Пре интеграције јединственог пријављивања (SSO), Webex подразумевано користи основну аутентификацију. Основна аутентификација захтева од корисника да унесу своје Webex корисничко име и лозинку сваки пут када се пријаве. Ако имате сопственог добављача идентитета (IdP) у својој организацији, можете га интегрисати са својом организацијом у Control Hub-у за SSO. SSO омогућава вашим корисницима да користе један, заједнички скуп акредитива за Webex апликације у вашој организацији.

Ако више волите да користите основну аутентификацију, не морате ништа да предузимате. Међутим, имајте на уму да основна аутентификација може бити мање безбедна и мање погодна за кориснике од SSO-а, посебно ако ваша организација већ користи IdP. За побољшану безбедност са основном аутентификацијом, препоручујемо коришћење вишефакторске аутентификације (MFA) у Control Hub-у. За више информација погледајте Омогућите интеграцију вишефакторске аутентификације у Control Hub-у.

Sledeća rešenja za ujedinjavanje i upravljanje mrežnim pristupom testirana su za Webex organizacije. Dokumenti čije su veze u nastavku vode vas kroz integraciju datog dobavljača identiteta (IdP) sa vašom Webex organizacijom.

Ovi vodiči pokrivaju SSO integraciju Webex usluga kojima se upravlja na platformi Control Hub ( https://admin.webex.com). Ako vam je potrebna SSO integracija lokacije Webex Meetings (upravlja se preko Administracije lokacije), pročitajte članak Konfigurisanje jedinstvenog prijavljivanja za lokaciju Cisco Webex.

Ако желите да подесите SSO за више добављача идентитета у вашој организацији, погледајте SSO са више IdP-ова у Webex-у.

Ako u nastavku ne vidite svoj IdP, pratite korake visokog nivoa na kartici Podešavanje SSO u ovom članku.

Jedinstveno prijavljivanje (SSO) omogućava korisnicima da se bezbedno prijave na Webex potvrdom identiteta kod zajedničkog dobavljača identiteta (IdP) vaše organizacije. Aplikacija Webex koristi Webex uslugu za komunikaciju sa uslugom identiteta platforme Webex. Usluga identiteta potvrđuje identitet kod vašeg dobavljača identiteta (IdP).

Konfigurisanje se započinje na platformi Control Hub. Ovaj odeljak sadrži korake visokog nivoa, generičke korake za integraciju dobavljača identiteta (IdP) trećih strana.

Kada konfigurišete SSO kod IdP-a, možete da mapirate bilo koji atribut na UID. Na primer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu e-adresu ili bilo koji drugi odgovarajući atribut na UID. IdP mora da poveže jednu od e-adresa korisnika sa UID-om prilikom prijavljivanja. Webex podržava mapiranje najviše 5 e-adresa na UID.

Препоручујемо да укључите једнократно одјављивање (SLO) у конфигурацију метаподатака приликом подешавања Webex SAML федерације. Овај корак је кључан како би се осигурало да су кориснички токени поништени и код добављача идентитета (IdP) и код добављача услуга (SP). Ако администратор не изврши ову конфигурацију, Webex упозорава кориснике да затворе своје прегледаче како би поништио све отворене сесије.

Zahtevi za dobavljače identiteta

IdP-ovi za SSO i Control Hub moraju da se usaglase sa SAML 2.0 specifikacijama. Osim toga, dobavljači identiteta moraju biti konfigurisani na sledeći način:

  • Поставите атрибут NameID Format на urn:oasis:names:tc:SAML:2.0:nameid-format:пролазно

  • Konfigurišite polaganje prava na IdP u skladu sa tipom SSO koji primenjujete:

    • SSO (za organizaciju) – Ako konfigurišete SSO u ime organizacije, konfigurišite IdP polaganje prava tako da uključi ime UID atributa sa vrednošću koja je mapirana na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta. (Ovaj atribut, na primer, mogu biti e-adrese ili glavno ime korisnika.)

    • Partnerski SSO (samo za dobavljače usluga) – Ako ste administrator dobavljača usluga i konfigurišete partnerski SSO koji će koristiti organizacije klijenti kojima upravlja dobavljač usluga, konfigurišite IdP polaganje prava tako da uključuje atribut pošte (a ne korisnički UID). Vrednost mora da se mapira na atribut koji je izabran u sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta.

