Följande web access management- och federationslösningar har testats för Webex-organisationer. I dokumenten som länkas nedan går du igenom hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.

Dessa guider omfattar SSO för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com). Om du vill ha en SSO av en Webex Meetings-webbplats (som hanteras i webbplatsadministration) läser du Konfigurera enkel inloggning för Webbplats för Cisco Webex Meetings.

Om du inte ser din IdP listad nedan följer du stegen på hög nivå på fliken SSO Installation i den här artikeln.

Med enkel inloggning (SSO) kan användare logga in på Webex på ett säkert sätt genom att autentisera för din organisations Common Identity Provider (IdP). Webex-appen använder Webex-tjänst för att kommunicera med Webex-plattformens identitetstjänst. Användaren identitetstjänst med din identitetsleverantör (IdP).

Du startar konfiguration i Control Hub. I det här avsnittet fångas allmänna steg på hög nivå för att integrera en IdP från tredje part.

Krav för identitetsleverantörer

För SSO och Control Hubmåste IdP:er uppfylla SAML 2.0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:

  • Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurera ett anspråk på IdP enligt typen av SSO som du distribuerar:

    • SSO (för en organisation) – Om du konfigurerar SSO åt en organisation ska du konfigurera IdP-anspråket så att uid-attributnamnet inkludera ett värde som är mappat till det attribut som har valts i Kataloganslutning , eller användarattributet som matchar det som väljs i Webex identitetstjänst. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)

    • Partner SSO (endast för tjänsteleverantör) – Om du är en tjänsteleverantör-administratör som konfigurerar partner SSO som ska användas av de kundorganisationer som tjänsteleverantör hanterar, ska du konfigurera IdP-anspråket så att det inkluderar e-postattributet (i stället för UID). Värdet måste mappa till det attribut som är valt i Kataloganslutning eller användarattributet som matchar det som är valt i Webex-identitetstjänst.

    Mer information om mappning av anpassade attribut för antingen SSO eller SSO finns i https://www.cisco.com/go/hybrid-services-directory.

  • Endast SSO partnerpartner. E identitetsleverantör adressen måste ha stöd Assertion Consumer Service (ACS) URL:er. Exempel på hur du konfigurerar flera ACS-URL:er på identitetsleverantör finns i:

  • Använd en webbläsare som stöds: rekommenderar vi den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation.

Upprätta ett SAML-avtal

Du måste upprätta ett SAML-avtal mellan Webex-plattformens identitetstjänst och din IdP.

Du behöver två filer för att uppnå ett lyckat SAML-avtal:

  • En metadatafil från IdP som ska ges till Webex.

  • En metadatafil från Webexför att ge till IdP:en.

Detta är ett exempel på en PingFederate-metadatafil med metadata från IdP.

Metadatafil från identitetstjänst.

Följande är vad du förväntar dig att se i metadatafilen från identitetstjänst.

  • Enhets-ID – detta används för att identifiera SAML-avtalet i IdP-konfigurationen

  • Det finns inget krav på en signerad AuthN-begäran eller några signeringspåståenden, den uppfyller vad IdP-begäran i metadatafilen är.

  • En signerad metadatafil för IdP för att verifiera att metadatan tillhör identitetstjänst.

Konfigurera Webex identitetstjänst

1

Från kundvyn i Control Hub (), gå till Hantering > Organisationsinställningar, rulla till Autentisering och aktivera inställningen enkel inloggning för atthttps://admin.webex.com starta konfigurationsguiden.
2

Välj certifikattyp:

  • Själv signerade av Cisco– Vi rekommenderar att du väljer detta alternativ för att låta oss bli SP. Dessutom behöver du bara förnya certifikatet var femte år.
  • Signerat av en offentligt certifikatsutfärdare – Det här alternativet är säkert och bra om du får certifikat signerade från en offentligCA som Hydrant eller Godaddy. Du måste emellertid förnya certifikatet en gång om året.
3

Klicka på Hämta metadata och klicka på Nästa.
4

Identitetstjänsten för Webex-plattform validerar metadatafilen från IdP:en.

