Integrering av enkel inloggning i Control Hub
Följande lösningar för webbåtkomst och samlade lösningar testades för Webex-organisationer. Dokumenten som är länkade nedan visar hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.
Dessa guider behandlar SSO-integrering för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com ). Om du letar efter SSO-integrering av en Webex Meetings-plats (hanteras i Webbplatsadministration) finns information i Konfigurera enkel inloggning för Cisco Webex-platsen .
Om du vill konfigurera SSO för flera identitetsleverantörer i din organisation, se SSO med flera IdP:er i Webex.
Om du inte ser din IdP i listan nedan följer du stegen på hög nivå i avsnittet SSO-inställning i den här artikeln.
Enkel inloggning (SSO) gör det möjligt för användare att logga in på Webex på ett säkert sätt genom att autentisera till din organisations gemensamma identitetsleverantör (IdP). Webex-appen använder Webex-tjänsten för att kommunicera med Webex Platform Identity-tjänsten. Identitetstjänsten autentiseras med din identitetsleverantör (IdP).
Du startar konfigurationen i Control Hub. Det här avsnittet innehåller allmänna steg på hög nivå för att integrera en IdP från tredje part.
När du konfigurerar SSO med din IdP kan du mappa valfritt attribut till uid. Mappa till exempel userPrincipalName, ett e-postalias, en alternativ e-postadress eller något annat lämpligt attribut till uid. IdP måste matcha en av användarens e-postadresser med uid vid inloggning. Webex har stöd för mappning av upp till fem e-postadresser till uid.
Vi rekommenderar att du inkluderar enkel utloggning (SLO) i din metadatakonfiguration när du konfigurerar Webex SAML-federation. Det här steget är avgörande för att säkerställa att användartoken är ogiltiga på både identitetsleverantören (IdP) och tjänsteleverantören (SP). Om den här konfigurationen inte utförs av en administratör varnar Webex användare att stänga sina webbläsare för att inaktivera sessioner som lämnas öppna.
För SSO och Control Hub måste IdP:er följa SAML 2.0-specifikationen. Dessutom måste IdP:er konfigureras på följande sätt:
-
Ställ in attributet NameID Format på urn:oasis:names:tc:SAML:2.0:nameid-format:Övergående
-
Konfigurera ett anspråk på IdP enligt den typ av SSO som du distribuerar:
-
SSO (för en organisation) – om du konfigurerar SSO för en organisations räkning konfigurerar du IdP-anspråket så att uid-attributnamnet inkluderar ett värde som är mappat till attributet som har valts i Directory Connector, eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)
-
Partner-SSO (endast för tjänsteleverantörer) – om du är en tjänsteleverantörsadministratör och konfigurerar partner-SSO som ska användas av de kundorganisationer som tjänsteleverantören hanterar konfigurerar du IdP-anspråket så att post-attributet inkluderas (snarare än uid). Värdet måste mappas till det attribut som har valts i Directory Connector eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten.
Mer information om hur du mappar anpassade attribut för antingen SSO eller partner-SSO finns i https://www.cisco.com/go/hybrid-services-directory .
-
-
Endast partner-SSO. Identitetsleverantören måste ha stöd för flera URL:er för Assertion Consumer Service (ACS). Exempel på hur du konfigurerar flera ACS-URL:er på en identitetsleverantör finns här:
-
Använd en webbläsare som stöds: Vi rekommenderar den senaste versionen av Mozilla Firefox eller Google Chrome.
-
Inaktivera eventuella popup-blockerare i din webbläsare.
Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
fungerar för SSO-integrering men omfattas inte av dokumentation.
Du måste upprätta ett SAML-avtal mellan Webex Platform Identity-tjänsten och din IdP.
Du behöver två filer för att upprätta ett SAML-avtal:
-
En metadatafil från IdP att ge till Webex.
-
En metadatafil från Webex att ge till IdP.
Det här är ett exempel på en PingFederate-metadatafil med metadata från IdP.
Metadatafil från identitetstjänsten.
Följande är vad du förväntar dig att se i metadatafilen från identitetstjänsten.
