Om du har en egen identitetsleverantör (IdP) i din organisation kan du integrera SAML-IdP:n med organisationen i Control Hub för enkel inloggning (SSO). Med SSO kan dina användare använda en gemensam uppsättning autentiseringsuppgifter för Webex-program och andra program i organisationen.
Följande lösningar för webbåtkomst och samlade lösningar testades för Webex-organisationer. Dokumenten som är länkade nedan visar hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.
 | Dessa guider behandlar SSO-integrering för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com ). Om du letar efter SSO-integrering av en Webex Meetings-plats (hanteras i Webbplatsadministration) finns information i Konfigurera enkel inloggning för Cisco Webex-platsen . |
Om du inte ser din IdP i listan nedan följer du stegen på hög nivå i avsnittet SSO-inställning i den här artikeln.
Enkel inloggning (SSO) gör det möjligt för användare att logga in på Webex på ett säkert sätt genom att autentisera till din organisations gemensamma identitetsleverantör (IdP). Webex-appen använder Webex-tjänsten för att kommunicera med Webex Platform Identity-tjänsten. Identitetstjänsten autentiseras med din identitetsleverantör (IdP).
Du startar konfigurationen i Control Hub. Det här avsnittet innehåller allmänna steg på hög nivå för att integrera en IdP från tredje part.
| När du konfigurerar SSO med din IdP kan du mappa valfritt attribut till uid. Mappa till exempel userPrincipalName, ett e-postalias, en alternativ e-postadress eller något annat lämpligt attribut till uid. IdP måste matcha en av användarens e-postadresser med uid vid inloggning. Webex har stöd för mappning av upp till fem e-postadresser till uid. |
För SSO och Control Hub måste IdP:er följa SAML 2.0-specifikationen. Dessutom måste IdP:er konfigureras på följande sätt:
Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurera ett anspråk på IdP enligt den typ av SSO som du distribuerar:
SSO (för en organisation) – om du konfigurerar SSO för en organisations räkning konfigurerar du IdP-anspråket så att uid-attributnamnet inkluderar ett värde som är mappat till attributet som har valts i Directory Connector, eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)
Partner-SSO (endast för tjänsteleverantörer) – om du är en tjänsteleverantörsadministratör och konfigurerar partner-SSO som ska användas av de kundorganisationer som tjänsteleverantören hanterar konfigurerar du IdP-anspråket så att post-attributet inkluderas (snarare än uid). Värdet måste mappas till det attribut som har valts i Directory Connector eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten.
Mer information om hur du mappar anpassade attribut för antingen SSO eller partner-SSO finns i https://www.cisco.com/go/hybrid-services-directory .
Endast partner-SSO. Identitetsleverantören måste ha stöd för flera URL:er för Assertion Consumer Service (ACS). Exempel på hur du konfigurerar flera ACS-URL:er på en identitetsleverantör finns här:
Använd en webbläsare som stöds: Vi rekommenderar den senaste versionen av Mozilla Firefox eller Google Chrome.
Inaktivera eventuella popup-blockerare i din webbläsare.
| Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Exempelvis är integrationsstegen för |
Du måste upprätta ett SAML-avtal mellan Webex Platform Identity-tjänsten och din IdP.
Du behöver två filer för att upprätta ett SAML-avtal:
En metadatafil från IdP att ge till Webex.
En metadatafil från Webex att ge till IdP.
Det här är ett exempel på en PingFederate-metadatafil med metadata från IdP.
Metadatafil från identitetstjänsten.
Följande är vad du förväntar dig att se i metadatafilen från identitetstjänsten.
Enhets-ID – används för att identifiera SAML-avtalet i IdP-konfigurationen
Det finns inget krav på en signerad AuthN-begäran eller några signeringsförslag, den följer det IdP begär i metadatafilen.