    Više informacija o mapiranju prilagođenih atributa za SSO ili partnerski SSO potražite u članku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO. Dobavljač identiteta mora da podrži više URL adresa usluge za potvrđivanje klijenata (ACS). Više o primerima konfigurisanja više ACS URL adresa kod dobavljača identiteta potražite u članku:

  • Koristite podržani pregledač: preporučujemo najnoviju verziju pregledača Mozilla Firefox ili Google Chrome.

  • Onemogućite sve blokade iskačućih prozora u pregledaču.

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. На пример, кораци интеграције за nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient су документовани. Други формати као што је urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ће функционисати за SSO интеграцију, али су ван оквира наше документације.

Uspostavljanje SAML ugovora

Morate da uspostavite SAML ugovor između usluge identiteta platforme Webex i vašeg IdP-a.

Potrebne su vam dve datoteke da biste postigli uspešan SAML ugovor:

  • datoteka metapodataka iz IdP-a, za prosleđivanje za Webex;

  • datoteka metapodataka iz usluge Webex, za prosleđivanje IdP-u.

Ток размене датотека са метаподацима између Webex-а и добављача идентитета.

Ovo je primer PingFederate datoteke metapodataka sa metapodacima iz IdP-a.

Снимак екрана датотеке са метаподацима PingFederate-а која приказује метаподатке од добављача идентитета.

Datoteka metapodataka iz usluge identiteta.

Снимак екрана датотеке са метаподацима из сервиса за идентификацију.

Sledi ono što očekujete da ćete videti u datoteci metapodataka usluge identiteta.

Снимак екрана датотеке са метаподацима из сервиса за идентификацију.

  • EntityID – ovo se koristi za identifikaciju SAML ugovora u IdP konfiguraciji

  • Ne postoji zahtev za potpisanim AuthN zahtevom ili bilo kakve potvrde potpisa, on se usaglašava sa IdP zahtevima u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IdP radi potvrde da metapodaci pripadaju usluzi identiteta.

Снимак екрана потписане датотеке са метаподацима за добављача идентитета како би се потврдило да метаподаци припадају услузи идентитета.

Снимак екрана потписане датотеке са метаподацима помоћу Окте.

Konfigurisanje Webex usluge identiteta
1

Prijavite se u kontrolno čvorište.

2

Иди на Менаџмент > Безбедност > Аутентификација.

3

Идите на картицу Провајдер идентитета и кликните на Активирај SSO.

4

Изаберите Webex као свог IdP-а и кликните на Даље.

5

Означите Прочитао/ла сам и разумео/ла како Webex IdP функционише и кликните на Даље.

6

Подесите правило рутирања.

Када додате правило рутирања, ваш IdP се додаје и приказује се на картици Провајдер идентитета.
За више информација, погледајте SSO са више IdP-ова у Webex-у.

Bez obzira na to da li ste primili obaveštenje o isteku sertifikata ili želite da proverite postojeću SSO konfiguraciju, možete da koristite funkcije upravljanja jedinstvenim prijavljivanjem (SSO) na platformi Control Hub za upravljanje sertifikatima i generalne aktivnosti održavanja SSO-a.

Ako naiđete na probleme sa SSO integracijom, koristite zahteve i proceduru iz ovog odeljka za rešavanje problema SAML toka između dobavljača identiteta (IdP) i platforme Webex.

Zahtevi za rešavanje problema sa jedinstvenim prijavljivanjem (SSO)

  • Користите додатак SAML tracer за Firefox, Chromeили Edge.

  • Da biste rešili probleme, koristite veb-pregledač na kom ste instalirali alatku za otklanjanje grešaka SAML praćenja i idite na veb-verziju aplikacije Webex na adresi https://web.webex.com.

Rešavanje problema SAML toka između aplikacije Webex, vašeg dobavljača identiteta (IdP) i Webex usluga

Sledi tok poruka između aplikacije Webex, Webex usluga, usluge identiteta platforme Webex i dobavljača identiteta (IdP).

