Če imate v svoji organizaciji svojega ponudnika identitete (IdP), lahko integrirate SAML IdP s svojo organizacijo v Control Hub za enotno prijavo (SSO). SSO omogoča vašim uporabnikom uporabo enega samega skupnega niza poverilnic za aplikacije Webex App in druge aplikacije v vaši organizaciji.
Naslednje rešitve za upravljanje spletnega dostopa in združevanje so bile testirane za organizacije Webex. Dokumenti na spodnji povezavi vas vodijo skozi postopek integracije tega posebnega ponudnika identitete (IdP) z vašo organizacijo Webex.
Ti vodniki pokrivajo integracijo SSO za storitve Webex, ki se upravljajo v Control Hubu ( https://admin.webex.com). Če iščete integracijo SSO spletnega mesta Webex Meetings (ki se upravlja v Site Administration), preberite Konfigurirajte enotno prijavo za spletno mesto Cisco Webex. Če želite nastaviti enotno prijavo za več ponudnikov identitete v vaši organizaciji, glejte SSO z več IdP-ji v Webexu. |
Če spodaj ni prikazan vaš IdP, sledite korakom na visoki ravni v Nastavitev SSO v tem članku.
Enotna prijava (SSO) omogoča uporabnikom, da se varno prijavijo v Webex s preverjanjem pristnosti pri ponudniku skupne identitete (IdP) vaše organizacije. Aplikacija Webex uporablja storitev Webex za komunikacijo s storitvijo Webex Platform Identity Service. Storitev identitete preverja pristnost pri vašem ponudniku identitete (IdP).
Konfiguracijo začnete v Control Hubu. Ta razdelek zajema generične korake na visoki ravni za integracijo IdP tretje osebe.
Ko konfigurirate SSO s svojim IdP, lahko kateri koli atribut preslikate v uid. Na primer, preslikajte userPrincipalName, e-poštni vzdevek, nadomestni e-poštni naslov ali kateri koli drug ustrezen atribut v uid. IdP mora ujemati enega od uporabnikovih e-poštnih naslovov z uid-om ob prijavi. Webex podpira preslikavo do 5 e-poštnih naslovov v uid. |
Priporočamo, da med nastavljanjem zveze Webex SAML vključite enojno odjavo (SLO) v konfiguracijo metapodatkov. Ta korak je ključnega pomena za zagotovitev, da so uporabniški žetoni razveljavljeni tako pri ponudniku identitete (IdP) kot pri ponudniku storitev (SP). Če te konfiguracije ne izvede skrbnik, Webex opozori uporabnike, naj zaprejo svoje brskalnike, da razveljavi vse odprte seje. |
Za SSO in Control Hub morajo biti IdP-ji skladni s specifikacijo SAML 2.0. Poleg tega morajo biti IdP-ji konfigurirani na naslednji način:
Nastavite atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:prehodno
Zahtevek na IdP konfigurirajte glede na vrsto enotne prijave, ki jo uvajate:
SSO (za organizacijo) – če konfigurirate enotno prijavo v imenu organizacije, konfigurirajte zahtevek IdP tako, da vključuje uid ime atributa z vrednostjo, ki je preslikana v atribut, izbran v povezovalniku imenika, ali atribut uporabnika, ki se ujema z atributom, izbranim v storitvi identitete Webex. (Ta atribut je lahko na primer E-mail-Addresses ali User-Principal-Name.)
Partner SSO (samo za ponudnike storitev) – če ste skrbnik ponudnika storitev, ki konfigurira partner SSO za uporabo s strani organizacij strank, ki jih upravlja ponudnik storitev, konfigurirajte zahtevek IdP tako, da vključuje pošta atribut (namesto uid). Vrednost se mora preslikati v atribut, ki je izbran v povezovalniku imenika, ali atribut uporabnika, ki se ujema z atributom, ki je izbran v storitvi identitete Webex.
Za več informacij o preslikavi atributov po meri za SSO ali Partner SSO glejte https://www.cisco.com/go/hybrid-services-directory.
Samo partner SSO. Ponudnik identitete mora podpirati več URL-jev Assertion Consumer Service (ACS). Za primere, kako konfigurirati več URL-jev ACS pri ponudniku identitete, glejte:
Uporabite podprt brskalnik: priporočamo najnovejšo različico brskalnika Mozilla Firefox ali Google Chrome.
Onemogočite vse zaviralce pojavnih oken v brskalniku.
Konfiguracijski vodniki prikazujejo poseben primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer koraki integracije za |
Skleniti morate pogodbo SAML med storitvijo Webex Platform Identity Service in vašim IdP.
Za uspešen sporazum SAML potrebujete dve datoteki:
Datoteka z metapodatki IdP, ki jo posredujete Webexu.
Datoteka z metapodatki iz Webexa, ki jo posredujete IdP.
To je primer metapodatkovne datoteke PingFederate z metapodatki iz IdP.
