo (SSO). URL ponudnika identitet, ki je bil naveden ob izmenjavi metapodatkov.

Mehanizem za preverjanje pristnosti preusmeri uporabnike na URL ponudnika identitete, ki je bil določen med izmenjavo metapodatkov.

V orodju za sledenje preverite, ali je prisotno sporočilo SAML POST. Vidite sporočilo HTTP POST za IdP, ki ga zahteva IdPbroker.

Sporočilo SAML POST ponudniku identitete.

Parameter RelayState prikazuje pravilen odgovor od IdP.

Parameter RelayState, ki prikazuje pravilen odgovor ponudnika identitete.

Preglejte dekodirano različico zahteve SAML, v njej ni mandata AuthN in cilj odgovora bi moral biti ciljni URL ponudnika identitet. Prepričajte se, da je format nameid pravilno konfiguriran v IdP pod pravilnim entityID (SPNameQualifier).

Zahteva SAML, ki prikazuje format nameid-formata, konfiguriranega v ponudniku identitete.

Oblika imena IDP je določena in ime pogodbe konfigurirano ob ustvarjanju pogodbe SAML.

4

Preverjanje pristnosti za aplikacijo poteka med spletnimi viri operacijskega sistema in ponudnikom identitetnih storitev (IdP).

Odvisno od vašega ponudnika identitetnih storitev (IdP) in mehanizmov za preverjanje pristnosti, konfiguriranih v IdP, se iz IdP zaženejo različni tokovi.

Nadomestno besedilo ponudnika identitete za vašo organizacijo.

5

Aplikacija pošlje HTTP Post nazaj storitvi za identifikacijo in vključi atribute, ki jih zagotovi ponudnik identitetnih storitev (IdP) in so bili dogovorjeni v začetnem sporazumu.

Ko je preverjanje pristnosti uspešno, aplikacija pošlje podatke v sporočilu SAML POST storitvi za identifikacijo.

Sporočilo SAML POST storitvi za identifikacijo.

RelayState je enak kot prejšnje sporočilo HTTP POST, kjer aplikacija pove IdP-ju, kateri EntityID zahteva trditev.

Sporočilo HTTP POST, ki označuje, kateri EntityID zahteva trditev od ponudnika identitete.

6

Trditev SAML od ponudnika identitetnih identitet do Webexa.

Izjava SAML od ponudnika identitete do Webexa.

Izjava SAML od ponudnika identitete do Webexa.

Izjava SAML od ponudnika identitete do Webexa: Oblika imena NameID ni določena.

Izjava SAML od ponudnika identitete do Webexa: E-poštni naslov v obliki NameID.

Izjava SAML od ponudnika identitete do Webexa: Prehodna oblika NameID.

7

Storitev identitete prejme avtorizacijsko kodo, ki jo nadomesti žeton za dostop in osvežitev OAuth. Ta žeton se uporablja za dostop do virov v imenu uporabnika.

Ko storitev identitete potrdi odgovor ponudnika identitetnih storitev (IdP), izda žeton OAuth, ki aplikaciji Webex omogoča dostop do različnih storitev Webex.

Žeton OAuth, ki aplikaciji Webex omogoča dostop do različnih storitev Webex.