SAML ток између Webex апликације, Webex услуга, Webex платформе за идентитет и добављача идентитета.
1

Idite na https://admin.webex.com i uz omogućeni SSO aplikacija traži e-adresu.

Екран за пријаву на Control Hub.

Aplikacija šalje informacije Webex usluzi koja potvrđuje e-adresu.

Информације послате Webex сервису ради верификације имејл адресе.

2

Aplikacija šalje GET zahtev za token serveru za autorizaciju OAuth. Zahtev se preusmerava na uslugu identiteta na jedinstveno prijavljivanje (SSO) ili tok korisničkog imena i lozinke. URL adresa za server za autorizaciju se vraća.

GET zahtev možete videti u datoteci praćenja.

Прибави детаље захтева у датотеци дневника.

U odeljku parametara usluga traži OAuth kôd, e-adresu korisnika koji je poslao zahtev i druge OAuth detalje kao što su atributi ClientID, redirectURI i Scope.

Одељак са параметрима који приказује детаље OAuth-а као што су ClientID, redirectURI и Scope.

3

Aplikacija Webex zahteva SAML potvrdu od dobavljača identiteta (IdP) koristeći SAML HTTP POST.

Kada je SSO omogućen, pokretač za potvrdu identiteta u usluzi identiteta preusmerava na URL dobavljača identiteta (IdP) radi jedinstvenog prijavljivanja (SSO). URL IdP-a je obezbeđen kada su metapodaci razmenjeni.

Механизам за аутентификацију преусмерава кориснике на URL адресу добављача идентитета наведену током размене метаподатака.

U alatki za praćenje potražite SAML POST poruku. Vidite HTTP POST poruku upućenu dobavljaču identiteta (IdP) koju je zahtevao IdPbroker.

SAML POST порука добављачу идентитета.

Parametar RelayState prikazuje tačan odgovor IdP-a.

Параметар RelayState који приказује тачан одговор од добављача идентитета.

Pregledajte dekodiranu verziju SAML zahteva. Nema obaveznog AuthN, a odredište odgovora treba da bude odredišna URL adresa IdP-a. Uverite se da je format nameid pravilno konfigurisan u IdP-u pod ispravnim parametrom entityID (SPNameQualifier)

SAML захтев који приказује формат идентификатора имена (nameid-format) конфигурисан у добављачу идентитета.

Format nameid za IdP imena je naveden i ime ugovora konfigurisano kada je kreiran SAML ugovor.

4

Potvrda identiteta za aplikaciju odvija se između veb-resursa operativnog sistema i dobavljača identiteta (IdP).

U zavisnosti od IdP-a i mehanizama potvrde identiteta konfigurisanih u IdP-u, IdP pokreće različite tokove.

Чувар места добављача идентитета за вашу организацију.

5

Aplikacija šalje HTTP Post nazad usluzi identiteta i uključuje atribute koje je obezbedio IdP i koji su prihvaćeni u početnom ugovoru.

Kada je potvrda identiteta uspešna, aplikacija šalje informacije u SAML POST poruci usluzi identiteta.

SAML POST порука сервису за идентификацију.

RelayState je isti kao prethodna HTTP POST poruka u kojoj aplikacija saopštava dobavljaču identiteta (IdP) koji EntityID traži potvrđivanje.

HTTP POST порука која указује који EntityID захтева тврдњу од добављача идентитета.

6

SAML potvrda od dobavljača identiteta (IdP) platformi Webex.

SAML тврдња од добављача идентитета ка Webex-у.

SAML тврдња од добављача идентитета ка Webex-у.

SAML тврдња од добављача идентитета ка Webex-у: Формат NameID-а није наведен.

SAML тврдња од добављача идентитета ка Webex-у: Имејл адреса у формату NameID.

SAML тврдња од добављача идентитета ка Webex-у: Пролазни формат NameID-а.

7

Usluga identiteta dobija kôd za autorizaciju kog zamenjuju OAuth pristup i token za osvežavanje. Ovaj token se koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor od IdP-a, izdaje OAuth token koji omogućava aplikaciji Webex da pristupi različitim Webex uslugama.

OAuth токен који омогућава Webex апликацији приступ различитим Webex услугама.