En signerad metadatafil för IdP för att verifiera att metadata tillhör identitetstjänsten.
| 1 | Från kundvyn i Control Hub ( https://admin.webex.com) går du till , bläddrar till Autentisering och växlar inställningen Enkel inloggning till på för att starta konfigurationsguiden. | ||
| 2 | Välj certifikattyp:
| ||
| 3 | Klicka på Hämta metadata och sedan Nästa. | ||
| 4 | Tjänsten Webex Platform Identity validerar metadatafilen från IdP:n. Det finns två möjliga sätt att validera metadata från kund-IdP:n:
| ||
| 5 | Testa SSO-anslutningen innan du aktiverar den. Det här steget fungerar som en testkörning och påverkar inte organisationsinställningarna förrän du aktiverar SSO i nästa steg.
| ||
| 6 | Om testet lyckas aktiverar du SSO och sparar ändringarna. Du måste spara ändringarna för att SSO ska börja gälla i organisationen. |
Oavsett om du har fått ett meddelande om ett certifikat som löper ut eller vill kontrollera din befintliga SSO-konfiguration kan du använda Hanteringsfunktioner för enkel inloggning (SSO). i Control Hub för certifikathantering och allmänt underhåll av SSO.
Om du stöter på problem med SSO-integreringen använder du kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.
Använd webbläsaren där du installerade felsökningsverktyget med SAML-spårning och gå till webbversionen av Webex på https://web.webex.com för att felsöka.
Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänsterna, Webex Platform Identity-tjänsten och identitetsleverantören (IdP).
| 1 | Gå till https://admin.webex.com. När SSO är aktiverat uppmanar appen dig att ange en e-postadress.
 Appen skickar informationen till Webex-tjänsten som verifierar e-postadressen.
|
| 2 | Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till identitetstjänsten och till flödet för SSO eller användarnamn och lösenord. URL:en till autentiseringsservern returneras.  Du kan se GET-begäran i spårningsfilen.
I avsnittet för parametrar söker tjänsten efter en OAuth-kod, e-postadress till användaren som skickade begäran och annan OAuth-information som ClientID, redirectURI och Scope.
|
| 3 | Webex-appen begär en SAML-kontroll från IdP:n med en SAML HTTP POST.
När SSO är aktiverat omdirigerar autentiseringsmotorn i identitetstjänsten till IdP-URL:en för SSO. Den IdP-URL som angavs vid utbytet av metadata.
Leta efter ett SAML POST-meddelande i spårningsverktyget. Du ser ett HTTP POST-meddelande till IdP:n som begärts av IdPbroker.
Parametern RelayState visar rätt svar från IdP:n.
Granska avkodningsversionen av SAML-begäran, det finns inget autoriserat AuthN och målet för svaret bör gå till mål-URL:en för IdP:n. Kontrollera att nameid-formatet är korrekt konfigurerat i IdP:n under rätt enhets-ID (SPNameQualifier)
IdP:ns nameid-format anges och namnet på avtalet som konfigurerades när SAML-avtalet skapades. |
| 4 | Autentiseringen av appen sker mellan operativsystemets webbresurser och IdP:n.
Olika flöden startas från IdP:n beroende på din IdP och de autentiseringsmekanismer som har konfigurerats i IdP:n.
|
| 5 | Appen skickar en HTTP-post tillbaka till identitetstjänsten och inkluderar de attribut som tillhandahålls av IdP:n och som avtalades i det ursprungliga avtalet.
När autentiseringen har lyckats skickar appen informationen i ett SAML POST-meddelande till identitetstjänsten.
RelayState är samma som det tidigare HTTP POST-meddelandet där appen talar om för IdP vilket EntityID som begär kontrollen.
|
| 6 | SAML-kontroll från IdP till Webex.
|
| 7 | Identitetstjänsten får en behörighetskod som ersätts med en OAuth-åtkomst- och uppdateringstoken. Denna token används för att komma åt resurser för användarens räkning.
När identitetstjänsten har validerat svaret från IdP:n utfärdar den en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna.
|
