Za Webex organizacije testirana su sledeća rešenja za web pristup i federaciju. Dokumenti povezani ispod vas provozaju kroz to kako da integrišete tog određenog dobavljača identiteta (IdP) sa vašom Webex organizacijom.


Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u kontrolnom čvorištu (https://admin.webex.com). Ako tražite SSO integraciju Webex lokacije za sastanke (upravljano u administraciji lokacije), pročitajte konfigurisanje jedinstvenog prijavljivanja za Cisco Webex lokaciju.

Ako ne vidite dole naveden IDP, sledite korake visokog nivoa na kartici "Podešavanje SSO" u ovom članku.

Jedinstveno prijavljivanje (SSO) omogućava korisnicima da se bezbedno prijave na Webex tako što će vašim organizacijama potvrditi identitet zajedničkog dobavljača identiteta (IdP). Webex aplikacija koristi Webex uslugu za komunikaciju sa uslugom identiteta Webex platforme. Identitetska usluga je potvrdila identitet kod dobavljača identiteta (IDP).

Konfiguraciju započinjete u kontrolnom čvorištu. Ovaj odeljak hvata visoke, generičke korake za integrisanje IDP-a nezavisnog proizvođača.

Za SSO i Control Hub, IDPs mora biti u skladu sa SAML 2.0 specifikacijom. Pored toga, IDP-ovi moraju biti konfigurisani na sledeći način:

  • Postavite atribut NameID formata na urn:oasis:names:tc:SAML:2.0:nameid-format:prolaz

  • Konfigurišite zahtev za IdP u skladu sa tipom SSO koji primenjujete:

    • SSO (za organizaciju) – Ako konfigurišete SSO u ime organizacije, konfigurišite IdP zahtev da uključi ime atributa UID-a sa vrednošću koja je mapirana na atribut koji je izabran u direktorijumu Connector ili korisnički atribut koji se podudara sa onim koji je izabran uWebex usluzi identiteta. (Ovaj atribut mogu biti e-adrese ili korisničko-glavno ime, na primer.)

    • Partnerski SSO (samo za dobavljače usluga) – Ako ste administrator dobavljača usluga koji konfiguriše SSO partnera da ga koriste korisničke organizacije kojima dobavljač usluga upravlja, konfigurišite IdP zahtev da uključi atribut pošte(a ne uid). Vrednost mora da se mapira na atribut koji je izabran u direktorijumu Connector ili korisnički atribut koji se podudara sa atributom koji je izabran uWebex usluzi identiteta.


    Više informacija o mapiranju prilagođenih atributa za SSO ili Partner SSO potražite u članku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partner SSO. Dobavljač identiteta mora da podržava više URL adresa potrošačke usluge (ACS). Primere konfigurisanja više URL adresa ACS-a na dobavljaču identiteta pogledajte:

  • Koristi podržani pregledač: preporučujemo najnoviju verziju Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokatore iskačućih prozora u pregledaču.


Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne obezbeđuju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije.

Morate da uspostavite SAML sporazum između usluge identiteta Webex platforme i IdP-a.

Potrebne su vam dve datoteke da biste postigli uspešan SAML sporazum:

  • Datoteka metapodataka iz IdP-a koju treba dati Webexu.

  • Datoteka metapodataka sa Webexakoju treba dati IDP-u.

Ovo je primer datoteke metapodataka PingFederate sa metapodacima iz IdP-a.

Datoteka metapodataka iz usluge identiteta.

Sledi ono što očekujete da vidite u datoteci metapodataka iz usluge identiteta.

  • ID entiteta – Upotrebljeno je za identifikaciju SAML sporazuma u IDP konfiguraciji

  • Ne postoji uslov za potpisani AuthN zahtev ili bilo kakve tvrdnje o potpisu, on je u skladu sa onim što IDP zahteva u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP da bi se proverilo da li metapodaci pripadaju usluzi identiteta.

1

Iz prikaza klijenta u kontrolnom čvorištu (https://admin.webex.com), idite na "Management > Organization Settings", pomerite se do potvrde identiteta i prebacite sena postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za konfigurisanje.

2

Odaberite tip certifikata:

  • Samopotpisan od strane Cisco– Preporučujemo da odaberete ovu opciju da nam dozvolite da postanemo SP. Takođe, sertifikat treba da obnavljate samo svakih pet godina.
  • Potpisana od strane javnog autoriteta za izdavanje certifikata – Ova opcija jebezbedna i preporučljiva ako certifikate potpišete sa javnog CA kao što su Hidrant ili Godaddy. Međutim, morate da obnovite certifikat jednom godišnje.
3

Kliknite na dugme Preuzmi metapodatke i kliknite na dugme Dalje .

4

Usluga identiteta Webex platforme proverava valjanost datoteke metapodataka iz IdP-a.

Postoje dva moguća načina za proveru metapodataka iz IDP-a kupca:

  • IDP klijenta obezbeđuje potpis u metapodacima koje potpisuje Javni osnovni CA.

  • IDP klijenta obezbeđuje samopotpisani privatni CA ili ne obezbeđuje potpis za njihove metapodatke. Ova opcija je manje bezbedna.

5

Testirajte SSO vezu pre nego što je omogućite. Ovaj korak funkcioniše kao suvo pokretanje i ne utiče na postavke vaše organizacije dok ne omogućite SSO u sledećem koraku.


 

Da biste direktno videli SSO iskustvo prijavljivanja, takođe možete kliknuti na dugme "Kopiraj URL adresu" u ostavu sa ovog ekrana i nalepiti je u prozor privatnog pregledača. Odatle možete da prođete kroz prijavljivanje sa SSO. Ovo pomaže u uklanjanju informacija keširanih u Veb pregledaču koje mogu dati pogrešan pozitivan rezultat prilikom testiranja SSO konfiguracije.

6

Ako test uspe, onda okrenite SSO i sačuvajte promene.

Morate da sačuvate promene da bi SSO stupio na snagu u vašoj organizaciji.

Bez obzira na to da li ste dobili obaveštenje o certifikatu koji ističe ili želite da proverite postojeću SSO konfiguraciju, možete da koristite funkcije upravljanja jednim prijavljivanjem (SSO) u kontrolnom čvorištu za upravljanje certifikatima i opšte aktivnosti održavanja SSO-a.

Ako naičete na probleme sa SSO integracijom, koristite zahteve i proceduru u ovom odeljku da biste rešili probleme sa SAML protokom između IDP-a i Webexa.

  • Koristite SAML dodatak za praćenje za Firefox ili Chrome.

  • Da biste rešili probleme, koristite Veb pregledač u kojem ste instalirali alatku za otklanjanje grešaka SAML praćenja i idite na Web verziju webexa na https://web.webex.comlokaciji .

Sledi protok poruka između aplikacije Webex, Webex Services, Webex Platforme Identity Service i dobavljača identiteta (IdP).

  1. Idite https://admin.webex.com na i, uz omogućen SSO, aplikacija će zatražiti e-adresu.
  2. Aplikacija šalje GET zahtev serveru za autorizaciju OAuth za simbol. Zahtev se preusmerava na uslugu identiteta na SSO ili korisničko ime i tok lozinke. Url adresa servera za potvrdu identiteta je vraćena.
  3. Webex aplikacija zahteva SAML tvrdnju od IDP-a koristeći SAML HTTP POST.
  4. Potvrda identiteta za aplikaciju se dešava između Veb resursa operativnog sistema i IdP-a.
  5. Aplikacija šalje HTTP Objavu nazad u uslugu identiteta i uključuje atribute koje je obezbedio IdP i koja je dogovorena u početnom ugovoru.
  6. SAML potvrda od IDP-a do Webexa.
  7. Usluga identiteta dobija šifru autorizacije koja je zamenjena OAuth pristupom i oznakom za osvežavanje. Ovaj simbol se koristi za pristup resursima u ime korisnika.
1

Idite https://admin.webex.com na i, uz omogućen SSO, aplikacija će zatražiti e-adresu.

Aplikacija šalje informacije Webex usluzi koja proverava e-adresu.

2

Aplikacija šalje GET zahtev serveru za autorizaciju OAuth za simbol. Zahtev se preusmerava na uslugu identiteta na SSO ili korisničko ime i tok lozinke. Url adresa servera za potvrdu identiteta je vraćena.

Get zahtev možete videti u datoteci praćenja.

U odeljku parametri usluga traži OAuth kôd, e-poruku korisnika koji je poslao zahtev i druge detalje OAuth-a kao što su ClientID, RedirectURI i Scope.

3

Webex aplikacija zahteva SAML tvrdnju od IDP-a koristeći SAML HTTP POST.

Kada je SSO omogućen, mašina za potvrdu identiteta u usluzi identiteta preusmerava se na IDP URL adresu za SSO. IdP URL adresa je navedena kada su metapodaci razmenjeni.

Prijavite alatku za praćenje za SAML POST poruku. Videćete HTTP PORUKU za IDP koju zahteva IdPbroker.

Parametar RelayState prikazuje tačan odgovor IDP-a.

Pregledajte dešifrovanje verzije SAML zahteva, ne postoji mandat AuthN i odredište odgovora bi trebalo da ide na odredišnu URL adresu IDP-a. Uverite se da je iid-format imena ispravno konfigurisan u IDP-u pod ispravnim ID-om entiteta (SPNameQualifier)

Naveden je IdP identidni format imena i ime sporazuma konfigurisanog prilikom kreiranja SAML sporazuma.

4

Potvrda identiteta za aplikaciju se dešava između Veb resursa operativnog sistema i IdP-a.

U zavisnosti od IDP-a i mehanizama potvrde identiteta konfigurisanih u IDP-u, različiti tokovi se pokreжu iz IDP-a.

5

Aplikacija šalje HTTP Objavu nazad u uslugu identiteta i uključuje atribute koje je obezbedio IdP i koja je dogovorena u početnom ugovoru.

Kada potvrda identiteta bude uspešna, aplikacija šalje informacije u SAML POST poruci usluzi identiteta.

RelayState je isti kao prethodna HTTP POST poruka u kojoj aplikacija saopštava IDP koji ID entiteta zahteva za ovu tvrdnju.

6

SAML potvrda od IDP-a do Webexa.

7

Usluga identiteta dobija šifru autorizacije koja je zamenjena OAuth pristupom i oznakom za osvežavanje. Ovaj simbol se koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi valjanost odgovora iz IdP-a, oni izdaju oznaku OAuth koja omogućava aplikaciji Webex da pristupi različitim Webex uslugama.