Sledeća rešenja za ujedinjavanje i upravljanje mrežnim pristupom testirana su za Webex organizacije. Dokumenti čije su veze u nastavku vode vas kroz integraciju datog dobavljača identiteta (IdP) sa vašom Webex organizacijom.

Ovi vodiči pokrivaju SSO integraciju Webex usluga kojima se upravlja na platformi Control Hub ( https://admin.webex.com). Ako vam je potrebna SSO integracija lokacije Webex Meetings (upravlja se preko Administracije lokacije), pročitajte članak Konfigurisanje jedinstvenog prijavljivanja za lokaciju Cisco Webex.

Ako želite da podesite SSO za više pružaoca usluge identiteta u svojoj organizaciji, pogledajte SSO sa više pružaoca usluge identiteta u aplikaciji Webex.

Ako u nastavku ne vidite svoj IdP, pratite korake visokog nivoa na kartici Podešavanje SSO u ovom članku.

Jedinstveno prijavljivanje (SSO) omogućava korisnicima da se bezbedno prijave na Webex potvrdom identiteta kod zajedničkog dobavljača identiteta (IdP) vaše organizacije. Aplikacija Webex koristi Webex uslugu za komunikaciju sa uslugom identiteta platforme Webex. Usluga identiteta potvrđuje identitet kod vašeg dobavljača identiteta (IdP).

Konfigurisanje se započinje na platformi Control Hub. Ovaj odeljak sadrži korake visokog nivoa, generičke korake za integraciju dobavljača identiteta (IdP) trećih strana.

Kada konfigurišete SSO kod IdP-a, možete da mapirate bilo koji atribut na UID. Na primer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu e-adresu ili bilo koji drugi odgovarajući atribut na UID. IdP mora da poveže jednu od e-adresa korisnika sa UID-om prilikom prijavljivanja. Webex podržava mapiranje najviše 5 e-adresa na UID.

Preporučujemo da uključite konfiguraciju jedinstvene odjave (SLO) u konfiguraciju metapodataka dok podešavate Webex SAML savez. Ovaj korak je ključan kako bi se osiguralo da su tokeni korisnika poništeni i kod pružaoca usluge identiteta (IdP) i kod pružaoca usluga (SP). Ako ovu konfiguraciju ne izvrši administrator, onda Webex upozorava korisnike da zatvorite svoje pregledače kako bi poništili sve otvorene sesije.

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

  • Podesite atribut NameID formata na urn:oasis:names:tc:SAML:2.0:nameid-format:Дојење

  • Konfigurišite polaganje prava na IdP u skladu sa tipom SSO koji primenjujete:

    • SSO (za organizaciju) – Ako konfigurišete SSO u ime organizacije, konfigurišite IdP polaganje prava tako da uključi ime UID atributa sa vrednošću koja je mapirana na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta. (Ovaj atribut, na primer, mogu biti e-adrese ili glavno ime korisnika.)

    • Partnerski SSO (samo za dobavljače usluga) – Ako ste administrator dobavljača usluga i konfigurišete partnerski SSO koji će koristiti organizacije klijenti kojima upravlja dobavljač usluga, konfigurišite IdP polaganje prava tako da uključuje atribut pošte (a ne korisnički UID). Vrednost mora da se mapira na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta.

    Više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO potražite u članku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Dobavljač identiteta mora da podrži više URL adresa usluge za potvrđivanje klijenata (ACS). Više o primerima konfigurisanja više ACS URL adresa kod dobavljača identiteta potražite u članku:

  • Koristite podržani pregledač: preporučujemo najnoviju verziju pregledača Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokade iskačućih prozora u pregledaču.

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije.

Morate da uspostavite SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Potrebne su vam dve datoteke da biste postigli uspešan SAML ugovor:

  • datoteka metapodataka iz IdP-a, za prosleđivanje za Webex;

  • datoteka metapodataka iz usluge Webex, za prosleđivanje IdP-u.

Tok razmene datoteka metapodataka između usluge Webex i pružaoca usluge identiteta.

Ovo je primer PingFederate datoteke metapodataka sa metapodacima iz IdP-a.

Snimak ekrana PingFederate datoteke metapodataka koja prikazuje metapodatke od pružaoca usluge identiteta.

Datoteka metapodataka iz usluge identiteta.

Snimak ekrana datoteke metapodataka iz usluge identiteta.

Sledi ono što očekujete da ćete videti u datoteci metapodataka usluge identiteta.

Snimak ekrana datoteke metapodataka iz usluge identiteta.

  • EntityID – ovo se koristi za identifikaciju SAML ugovora u IdP konfiguraciji

  • Ne postoji zahtev za potpisanim AuthN zahtevom ili bilo kakve potvrde potpisa, on se usaglašava sa IdP zahtevima u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP radi potvrde da metapodaci pripadaju usluzi identiteta.

Snimak ekrana potpisane datoteke metapodataka za pružaoca usluge identiteta radi potvrde da metapodaci pripadaju usluzi identiteta.

Snimak ekrana potpisane datoteke metapodataka pomoću usluge Okta.

1

Iz prikaza kupca na platformi Control Hub ( https://admin.webex.com) idite na Upravljanje > Podešavanja organizacije, pomerite se do stavke Potvrda identiteta i kliknite na Aktiviraj SSO da biste pokrenuli čarobnjak za konfiguraciju.

2

Izaberite Webex kao svoj pružalac usluge identiteta i kliknite na Dalje.

3

Označite opciju Pročitao/la sam i razumem kako funkcioniše pružalac usluge identiteta usluge Webex i kliknite na Dalje.