Datoteka z metapodatki iz storitve identitete.
Sledi tisto, kar pričakujete v datoteki z metapodatki iz storitve identitete.
EntityID—To se uporablja za identifikacijo pogodbe SAML v konfiguraciji IdP
Podpisana zahteva AuthN ali kakršna koli trditev o znaku ni zahtevana, skladna je s tem, kar zahteva IdP v datoteki z metapodatki.
Podpisana metapodatkovna datoteka za IdP za preverjanje, ali metapodatki pripadajo storitvi identitete.
1 | Iz pogleda stranke v Control Hubu ( https://admin.webex.com), Pojdi do , pomaknite se do Preverjanje pristnosti in kliknite Aktiviraj SSO nastavitev za zagon čarovnika za konfiguracijo. |
2 | Izberite Webex kot vaš IDP in kliknite Naslednji. |
3 | Preverite Prebral sem in razumel sem, kako deluje Webex IdP in kliknite Naslednji. |
4 | Nastavite pravilo usmerjanja. Ko dodate pravilo usmerjanja, je vaš IdP dodan in prikazan pod Ponudnik identitete zavihek.
Za več informacij glejte SSO z več IdP-ji v Webexu.
|
Ne glede na to, ali ste prejeli obvestilo o poteku potrdila ali želite preveriti svojo obstoječo konfiguracijo SSO, lahko uporabite Funkcije upravljanja enotne prijave (SSO). v Control Hub za upravljanje potrdil in splošne vzdrževalne dejavnosti SSO.
Če naletite na težave z integracijo SSO, uporabite zahteve in postopek v tem razdelku za odpravljanje težav s tokom SAML med vašim IdP in Webexom.
Uporabite dodatek sledilnik SAML za Firefox, Chrome, oz Edge.
Za odpravljanje težav uporabite spletni brskalnik, v katerega ste namestili orodje za odpravljanje napak v sledenju SAML, in pojdite na spletno različico Webexa na https://web.webex.com.
Sledi tok sporočil med aplikacijo Webex, storitvami Webex, storitvijo identitete platforme Webex in ponudnikom identitete (IdP).
1 | Pojdi do https://admin.webex.com in ko je omogočen SSO, aplikacija zahteva e-poštni naslov.
Aplikacija pošlje podatke storitvi Webex, ki preveri e-poštni naslov.
|
2 | Aplikacija pošlje zahtevo GET avtorizacijskemu strežniku OAuth za žeton. Zahteva je preusmerjena na storitev identitete na SSO ali tok uporabniškega imena in gesla. Vrnjen je URL za strežnik za preverjanje pristnosti. Zahtevo GET lahko vidite v datoteki sledenja. V razdelku s parametri storitev išče kodo OAuth, e-poštni naslov uporabnika, ki je poslal zahtevo, in druge podrobnosti OAuth, kot so ClientID, redirectURI in Scope. |
3 | Aplikacija Webex zahteva trditev SAML od IdP z uporabo SAML HTTP POST.
Ko je SSO omogočen, mehanizem za preverjanje pristnosti v storitvi identitete preusmeri na URL IdP za SSO. URL IdP, posredovan ob izmenjavi metapodatkov. V orodju za sledenje preverite sporočilo SAML POST. Vidite sporočilo HTTP POST za IdP, ki ga zahteva IdPbroker. Parameter RelayState prikazuje pravilen odgovor IdP. Preglejte različico dekodiranja zahteve SAML, ni ukaza AuthN in cilj odgovora bi moral iti na ciljni URL IdP. Prepričajte se, da je format nameid pravilno konfiguriran v IdP pod pravilnim entityID (SPNameQualifier) IdP nameid-format je podan in ime pogodbe je konfigurirano, ko je bila pogodba SAML ustvarjena. |
4 | Preverjanje pristnosti za aplikacijo poteka med spletnimi viri operacijskega sistema in IdP.
Glede na vaš IdP in mehanizme za preverjanje pristnosti, konfigurirane v IdP, se iz IdP zaženejo različni tokovi. |
5 | Aplikacija pošlje objavo HTTP nazaj storitvi identitete in vključuje atribute, ki jih zagotovi IdP in dogovorjene v prvotni pogodbi.
Ko je preverjanje pristnosti uspešno, aplikacija pošlje podatke v sporočilu SAML POST storitvi identitete. RelayState je enak prejšnjemu sporočilu HTTP POST, kjer aplikacija sporoči IdP-ju, kateri EntityID zahteva trditev. |
6 | Zatrjevanje SAML od IdP do Webexa. |
7 | Storitev identitete prejme avtorizacijsko kodo, ki je nadomeščena z žetonom dostopa in osveževanja OAuth. Ta žeton se uporablja za dostop do virov v imenu uporabnika.
Ko storitev identitete potrdi odgovor IdP, izda žeton OAuth, ki aplikaciji Webex omogoča dostop do različnih storitev Webex. |