Det finns två möjliga sätt att validera metadata från kund-IdP:

  • Kund-IdP tillhandahåller en signatur i metadata som är signerad av en offentlig rot-CA.

  • Kund-IdP tillhandahåller en självsignerat privat CA eller tillhandahåller ingen signatur för deras metadata. Detta alternativ är mindre säkert.
5

Testa SSO innan du aktiverar den. Detta steg fungerar som en dry run och påverkar inte dina organisationsinställningar förrän du aktiverar SSO kommer att aktiveras i nästa steg.


 

Om du SSO din inloggning direkt kan du även klicka på Kopiera URL till Urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta hjälper till att ta bort information som cachelagrats i din webbläsare som kan ge ett felaktigt positivt resultat när du testar din SSO konfiguration.
6

Om testet lyckas kan du SSO spara ändringarna.

Du måste spara ändringarna för SSO att de ska gälla i din organisation.

Oavsett om du har fått ett meddelande om ett certifikat som upphör eller vill kontrollera din befintliga SSO-konfiguration kan du använda funktionerna för enkel inloggning (SSO) i Control Hub för certifikathantering och allmänna SSO underhållaktiviteter.

Om du får problem med din SSO, använd kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.

Krav för felsökning av SSO

  • Använd SAML trace-tillägget för Firefox eller Chrome.

  • Om du vill felsöka använder du webbläsaren där du installerade SAML trace-felsökningsverktyget och går till webbversionen av Webex på https://web.webex.com.

Felsök SAML-flödet mellan Webex-appen, din IdP och Webex-tjänster

Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänster, Webex-plattformens identitetstjänst och identitetsleverantören (IdP).

  1. Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.
  2. Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Förfrågan omdirigeras till e-identitetstjänst till SSO eller användarnamn- och lösenordsflödet. URL:en för autentiseringsservern returneras.
  3. Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.
  4. Appens autentisering sker mellan operativsystemets webbresurser och IdP.
  5. Appen skickar tillbaka http-post till identitetstjänst innehåller attributen som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.
  6. SAML-försäkran från IdP till Webex.
  7. Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.
1

Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.

Appen skickar informationen till e-Webex-tjänst verifierar e-postadressen.
2

Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Förfrågan omdirigeras till e-identitetstjänst till SSO eller användarnamn- och lösenordsflödet. URL:en för autentiseringsservern returneras.

Du kan se GET-begäran i spårningsfilen.

I avsnittet parametrar söker tjänsten efter en OAuth-kod, e-post till användaren som skickade förfrågan och andra OAuth-uppgifter som ClientID, redirectURI och Scope.
3

Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.

När SSO är aktiverat omdirigeras verifieringsmotorn i identitetstjänst till IdP-URL:en för SSO. IdP-URL:en som angavs vid utbyte av metadata.

Kontrollera spårningsverktyget för ett SAML POST-meddelande. Du ser ett HTTP POST-meddelande till den IdP som begärs av IdPbrokern.

RelayState-parametern visar det korrekta svaret från IdP:en.

Granska avkodningsversionen av SAML-begäran. Det finns ingen authN-authN på begäran, och svarets destination ska gå till IdP:s destinations-URL. Kontrollera att Nameid-formatet är korrekt konfigurerat i IdP under rätt enhets-ID (SPNameQualifier)

IdP-nameid-formatet anges och namnet på avtalet konfigurerades när SAML-avtalet skapades.
4

Appens autentisering sker mellan operativsystemets webbresurser och IdP.

Beroende på din IdP och de autentiseringssystem som är konfigurerade i IdP: en startas olika flöden från IdP:en.
5

Appen skickar tillbaka http-post till identitetstjänst innehåller attributen som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.

När autentiseringen lyckas skickar appen informationen i ett SAML POST-meddelande till identitetstjänst.

RelayState är samma som föregående HTTP POST-meddelande där appen talar om för IdP vilken EntityID som begär kontrollen.
6

SAML-försäkran från IdP till Webex.
7

Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.

När identitetstjänst validerat svaret från IdP:en utfärdar de en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna.