Om du har din egen identitetsleverantör (IdP) i din organisation kan du integrera SAML IdP med din organisation i Control Hub för enkel inloggning (SSO) (SSO). SSO tillåter dina användare att använda en enda gemensam uppsättning inloggningsuppgifter för Webex-appprogram och andra program i din organisation.
Följande web access management- och federationslösningar har testats för Webex-organisationer. I dokumenten som länkas nedan går du igenom hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.
Dessa guider omfattar SSO för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com). Om du vill ha en SSO av en Webex Meetings-webbplats (som hanteras i webbplatsadministration) läser du Konfigurera enkel inloggning för Webbplats för Cisco Webex Meetings. |
Om du inte ser din IdP listad nedan följer du stegen på hög nivå på fliken SSO Installation i den här artikeln.
Med enkel inloggning (SSO) kan användare logga in på Webex på ett säkert sätt genom att autentisera för din organisations Common Identity Provider (IdP). Webex-appen använder Webex-tjänst för att kommunicera med Webex-plattformens identitetstjänst. Användaren identitetstjänst med din identitetsleverantör (IdP).
Du startar konfiguration i Control Hub. I det här avsnittet fångas allmänna steg på hög nivå för att integrera en IdP från tredje part.
För SSO och Control Hubmåste IdP:er uppfylla SAML 2.0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:
Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurera ett anspråk på IdP enligt typen av SSO som du distribuerar:
SSO (för en organisation) – Om du konfigurerar SSO åt en organisation ska du konfigurera IdP-anspråket så att uid-attributnamnet inkludera ett värde som är mappat till det attribut som har valts i Kataloganslutning , eller användarattributet som matchar det som väljs i Webex identitetstjänst. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)
Partner SSO (endast för tjänsteleverantör) – Om du är en tjänsteleverantör-administratör som konfigurerar partner SSO som ska användas av de kundorganisationer som tjänsteleverantör hanterar, ska du konfigurera IdP-anspråket så att det inkluderar e-postattributet (i stället för UID). Värdet måste mappa till det attribut som är valt i Kataloganslutning eller användarattributet som matchar det som är valt i Webex-identitetstjänst.
Mer information om mappning av anpassade attribut för antingen SSO eller SSO finns i https://www.cisco.com/go/hybrid-services-directory.
Endast SSO partnerpartner. E identitetsleverantör adressen måste ha stöd Assertion Consumer Service (ACS) URL:er. Exempel på hur du konfigurerar flera ACS-URL:er på identitetsleverantör finns i:
Använd en webbläsare som stöds: rekommenderar vi den senaste versionen av Mozilla Firefox eller Google Chrome.
Inaktivera popup-blockerare i webbläsaren.
Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation. |
Du måste upprätta ett SAML-avtal mellan Webex-plattformens identitetstjänst och din IdP.
Du behöver två filer för att uppnå ett lyckat SAML-avtal:
En metadatafil från IdP som ska ges till Webex.
En metadatafil från Webexför att ge till IdP:en.
Detta är ett exempel på en PingFederate-metadatafil med metadata från IdP.
Metadatafil från identitetstjänst.
Följande är vad du förväntar dig att se i metadatafilen från identitetstjänst.
Enhets-ID – detta används för att identifiera SAML-avtalet i IdP-konfigurationen
Det finns inget krav på en signerad AuthN-begäran eller några signeringspåståenden, den uppfyller vad IdP-begäran i metadatafilen är.
En signerad metadatafil för IdP för att verifiera att metadatan tillhör identitetstjänst.
1 | Från kundvyn i Control Hub (), gå till Hantering > Organisationsinställningar, rulla till Autentisering och aktivera inställningen enkel inloggning för atthttps://admin.webex.com konfigurationsguiden. |
||
2 | Välj certifikattyp:
|
||
3 | Klicka på Hämta metadata och klicka på Nästa. |
||
4 | Identitetstjänsten för Webex-plattform validerar metadatafilen från IdP:en. Det finns två möjliga sätt att validera metadata från kund-IdP:
|
||
5 | Testa SSO innan du aktiverar den. Detta steg fungerar som en dry run och påverkar inte dina organisationsinställningar förrän du aktiverar SSO kommer att aktiveras i nästa steg.
|
||
6 | Om testet lyckas kan du SSO spara ändringarna. Du måste spara ändringarna för SSO att de ska gälla i din organisation. |
Om du får problem med din SSO, använd kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.
Använd SAML trace-tillägget för Firefox eller Chrome.
Om du vill felsöka använder du webbläsaren där du installerade SAML trace-felsökningsverktyget och går till webbversionen av Webex på https://web.webex.com.
Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänster, Webex-plattformens identitetstjänst och identitetsleverantören (IdP).

- Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.
- Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Förfrågan omdirigeras till e-identitetstjänst till SSO eller användarnamn- och lösenordsflödet. URL:en för autentiseringsservern returneras.
- Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.
- Appens autentisering sker mellan operativsystemets webbresurser och IdP.
- Appen skickar tillbaka http-post till identitetstjänst innehåller attributen som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.
- SAML-försäkran från IdP till Webex.
- Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.
1 | Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress. ![]() Appen skickar informationen till e-Webex-tjänst verifierar e-postadressen. |
2 | Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Förfrågan omdirigeras till e-identitetstjänst till SSO eller användarnamn- och lösenordsflödet. URL:en för autentiseringsservern returneras. ![]() Du kan se GET-begäran i spårningsfilen. I avsnittet parametrar söker tjänsten efter en OAuth-kod, e-post till användaren som skickade förfrågan och andra OAuth-uppgifter som ClientID, redirectURI och Scope. |
3 | Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST. När SSO är aktiverat omdirigeras verifieringsmotorn i identitetstjänst till IdP-URL:en för SSO. IdP-URL:en som angavs vid utbyte av metadata. Kontrollera spårningsverktyget för ett SAML POST-meddelande. Du ser ett HTTP POST-meddelande till den IdP som begärs av IdPbrokern. RelayState-parametern visar det korrekta svaret från IdP:en. Granska avkodningsversionen av SAML-begäran. Det finns ingen authN-authN på begäran, och svarets destination ska gå till IdP:s destinations-URL. Kontrollera att Nameid-formatet är korrekt konfigurerat i IdP under rätt enhets-ID (SPNameQualifier) IdP-nameid-formatet anges och namnet på avtalet konfigurerades när SAML-avtalet skapades. |
4 | Appens autentisering sker mellan operativsystemets webbresurser och IdP. Beroende på din IdP och de autentiseringssystem som är konfigurerade i IdP: en startas olika flöden från IdP:en. |
5 | Appen skickar tillbaka http-post till identitetstjänst innehåller attributen som tillhandahållits av IdP och godkändes i det ursprungliga avtalet. När autentiseringen lyckas skickar appen informationen i ett SAML POST-meddelande till identitetstjänst. RelayState är samma som föregående HTTP POST-meddelande där appen talar om för IdP vilken EntityID som begär kontrollen. |
6 | SAML-försäkran från IdP till Webex. |
7 | Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar. När identitetstjänst validerat svaret från IdP:en utfärdar de en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna. |