Sledeća rešenja za ujedinjavanje i upravljanje mrežnim pristupom testirana su za Webex organizacije. Dokumenti čije su veze u nastavku vode vas kroz integraciju datog dobavljača identiteta (IdP) sa vašom Webex organizacijom.


 

Ovi vodiči pokrivaju SSO integraciju Webex usluga kojima se upravlja na platformi Control Hub ( https://admin.webex.com). Ako vam je potrebna SSO integracija lokacije Webex Meetings (upravlja se preko Administracije lokacije), pročitajte članak Konfigurisanje jedinstvenog prijavljivanja za lokaciju Cisco Webex.

Ako želite da podesiti SSO za više dobavljača identiteta u vašoj organizaciji, pogledajte SSO sa više pružaoca usluge identiteta u aplikaciji Webex.

Ako u nastavku ne vidite svoj IdP, pratite korake visokog nivoa na kartici Podešavanje SSO u ovom članku.

Jedinstveno prijavljivanje (SSO) omogućava korisnicima da se bezbedno prijave na Webex potvrdom identiteta kod zajedničkog dobavljača identiteta (IdP) vaše organizacije. Aplikacija Webex koristi Webex uslugu za komunikaciju sa uslugom identiteta platforme Webex. Usluga identiteta potvrđuje identitet kod vašeg dobavljača identiteta (IdP).

Konfigurisanje se započinje na platformi Control Hub. Ovaj odeljak sadrži korake visokog nivoa, generičke korake za integraciju dobavljača identiteta (IdP) trećih strana.


 
Kada konfigurišete SSO kod IdP-a, možete da mapirate bilo koji atribut na UID. Na primer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu e-adresu ili bilo koji drugi odgovarajući atribut na UID. IdP mora da poveže jednu od e-adresa korisnika sa UID-om prilikom prijavljivanja. Webex podržava mapiranje najviše 5 e-adresa na UID.

 
Preporučujemo da uključite jedinstveno odjavljivanje (SLO) u konfiguraciju metapodataka prilikom podešavanja Webex SAML spoljnog pristupa. Ovaj korak je presudan kako bi se osiguralo da se tokeni korisnika ponište i na dobavljaču identiteta (IdP) i dobavljaču usluga (SP). Ako administrator ne izvrši ovu konfiguraciju, onda Webex upozorava korisnike da zatvorite svoje pregledače kako bi poništili sve sesije koje su otvorene.

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

  • Podesite atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurišite polaganje prava na IdP u skladu sa tipom SSO koji primenjujete:

    • SSO (za organizaciju) – Ako konfigurišete SSO u ime organizacije, konfigurišite IdP polaganje prava tako da uključi ime UID atributa sa vrednošću koja je mapirana na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta. (Ovaj atribut, na primer, mogu biti e-adrese ili glavno ime korisnika.)

    • Partnerski SSO (samo za dobavljače usluga) – Ako ste administrator dobavljača usluga i konfigurišete partnerski SSO koji će koristiti organizacije klijenti kojima upravlja dobavljač usluga, konfigurišite IdP polaganje prava tako da uključuje atribut pošte (a ne korisnički UID). Vrednost mora da se mapira na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta.


     

    Više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO potražite u članku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Dobavljač identiteta mora da podrži više URL adresa usluge za potvrđivanje klijenata (ACS). Više o primerima konfigurisanja više ACS URL adresa kod dobavljača identiteta potražite u članku:

  • Koristite podržani pregledač: preporučujemo najnoviju verziju pregledača Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokade iskačućih prozora u pregledaču.


 

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Drugi formati, kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funkcionisaće za SSO integraciju, ali su izvan opsega naše dokumentacije.

Morate da uspostavite SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Potrebne su vam dve datoteke da biste postigli uspešan SAML ugovor:

  • datoteka metapodataka iz IdP-a, za prosleđivanje za Webex;

  • datoteka metapodataka iz usluge Webex, za prosleđivanje IdP-u.

Ovo je primer PingFederate datoteke metapodataka sa metapodacima iz IdP-a.

Datoteka metapodataka iz usluge identiteta.

Sledi ono što očekujete da ćete videti u datoteci metapodataka usluge identiteta.

  • EntityID – ovo se koristi za identifikaciju SAML ugovora u IdP konfiguraciji

  • Ne postoji zahtev za potpisanim AuthN zahtevom ili bilo kakve potvrde potpisa, on se usaglašava sa IdP zahtevima u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP radi potvrde da metapodaci pripadaju usluzi identiteta.

1

Iz prikaza klijenta na platformi Control Hub ( https://admin.webex.com), pristupite opciji "Upravljanje > organizaciji", pomerite se do stavke "Potvrda identiteta" i kliknite na dugme "Aktiviraj SSO" da biste pokrenuli čarobnjak za konfiguraciju.

2

Izaberite Webex kao pružaoca usluge identiteta i kliknite na "Dalje ".

3

Proverite da li sam pročitao/la i razumeo kako Funkcioniše Webex IdP i kliknite na "Dalje ".

4

Podesite pravilo usmeravanja.

Nakon što dodate pravilo usmeravanja, vaš IdP se dodaje i prikazuje se na kartici " Pružalac usluge identiteta ".
Više informacija potražite u članku SSO sa više dobavljača identiteta u aplikaciji Webex.

Bez obzira na to da li ste primili obaveštenje o isteku sertifikata ili želite da proverite postojeću SSO konfiguraciju, možete da koristite funkcije upravljanja jedinstvenim prijavljivanjem (SSO) na platformi Control Hub za upravljanje sertifikatima i generalne aktivnosti održavanja SSO-a.

Ako naiđete na probleme sa SSO integracijom, koristite zahteve i proceduru iz ovog odeljka za rešavanje problema SAML toka između dobavljača identiteta (IdP) i platforme Webex.

  • Koristite SAML tragača dodatak za Firefox, Chrome ili Edge.

  • Da biste rešili probleme, koristite veb-pregledač na kom ste instalirali alatku za otklanjanje grešaka SAML praćenja i idite na veb-verziju aplikacije Webex na adresi https://web.webex.com.

Sledi tok poruka između aplikacije Webex, Webex usluga, usluge identiteta platforme Webex i dobavljača identiteta (IdP).

1

Idite na https://admin.webex.com i uz omogućeni SSO aplikacija traži e-adresu.

Aplikacija šalje informacije Webex usluzi koja potvrđuje e-adresu.

2

Aplikacija šalje GET zahtev za token serveru za autorizaciju OAuth. Zahtev se preusmerava na uslugu identiteta na jedinstveno prijavljivanje (SSO) ili tok korisničkog imena i lozinke. URL adresa za server za autorizaciju se vraća.

GET zahtev možete videti u datoteci praćenja.

U odeljku parametara usluga traži OAuth kôd, e-adresu korisnika koji je poslao zahtev i druge OAuth detalje kao što su atributi ClientID, redirectURI i Scope.

3

Aplikacija Webex zahteva SAML potvrdu od dobavljača identiteta (IdP) koristeći SAML HTTP POST.

Kada je SSO omogućen, pokretač za potvrdu identiteta u usluzi identiteta preusmerava na URL dobavljača identiteta (IdP) radi jedinstvenog prijavljivanja (SSO). URL IdP-a je obezbeđen kada su metapodaci razmenjeni.

U alatki za praćenje potražite SAML POST poruku. Vidite HTTP POST poruku upućenu dobavljaču identiteta (IdP) koju je zahtevao IdPbroker.

Parametar RelayState prikazuje tačan odgovor IdP-a.

Pregledajte dekodiranu verziju SAML zahteva. Nema obaveznog AuthN, a odredište odgovora treba da bude odredišna URL adresa IdP-a. Uverite se da je format nameid pravilno konfigurisan u IdP-u pod ispravnim parametrom entityID (SPNameQualifier)

Format nameid za IdP imena je naveden i ime ugovora konfigurisano kada je kreiran SAML ugovor.

4

Potvrda identiteta za aplikaciju odvija se između veb-resursa operativnog sistema i dobavljača identiteta (IdP).

U zavisnosti od IdP-a i mehanizama potvrde identiteta konfigurisanih u IdP-u, IdP pokreće različite tokove.

5

Aplikacija šalje HTTP Post nazad usluzi identiteta i uključuje atribute koje je obezbedio IdP i koji su prihvaćeni u početnom ugovoru.

Kada je potvrda identiteta uspešna, aplikacija šalje informacije u SAML POST poruci usluzi identiteta.

RelayState je isti kao prethodna HTTP POST poruka u kojoj aplikacija saopštava dobavljaču identiteta (IdP) koji EntityID traži potvrđivanje.

6

SAML potvrda od dobavljača identiteta (IdP) platformi Webex.

7

Usluga identiteta dobija kôd za autorizaciju kog zamenjuju OAuth pristup i token za osvežavanje. Ovaj token se koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji omogućava aplikaciji Webex da pristupi različitim Webex uslugama.