-
Enhets-ID – används för att identifiera SAML-avtalet i IdP-konfigurationen
-
Det finns inget krav på en signerad AuthN-begäran eller några signeringsförslag, den följer det IdP begär i metadatafilen.
-
En signerad metadatafil för IdP för att verifiera att metadata tillhör identitetstjänsten.
1 |
Från kundvyn i Control Hub ( https://admin.webex.com) går du till , bläddrar till Autentisering och klickar på Aktivera SSO -inställningen för att starta konfigurationsguiden. |
2 |
Välj Webex som IdP och klicka på Nästa. |
3 |
Markera Jag har läst och förstått hur Webex-IdP fungerar och klicka på Nästa. |
4 |
Konfigurera en omdirigeringsregel. När du har lagt till en omdirigeringsregel läggs din IdP till och visas på fliken Identitetsleverantör .
Mer information finns i SSO med flera IdP:er i Webex.
|
Oavsett om du har fått ett meddelande om ett certifikat som löper ut eller vill kontrollera din befintliga SSO-konfiguration kan du använda Hanteringsfunktioner för enkel inloggning (SSO). i Control Hub för certifikathantering och allmänt underhåll av SSO.
Om du stöter på problem med SSO-integreringen använder du kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.
-
Använd tillägget SAML-spårare för Firefox, Chrome eller Edge.
-
Använd webbläsaren där du installerade felsökningsverktyget med SAML-spårning och gå till webbversionen av Webex på https://web.webex.com för att felsöka.
Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänsterna, Webex Platform Identity-tjänsten och identitetsleverantören (IdP).
1 |
Gå till https://admin.webex.com. När SSO är aktiverat uppmanar appen dig att ange en e-postadress.
Appen skickar informationen till Webex-tjänsten som verifierar e-postadressen.
|
2 |
Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till identitetstjänsten och till flödet för SSO eller användarnamn och lösenord. URL:en till autentiseringsservern returneras. Du kan se GET-begäran i spårningsfilen. I avsnittet för parametrar söker tjänsten efter en OAuth-kod, e-postadress till användaren som skickade begäran och annan OAuth-information som ClientID, redirectURI och Scope. |
3 |
Webex-appen begär en SAML-kontroll från IdP:n med en SAML HTTP POST.
När SSO är aktiverat omdirigerar autentiseringsmotorn i identitetstjänsten till IdP-URL:en för SSO. Den IdP-URL som angavs vid utbytet av metadata. Leta efter ett SAML POST-meddelande i spårningsverktyget. Du ser ett HTTP POST-meddelande till IdP:n som begärts av IdPbroker. Parametern RelayState visar rätt svar från IdP:n. Granska avkodningsversionen av SAML-begäran, det finns inget autoriserat AuthN och målet för svaret bör gå till mål-URL:en för IdP:n. Kontrollera att nameid-formatet är korrekt konfigurerat i IdP:n under rätt enhets-ID (SPNameQualifier) IdP:ns nameid-format anges och namnet på avtalet som konfigurerades när SAML-avtalet skapades. |
4 |
Autentiseringen av appen sker mellan operativsystemets webbresurser och IdP:n.
Olika flöden startas från IdP:n beroende på din IdP och de autentiseringsmekanismer som har konfigurerats i IdP:n. |
5 |
Appen skickar en HTTP-post tillbaka till identitetstjänsten och inkluderar de attribut som tillhandahålls av IdP:n och som avtalades i det ursprungliga avtalet.
När autentiseringen har lyckats skickar appen informationen i ett SAML POST-meddelande till identitetstjänsten. RelayState är samma som det tidigare HTTP POST-meddelandet där appen talar om för IdP vilket EntityID som begär kontrollen. |
6 |
SAML-kontroll från IdP till Webex. |
7 |
Identitetstjänsten får en behörighetskod som ersätts med en OAuth-åtkomst- och uppdateringstoken. Denna token används för att komma åt resurser för användarens räkning.
När identitetstjänsten har validerat svaret från IdP:n utfärdar den en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna. |