Innan integrerad enkel inloggning (SSO) använder Webex grundläggande autentisering som standard. Grundläggande autentisering kräver att användare anger sitt Webex-användarnamn och lösenord varje gång de loggar in. Om du har en egen identitetsleverantör (IdP) i din organisation kan du integrera den med din organisation i Control Hub för SSO. SSO låter dina användare använda en enda, gemensam uppsättning autentiseringsuppgifter för Webex-applikationer i din organisation.

Om du föredrar att använda grundläggande autentisering behöver du inte göra något. Tänk dock på att grundläggande autentisering kan vara mindre säker och mindre bekväm för användare än SSO, särskilt om din organisation redan använder en IdP. För förbättrad säkerhet med grundläggande autentisering rekommenderar vi att du använder flerfaktorsautentisering (MFA) i Control Hub. Mer information finns i Aktivera integrering av flerfaktorsautentisering i Control Hub.

Följande lösningar för webbåtkomst och samlade lösningar testades för Webex-organisationer. Dokumenten som är länkade nedan visar hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.

Dessa guider behandlar SSO-integrering för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com ). Om du letar efter SSO-integrering av en Webex Meetings-plats (hanteras i Webbplatsadministration) finns information i Konfigurera enkel inloggning för Cisco Webex-platsen .

Om du vill konfigurera SSO för flera identitetsleverantörer i din organisation, se SSO med flera IdP:er i Webex.

Om du inte ser din IdP i listan nedan följer du stegen på hög nivå i avsnittet SSO-inställning i den här artikeln.

Enkel inloggning (SSO) gör det möjligt för användare att logga in på Webex på ett säkert sätt genom att autentisera till din organisations gemensamma identitetsleverantör (IdP). Webex-appen använder Webex-tjänsten för att kommunicera med Webex Platform Identity-tjänsten. Identitetstjänsten autentiseras med din identitetsleverantör (IdP).

Du startar konfigurationen i Control Hub. Det här avsnittet innehåller allmänna steg på hög nivå för att integrera en IdP från tredje part.

När du konfigurerar SSO med din IdP kan du mappa valfritt attribut till uid. Mappa till exempel userPrincipalName, ett e-postalias, en alternativ e-postadress eller något annat lämpligt attribut till uid. IdP måste matcha en av användarens e-postadresser med uid vid inloggning. Webex har stöd för mappning av upp till fem e-postadresser till uid.

Vi rekommenderar att du inkluderar enkel utloggning (SLO) i din metadatakonfiguration när du konfigurerar Webex SAML-federation. Detta steg är avgörande för att säkerställa att användartokens ogiltigförklaras hos både identitetsleverantören (IdP) och tjänsteleverantören (SP). Om den här konfigurationen inte utförs av en administratör varnar Webex användarna att stänga sina webbläsare för att ogiltigförklara eventuella öppna sessioner.

Krav på identitetsleverantörer

För SSO och Control Hub måste IdP:er följa SAML 2.0-specifikationen. Dessutom måste IdP:er konfigureras på följande sätt:

  • Ställ in attributet NameID Format till urn:oasis:names:tc:SAML:2.0:nameid-format:övergående

  • Konfigurera ett anspråk på IdP enligt den typ av SSO som du distribuerar:

    • SSO (för en organisation) – om du konfigurerar SSO för en organisations räkning konfigurerar du IdP-anspråket så att uid-attributnamnet inkluderar ett värde som är mappat till attributet som har valts i Directory Connector, eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)

    • Partner-SSO (endast för tjänsteleverantörer) – om du är en tjänsteleverantörsadministratör och konfigurerar partner-SSO som ska användas av de kundorganisationer som tjänsteleverantören hanterar konfigurerar du IdP-anspråket så att post-attributet inkluderas (snarare än uid). Värdet måste mappas till det attribut som har valts i Directory Connector eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten.

    Mer information om hur du mappar anpassade attribut för antingen SSO eller partner-SSO finns i https://www.cisco.com/go/hybrid-services-directory .

  • Endast partner-SSO. Identitetsleverantören måste ha stöd för flera URL:er för Assertion Consumer Service (ACS). Exempel på hur du konfigurerar flera ACS-URL:er på en identitetsleverantör finns här:

  • Använd en webbläsare som stöds: Vi rekommenderar den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera eventuella popup-blockerare i din webbläsare.

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Till exempel är integrationsstegen för nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenterade. Andra format som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integration men ligger utanför vår dokumentations omfattning.

Upprätta ett SAML-avtal

Du måste upprätta ett SAML-avtal mellan Webex Platform Identity-tjänsten och din IdP.

Du behöver två filer för att upprätta ett SAML-avtal:

  • En metadatafil från IdP att ge till Webex.

  • En metadatafil från Webex att ge till IdP.

Flöde för utbyte av metadatafiler mellan Webex och identitetsleverantören.

Det här är ett exempel på en PingFederate-metadatafil med metadata från IdP.

Skärmdump av en PingFederate-metadatafil som visar metadata från identitetsleverantören.

Metadatafil från identitetstjänsten.

Skärmdump av metadatafilen från identitetstjänsten.

Följande är vad du förväntar dig att se i metadatafilen från identitetstjänsten.

Skärmdump av metadatafilen från identitetstjänsten.

  • Enhets-ID – används för att identifiera SAML-avtalet i IdP-konfigurationen

  • Det finns inget krav på en signerad AuthN-begäran eller några signeringsförslag, den följer det IdP begär i metadatafilen.

  • En signerad metadatafil för IdP för att verifiera att metadata tillhör identitetstjänsten.

Skärmdump av en signerad metadatafil för identitetsleverantören för att verifiera att metadata tillhör identitetstjänsten.

Skärmdump av en signerad metadatafil med Okta.

Konfigurera Webex-identitetstjänst
1

Logga in på Control Hub.

2

Gå till Ledning > Säkerhet > Autentisering.

3

Gå till fliken Identitetsleverantör och klicka på Aktivera SSO.

4

Välj Webex som din IdP och klicka på Nästa.

5

Markera Jag har läst och förstått hur Webex IdP fungerar och klicka på Nästa.

6

Ställ in en routningsregel.

När du har lagt till en routningsregel läggs din IdP till och visas under fliken Identitetsleverantör.
För mer information, se SSO med flera IdP:er i Webex.

Oavsett om du har fått ett meddelande om ett certifikat som löper ut eller vill kontrollera din befintliga SSO-konfiguration kan du använda Hanteringsfunktioner för enkel inloggning (SSO). i Control Hub för certifikathantering och allmänt underhåll av SSO.

Om du stöter på problem med SSO-integreringen använder du kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.

Krav för felsökning av SSO

  • Använd SAML-spårningstillägget för Firefox, Chromeeller Edge.

  • Använd webbläsaren där du installerade felsökningsverktyget med SAML-spårning och gå till webbversionen av Webex på https://web.webex.com för att felsöka.

Felsöka SAML-flödet mellan Webex-appen, din IdP och Webex-tjänster

Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänsterna, Webex Platform Identity-tjänsten och identitetsleverantören (IdP).

SAML-flöde mellan Webex-appen, Webex-tjänster, Webex-plattformsidentitetstjänst och identitetsleverantören.
1

Gå till https://admin.webex.com. När SSO är aktiverat uppmanar appen dig att ange en e-postadress.

Inloggningsskärmen för Control Hub.

Appen skickar informationen till Webex-tjänsten som verifierar e-postadressen.

Information skickas till Webex-tjänsten för verifiering av e-postadress.

2

Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till identitetstjänsten och till flödet för SSO eller användarnamn och lösenord. URL:en till autentiseringsservern returneras.

Du kan se GET-begäran i spårningsfilen.

Detaljer om GET-förfrågan i loggfilen.

I avsnittet för parametrar söker tjänsten efter en OAuth-kod, e-postadress till användaren som skickade begäran och annan OAuth-information som ClientID, redirectURI och Scope.

Parameteravsnitt som visar OAuth-information som ClientID, redirectURI och Scope.

3

Webex-appen begär en SAML-kontroll från IdP:n med en SAML HTTP POST.

När SSO är aktiverat omdirigerar autentiseringsmotorn i identitetstjänsten till IdP-URL:en för SSO. Den IdP-URL som angavs vid utbytet av metadata.

Autentiseringsmotorn omdirigerar användare till den URL för identitetsleverantören som angavs under metadatautbytet.

Leta efter ett SAML POST-meddelande i spårningsverktyget. Du ser ett HTTP POST-meddelande till IdP:n som begärts av IdPbroker.

SAML POST-meddelande till identitetsleverantören.

Parametern RelayState visar rätt svar från IdP:n.

RelayState-parametern som visar rätt svar från identitetsleverantören.

Granska avkodningsversionen av SAML-begäran, det finns inget autoriserat AuthN och målet för svaret bör gå till mål-URL:en för IdP:n. Kontrollera att nameid-formatet är korrekt konfigurerat i IdP:n under rätt enhets-ID (SPNameQualifier)

SAML-begäran som visar nameID-formatet som är konfigurerat i identitetsleverantören.

IdP:ns nameid-format anges och namnet på avtalet som konfigurerades när SAML-avtalet skapades.

4

Autentiseringen av appen sker mellan operativsystemets webbresurser och IdP:n.

Olika flöden startas från IdP:n beroende på din IdP och de autentiseringsmekanismer som har konfigurerats i IdP:n.

Platshållare för identitetsleverantör för din organisation.

5

Appen skickar en HTTP-post tillbaka till identitetstjänsten och inkluderar de attribut som tillhandahålls av IdP:n och som avtalades i det ursprungliga avtalet.

När autentiseringen har lyckats skickar appen informationen i ett SAML POST-meddelande till identitetstjänsten.

SAML POST-meddelande till identitetstjänsten.

RelayState är samma som det tidigare HTTP POST-meddelandet där appen talar om för IdP vilket EntityID som begär kontrollen.

HTTP POST-meddelande som anger vilket EntityID som begär påståendet från identitetsleverantören.

6

SAML-kontroll från IdP till Webex.

SAML-intyg från identitetsleverantören till Webex.

SAML-intyg från identitetsleverantören till Webex.

SAML-intyg från identitetsleverantören till Webex: Namn-ID-format ospecificerat.

SAML-intyg från identitetsleverantören till Webex: E-postadress i NameID-format.

SAML-intyg från identitetsleverantören till Webex: NameID-formatet är tillfälligt.

7

Identitetstjänsten får en behörighetskod som ersätts med en OAuth-åtkomst- och uppdateringstoken. Denna token används för att komma åt resurser för användarens räkning.

När identitetstjänsten har validerat svaret från IdP:n utfärdar den en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna.

OAuth-token som tillåter Webex-appen åtkomst till olika Webex-tjänster.