4

Podesite pravilo usmeravanja.

Kada dodate pravilo usmeravanja, pružalac usluge identiteta se dodaje i prikazuje na kartici Pružalac usluge identiteta .

Bez obzira na to da li ste primili obaveštenje o isteku sertifikata ili želite da proverite postojeću SSO konfiguraciju, možete da koristite funkcije upravljanja jedinstvenim prijavljivanjem (SSO) na platformi Control Hub za upravljanje sertifikatima i generalne aktivnosti održavanja SSO-a.

Ako naiđete na probleme sa SSO integracijom, koristite zahteve i proceduru iz ovog odeljka za rešavanje problema SAML toka između dobavljača identiteta (IdP) i platforme Webex.

  • Koristite SAML dodatak za praćenje za Firefox, Chrome ili Edge.

  • Da biste rešili probleme, koristite veb-pregledač na kom ste instalirali alatku za otklanjanje grešaka SAML praćenja i idite na veb-verziju aplikacije Webex na adresi https://web.webex.com.

Sledi tok poruka između aplikacije Webex, Webex usluga, usluge identiteta platforme Webex i dobavljača identiteta (IdP).

SAML tok između aplikacije Webex, Webex usluga, usluge identiteta platforme Webex i pružaoca usluge identiteta.
1

Idite na https://admin.webex.com i uz omogućeni SSO aplikacija traži e-adresu.

Prijavite se na ekran usluge Control Hub.

Aplikacija šalje informacije Webex usluzi koja potvrđuje e-adresu.

Informacije koje su poslate Webex usluzi za potvrdu e-adrese.

2

Aplikacija šalje GET zahtev za token serveru za autorizaciju OAuth. Zahtev se preusmerava na uslugu identiteta na jedinstveno prijavljivanje (SSO) ili tok korisničkog imena i lozinke. URL adresa za server za autorizaciju se vraća.

GET zahtev možete videti u datoteci praćenja.

Dobijte detalje o zahtevu u datoteci evidencije.

U odeljku parametara usluga traži OAuth kôd, e-adresu korisnika koji je poslao zahtev i druge OAuth detalje kao što su atributi ClientID, redirectURI i Scope.

Odeljak parametara koji prikazuju OAuth detalje kao što su atributi ClientID, redirectURI i Scope.

3

Aplikacija Webex zahteva SAML potvrdu od dobavljača identiteta (IdP) koristeći SAML HTTP POST.

Kada je SSO omogućen, pokretač za potvrdu identiteta u usluzi identiteta preusmerava na URL dobavljača identiteta (IdP) radi jedinstvenog prijavljivanja (SSO). URL IdP-a je obezbeđen kada su metapodaci razmenjeni.

Mehanizam za potvrdu identiteta preusmerava korisnike na URL adresu pružaoca usluge identiteta navedenu tokom razmene metapodataka.

U alatki za praćenje potražite SAML POST poruku. Vidite HTTP POST poruku upućenu dobavljaču identiteta (IdP) koju je zahtevao IdPbroker.

SAML POST poruka pružaocu usluge identiteta.

Parametar RelayState prikazuje tačan odgovor IdP-a.

RelayState parametar prikazuje tačan odgovor pružaoca usluge identiteta.

Pregledajte dekodiranu verziju SAML zahteva. Nema obaveznog AuthN, a odredište odgovora treba da bude odredišna URL adresa IdP-a. Uverite se da je format nameid pravilno konfigurisan u IdP-u pod ispravnim parametrom entityID (SPNameQualifier)

SAML zahtev koji prikazuje nameid format konfigurisan u pružaocu usluge identiteta.

Format nameid za IdP imena je naveden i ime ugovora konfigurisano kada je kreiran SAML ugovor.

4

Potvrda identiteta za aplikaciju odvija se između veb-resursa operativnog sistema i dobavljača identiteta (IdP).

U zavisnosti od IdP-a i mehanizama potvrde identiteta konfigurisanih u IdP-u, IdP pokreće različite tokove.

Čuvar mesta pružaoca usluge identiteta za vašu organizaciju.

5

Aplikacija šalje HTTP Post nazad usluzi identiteta i uključuje atribute koje je obezbedio IdP i koji su prihvaćeni u početnom ugovoru.

Kada je potvrda identiteta uspešna, aplikacija šalje informacije u SAML POST poruci usluzi identiteta.

SAML poruka usluzi identiteta.

RelayState je isti kao prethodna HTTP POST poruka u kojoj aplikacija saopštava dobavljaču identiteta (IdP) koji EntityID traži potvrđivanje.

HTTP POST poruka ukazuje na to koji EntityID zahteva tvrdnju od pružaoca usluge identiteta.

6

SAML potvrda od dobavljača identiteta (IdP) platformi Webex.

SAML tvrdnja pružaoca usluge identiteta za Webex.

SAML tvrdnja pružaoca usluge identiteta za Webex.

SAML tvrdnja pružaoca usluge identiteta za Webex: Format NameID nije naveden.

SAML tvrdnja pružaoca usluge identiteta za Webex: E-pošta u formatu NameID.

SAML tvrdnja pružaoca usluge identiteta za Webex: NameID format je prelazni.

7

Usluga identiteta dobija kôd za autorizaciju kog zamenjuju OAuth pristup i token za osvežavanje. Ovaj token se koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji omogućava aplikaciji Webex da pristupi različitim Webex uslugama.

OAuth token koji omogućava aplikaciji Webex da pristupi različitim Webex uslugama.